Furtul de identitate ca serviciu

Atunci cand hackerii ofera efectuarea unor atacuri de tip phishing pentru circa 7$ per utilizator, va fi nevoie de mai mult decat de parole pentru a-i opri. Aveti nevoie de asigurarea identitatii.

Am citit recent un raport de securitate despre un cercetator caruia i s-a oferit un serviciu de phishing pentru numai 7$ per utilizator. Serviciul a inclus alegerea mentionarii tintei care urma sa fie atacata sau doar furnizarea tipului de victima. Aceasta este comercializarea furtului de identitate ca serviciu—si ar trebui sa va sperie la fel de mult cum ma sperie pe mine.

Suna ingrijorator pentru ca majoritatea companiilor utilizeaza inca practici de securitate depasite si invechite. Nu mai tarziu de saptamana trecuta, Bill Burr, care a fost initiatorul standardelor de politici privind parolele, a declarat: „Acum regret multe din cele pe care le-am facut.” El concluzioneaza acum ca, prin promovarea unor politici mai stricte privind parolele, de fapt e posibil sa fi inrautatit situatia. Parolele pur si simplu nu functioneaza la locul de munca modern.

Deci cum rezolvam problema parolelor? Schimbam dinamica autentificarii pentru a include autorizarea. Acest lucru inseamna mai mult decat simpla adaugare a autentificarii cu doi factori, care reprezinta o provocare doar la intrare si nu monitorizeaza continuu actiunile utilizatorilor.

Pana acum, metoda traditionala consta in autentificarea cu doi factori pentru protejarea VPN, a infrastructurii critice si a serverelor, care era destul de buna. Dar utilizatorii de azi asteapta mai mult decat ceva “destul de bun”. Utilizatorii solicita o mai buna experienta a utilizatorilor si magementul iti spune sa o asiguri (fara a se uita la riscul pe care acest lucru il prezinta).

Sa luam in calcul ultimele instructiuni NIST, care vorbesc despre ideea asigurarii identitatii. Aceasta este diferita de managementul identitatii: nu este vorba atat de mult despre “Un utilizator poate face fata unei provocari?”, cat despre “Poate dovedi un utilizator ca este cine spune ca este?”

In cazul in care combinam atributele utilizatorului si ale sesiunii si legam informatiile respective de aplicatie si de permisiunile aferente utilizatorului, putem determina riscul. Acel risc ar trebui sa determine tipul de autentificare necesara pentru acces. Autentificarea nu mai este „universala”, ci o provocare corespunzatoare nivelului de risc. Provocarea trebuie sa includa optiuni ca autentificare fortata, biometrica (amprenta digitala, amprenta vizuala), tokeni FIDO si TOTP, SMS si apeluri telefonice. Utilizatorii trebuie sa poata alege metoda de autentificare pe care doresc sa o foloseasca atat timp cat este potrivita nivelului de risc.

Sistemele trebuie, de asemenea, sa efectueze o autentificare continua. Desi un nume de utilizator si parola pot fi destul de bune pentru o aplicatie cu risc scazut, atunci cand utilizatorii trec la alta aplicatie, evaluarea riscului trebuie sa se produca automat si transparent, intrerupand sesiunea in timp real daca e necesar. Sistemul trebuie sa realizeze evaluarea dinamica a riscului prin citirea automatizata in contextul unui comportament normal si anormal al utilizatorului. Acest lucru poate opri utilizatorii necinstiti in drumul lor, lasandu-i pe utilizatorii cinstiti sa isi faca treaba.

Am mentionat mai devreme perspectiva fraudarii utilizatorilor contra unui cost redus. Dar in cazul in care un scam phishing dezvaluie parola unui utilizator, nu va conta daca facem numele de utilizator si parola inutile prin analitica comportamentului, autentificare continua si autentificare bazata pe risc. Sistemul va recunoaste impostorii si ii va opri in drumul lor. In cele din urma, vom lucra pentru eliminarea completa a parolelor.

Pentru a afla mai multe despre modul in care asigurarea identitatii va poate afecta compania, descarcati whitebook-ul RSA “6 pasi cheie pentru asigurarea cu succes a identitatii.”

*Articol preluat de pe site-ul RSA.