零信任安全網絡企業正在走向生物認證
責編:gltian |2019-07-22 10:25:26根據一項新的研究,越來越多的企業開始在設備上啟用生物特征認證來驗證訪問請求。
很多組織機構在為應用程序和其他 IT 資源建立和加強訪問策略時,不再把網絡邊界作為信任指標。越來越多的企業開始實施一種身份驗證解決方案——無論用戶位置如何,每次嘗試訪問都要進行用戶身份驗證和設備安全檢查。數據顯示,企業越來越傾向于生物識別類型的身份驗證。
從本地 IT 基礎設施到云托管應用程序和服務的轉變,再加上自帶設備 (BYOD) 政策和漫游員工的增加,所有這些變化在過去 10 年里給企業 IT 安全團隊帶來了重大挑戰。
應對這些挑戰的早期嘗試包括使用 VPN、網絡訪問控制 (NAC) 和移動設備管理 (MDM),確保員工遠程使用的設備在進入企業內部網絡之前是安全的。然而,惡意行為者也升級了自己的技術,企業網絡內的惡意橫向移動是現在很多安全漏洞的常見要素。
這意味著在網絡邊界進行設備安全檢查,并允許那些連接到系統的人員無限制地訪問所有資源已經不足以抵擋惡意攻擊了。設備在已經進入網絡的情況下也可能會受到攻擊,證書也可能以各種方式被盜。
驗證用戶和設備
多因素認證 (MFA) 解決方案供應商 Duo Security(現在屬于 Cisco)的CISO顧問主管 Wendy Nather 表示:
從根本上來講,我們都明白你不能因為他們在防火墻內,就認為所有東西都能信任。所以,如果你認同這一點,問題就變成了:今天我們在信任哪些實際上我們不應該信任的東西?答案是你必須比從前更認真地對用戶進行驗證,你必須驗證他們的設備,而且你還需要根據他們訪問操作的敏感性進行驗證。你還需要經常這么做,而不僅僅是當你讓他們進入防火墻的時候。
同時,Nather 說道企業應該盡早、經常性地進行檢查,而且如果在每次訪問請求的時候都進行檢查,則更有可能發現以前不知道的東西。
Duo 將此稱為 “零信任網絡安全原則”,其靈感來自于之前的去邊界化努力,如 2004 年的 Jericho 論壇、2014 年谷歌發布的 BeyondCorp 企業網絡安全方法以及 Gartner 的持續適應性風險和信任評估模型 (Continuous Adaptive Risk and Trust Assessment, CARTA)。
當然,企業網絡邊界不會很快就消失,也不需要消失。發生的變化是安全策略和訪問控制正重新聚焦于用戶和設備標識,無論這些用戶和他們訪問的設備在哪里:在云上還是在本地、遠程還是內部。這也影響了認證方式以及組織機構首選的驗證方法和設備。
生物識別認證正在崛起
在今天發布的2019 Duo信任訪問報告 (2019 Duo Trusted Access Report) 顯示,用于訪問商業應用程序的移動設備中,有 77% 配置了生物識別技術。超過三分之二的用戶使用基于移動設備推送的傳統驗證方法,例如通過電話和短信等進行身份驗證。該公司的數據顯示,在 Duo 的客戶中,通過短信發送身份驗證碼的方法只占到 2.8%。然而短信仍是在很多在線服務中廣泛使用的雙因素身份驗證方法。
Duo 的分析基于 5 億用戶的每月訪問請求,這些請求來自 2400 萬臺商業設備涵蓋了了超過 100 萬個企業應用程序和資源,包括內部應用程序和云端應用程序。這些匿名數據涵蓋了所有領域內的 15,000 多個組織機構。
Duo 還發現,企業員工使用 iOS 設備的數量同比增長7%,使用Android設備的數量增長了 2%。Windows 仍然是企業設備上最常見的操作系統,占 47%。但其總體使用量實際上比去年下降了8%。好消息是,Windows 10 的使用率持續上升,目前占 Duo 觀察到的所有 Windows 終端設備的三分之二。
iOS、Android 和 Windows 10 的共同點在于,它們都支持某種形式的基于生物特征的身份驗證:蘋果設備有 Touch ID 和 Face ID, Android 有指紋傳感器,Windows 10 有 Windows Hello。
經過驗證的訪問請求可以加速零日響應
為每個身份驗證請求驗證設備標識和安全性,還有助于 IT 安全團隊對已知的漏洞做出響應,并迫使用戶更快進行安全更新。其中一個例子是谷歌 Chrome 的一個零日漏洞,該漏洞于 3 月底公布,發現正在被利用。
在該漏洞被公布的當天,Duo 發現其產品使用過時的瀏覽器策略設置高達 79%,這導致身份驗證嘗試被拒絕的次數比正常情況高出 30 倍。這意味著 IT 安全團隊利用這個策略設置來響應安全威脅的速度要比通過網絡訪問控制更快。
根據 Duo 的數據,用戶設備上最常過時的瀏覽器是 Microsoft Edge (73%),其次是 Mozilla Firefox (35%)、Safari (23%) 和 Chrome (15%)。就操作系統而言,運行 Android 的設備最常被淘汰 (58%),而 iOS 設備為 38%。
使用生物識別技術作為一種雙因素認證和用戶身份驗證的方式不僅被企業所采用,某些行業的監管機構也在推廣生物認證方式。作為修訂后的支付服務指令 (Payment Services Directive, PSD2) 的一部分,在線支付的新安全和認證要求將于 9 月在歐洲生效。該指令要求金融機構將需要通過雙因素身份驗證進行在線交易,例如通過一個手機上支持生物識別驗證的應用程序。