ستكون المصادقة متعددة العوامل هي المفتاح للشركات التي تحمي الأصول السحابية

عند إثبات هويتك في نظام إدارة الهوية (IDM) ، ربما لاحظت أن عددًا أكبر منهم يتطلبون مؤخرًا خطوة إضافية إلى جانب معرف المستخدم وكلمة المرور ، مثل المطالبات التي ترسل الرموز إلى هاتفك عند تسجيل الدخول إلى Gmail أو Twitter أو حسابك المصرفي من جهاز آخر غير الجهاز الذي تستخدمه عادةً. فقط تأكد من أنك لا تنسى اسم حيوانك الأليف الأول أو مكان ولادة والدتك لأنك ربما تحتاج إلى إدخال هذه المعلومات لإثبات هويتك. هذه الأجزاء من البيانات ، المطلوبة بالاقتران مع كلمة مرور ، هي أحد أشكال المصادقة متعددة العوامل (MFA).

وزارة الخارجية ليست جديدة. لقد بدأت كتكنولوجيا مادية ؛ تعتبر البطاقات الذكية ودونغل مثالين على الأجهزة التي طلبناها لتسجيل الدخول إلى أجهزة الكمبيوتر أو خدمات البرمجيات بمجرد إدخال كلمة المرور الصحيحة. ومع ذلك ، تعمل MFA على تطوير عملية تسجيل الدخول هذه بسرعة لتشمل معرفات أخرى ، مثل إعلامات الدفع للجوال.

وقال تيم شتاينكوبف ، رئيس شركة Centrify Corp. ، صانع خدمة Centrify Identity Service: "لقد ولت الأيام التي اضطرت فيها الشركات إلى نشر الرموز المميزة للأجهزة ، وأصيب المستخدمون بالإحباط من الكتابة في رموز مكونة من ستة أرقام تدور كل 60 ثانية". "كان ذلك مكلفًا وتجربة سيئة للمستخدم. أصبح برنامج MFA الآن بسيطًا مثل تلقي إشعار دفع إلى هاتفك." ومع ذلك ، حتى الرموز التي نتلقاها من خلال خدمة الرسائل القصيرة (SMS) أصبحت الآن مزعجة ، وفقًا ل Steinkopf.

وقال "لم تعد الرسائل القصيرة وسيلة نقل آمنة لرموز وزارة الخارجية حيث يمكن اعتراضها". "بالنسبة للموارد الحساسة للغاية ، يتعين على الشركات الآن التفكير في المزيد من الرموز المشفرة الآمنة التي تتبع معايير تحالف الهوية السريعة عبر الإنترنت (FIDO) الجديدة." بالإضافة إلى الرموز المميزة ، تتضمن معايير FIDO2 مواصفات مصادقة الويب الخاصة بشبكة الويب العالمية (W3C) وبروتوكول عميل بروتوكول المصادقة (CTAP). كما تدعم معايير FIDO2 إيماءات المستخدم باستخدام القياسات الحيوية المدمجة مثل التعرف على الوجه ، وضرب بصمات الأصابع ، ومسح القزحية.

لاستخدام MFA ، ستحتاج إلى دمج مزيج من كلمات المرور والأسئلة لأجهزة مثل الهواتف الذكية ، أو استخدام بصمات الأصابع والتعرف على الوجه ، كما أوضح جو دياموند ، مدير إدارة تسويق المنتجات الأمنية في Okta ، صناع Okta Identity Management.

وقال دياموند: "يدرك المزيد من المنظمات الآن المخاطر الأمنية المرتبطة بكلمات المرور المرتكزة على الرسائل النصية القصيرة والتي تعمل لمرة واحدة كعامل في MFA. إنه أمر تافه للغاية بالنسبة لممثل سيء" تبديل بطاقة SIM "والاستيلاء على رقم الهاتف المحمول". "يجب على أي مستخدم معرض لخطر مثل هذا الهجوم المستهدف تنفيذ عوامل ثانية أقوى مثل عامل البيومترية أو الرمز الثابت الذي يخلق مصافحة تشفير بين الجهاز والخدمة."

في بعض الأحيان وزارة الخارجية ليست مثالية. في 27 نوفمبر ، عانت Microsoft Azure من انقطاع التيار بسبب MFA بسبب خطأ في نظام أسماء المجالات (DNS) والذي تسبب في فشل العديد من الطلبات عندما حاول المستخدمون تسجيل الدخول إلى خدمات مثل Active Directory.

الائتمان: FIDO Alliance

دفع الإخطارات المحمول

يرى الخبراء أن إشعارات الدفع عبر الهاتف المحمول هي أفضل خيار لـ "عوامل" الأمان لأنها تحتوي على مزيج فعال من الأمان وسهولة الاستخدام. يرسل أحد التطبيقات رسالة إلى هاتف المستخدم لإخطار الشخص بأن الخدمة تحاول تسجيل دخول المستخدم أو إرسال البيانات.

"أنت تقوم بتسجيل الدخول إلى إحدى الشبكات ، وبدلاً من إدخال كلمة مرورك فقط ، يتم دفعك إلى جهازك حيث تقول نعم أو لا ، وتحاول مصادقة هذا الجهاز ، وإذا قلت نعم ، فإنه يتيح لك الوصول إلى أوضح ديف لويس ، كبير موظفي أمن المعلومات الاستشاري العالمي (CISO) لأعمال الأمن الثنائي في سيسكو ، والذي يقدم تطبيق المصادقة على الأجهزة المحمولة Duo Push. وتشمل المنتجات الأخرى التي تقدم MFA Yubico YubiKey 5 NFC و Ping Identity PingOne.

تفتقر إعلامات الدفع عبر الهاتف المحمول إلى كلمات مرور وقت الإرسال التي يتم إرسالها عبر الرسائل القصيرة SMS لأن كلمات المرور هذه يمكن اختراقها بسهولة إلى حد ما. التشفير يجعل الإخطارات فعالة ، وفقًا لـ Hed Kovetz ، المؤسس المشارك والرئيس التنفيذي لشركة Silverfort التي تقدم حلول MFA.

وقال "إنها مجرد نقرة واحدة ، والأمن قوي للغاية لأنه جهاز مختلف تمامًا". "يمكنك تغيير التطبيق إذا تم اختراقه ، وتم تشفيره بالكامل ومصادقته مع البروتوكولات الحديثة. إنه ليس مثل الرسائل القصيرة على سبيل المثال ، التي يتم اختراقها بسهولة لأن المعيار ضعيف بشكل أساسي ويتم اختراقه بسهولة مع هجمات نظام Signaling System 7 (SS7) وجميع أنواع الهجمات الأخرى على الرسائل القصيرة ".

وزارة الخارجية تدمج الصفر الثقة

تعد MFA جزءًا أساسيًا من نموذج Zero Trust الذي لا تثق فيه بأي من مستخدمي الشبكة حتى تتحقق من شرعيتهم. "إن تطبيق MFA يعد خطوة ضرورية في التحقق من أن المستخدم هو في الواقع من يقولون".

أضافت Okta's Diamond "تلعب MFA دورًا مهمًا في نموذج نضج Zero Trust الخاص بأي مؤسسة ، حيث نحتاج أولاً إلى تأسيس ثقة المستخدم قبل أن نتمكن من منح حق الوصول". "يجب أيضًا أن يقترن ذلك باستراتيجية هوية مركزية في جميع الموارد بحيث يمكن إقران سياسات MFA بسياسات وصول لضمان وصول المستخدمين المناسبين إلى الموارد المناسبة بأقل قدر ممكن من الاحتكاك."

الائتمان: FIDO Alliance

يتم استبدال كلمات المرور؟

قد لا يكون الكثير من الأشخاص مستعدين للتخلي عن كلمات المرور ، ولكن إذا استمر المستخدمون في الاعتماد عليها ، فستحتاج إلى الحماية. في الواقع ، كشف تقرير خرق البيانات لعام 2017 من Verizon أن 81 بالمائة من خروقات البيانات تنبع من كلمات المرور المسروقة. هذه الأنواع من الإحصاءات تجعل كلمات المرور مشكلة لأي منظمة تتطلع إلى حماية أنظمتها بشكل موثوق.

"إذا استطعنا حل كلمات المرور والحصول عليها والانتقال إلى نوع أكثر ذكاء من المصادقة ، فسنمنع حدوث معظم خروقات البيانات التي تحدث اليوم" ، وفقًا لما قاله سيلفرفورت من Kovetz.

لاحظت Kovetz في Silverfort أنه من غير المحتمل أن تختفي كلمات المرور في كل مكان ، ولكن قد يتم حذفها لتطبيقات معينة. وقال إن إزالة كلمات المرور تمامًا لأجهزة الكمبيوتر وأجهزة إنترنت الأشياء (IoT) سيكون أكثر تعقيدًا. سبب آخر هو أن المصادقة الكاملة بدون كلمة مرور قد لا تحدث قريبًا لأن الأشخاص مرتبطون نفسيًا بهم.

يتضمن الانتقال من كلمات المرور أيضًا تغييرًا ثقافيًا في المؤسسات وفقًا لـ لويس من Cisco. "إن الابتعاد عن كلمات المرور الثابتة إلى وزارة الخارجية هو تحول ثقافي جوهري" ، قال لويس. "أنت تجعل الناس يفعلون الأشياء بشكل مختلف عما فعلوه لسنوات."

تجهيز وزارة الخارجية والذكاء الاصطناعي

يتم استخدام الذكاء الاصطناعي (AI) لمساعدة مسؤولي IDM وأنظمة MFA على التعامل مع مجموعة كبيرة من بيانات تسجيل الدخول الجديدة. تطبق حلول MFA من البائعين مثل Silverfort AI لاكتساب نظرة ثاقبة حول متى تكون MFA ضرورية وعندما لا تكون كذلك.

"جزء الذكاء الاصطناعى ، عندما تقوم بجمعه ، يسمح لك باتخاذ القرار الأولي حول ما إذا كان يجب أن تتطلب المصادقة المحددة MFA أم لا" ، قال سيلفرفورت Kovetz. وقال إن مكون التعلم الآلي (ML) في التطبيق قد يحقق درجة عالية من المخاطرة إذا اكتشف نمطًا غير طبيعي من النشاط ، مثل ما إذا كان شخص ما في الصين يتم الوصول إلى حساب الموظف بشكل مفاجئ ويعمل الموظف بانتظام في الولايات المتحدة.

"إذا قام المستخدم بتسجيل الدخول إلى أحد التطبيقات من المكتب باستخدام جهاز الكمبيوتر الخاص به الذي أصدرته الشركة ، فلن تكون هناك حاجة إلى MFA لأن هذا أمر طبيعي" ، كما أوضح Centrify's Steinkopf. "ولكن إذا كان ذلك المستخدم نفسه يسافر إلى الخارج أو يستخدم جهاز شخص آخر ، فسيُطلب منك الحصول على MFA لأن الخطر أكبر". أضاف Steinkopf أن MFA غالبًا ما تكون خطوة أولى عند استخدام تقنيات تحقق إضافية.

تراقب مديري المعلومات أيضًا عن القياسات الحيوية السلوكية ، والتي أصبحت اتجاهًا متناميًا في عمليات نشر MFA الجديدة. تستخدم القياسات الحيوية Behavorial برنامجًا لتتبع كيفية قيام المستخدمين بكتابة أو انتقاد. على الرغم من أن هذا يبدو سهلاً ، إلا أنه يتطلب معالجة مجموعات كبيرة من البيانات المتغيرة بسرعة ، وهذا هو السبب في أن البائعين يستخدمون ML للمساعدة.

"القيمة في ML للمصادقة ستكون لتقييم إشارات معقدة متعددة ، وتعلم" هوية "خط الأساس للمستخدم بناءً على تلك الإشارات ، وتنبيهها إلى الحالات الشاذة لذلك الخط الأساسي ،" قال Okta's Diamond. "تعد القياسات الحيوية السلوكية مثالًا على ذلك ، حيث إن فهم الفروق الدقيقة لكيفية قيام المستخدم بالتنقل أو المشي أو التفاعل بطريقة أخرى مع أجهزته يتطلب نظامًا استخباراتيًا متطورًا لإنشاء ملف تعريف المستخدم هذا."

يختفي محيط

مع تطور البنية التحتية السحابية ، والخدمات السحابية ، وخاصة كميات البيانات الكبيرة لأجهزة إنترنت الأشياء خارج المباني ، أصبح هناك الآن أكثر من محيط مادي في موقع مركز بيانات المؤسسة. هناك أيضًا محيط افتراضي يحتاج إلى حماية أصول الشركة في السحابة. في كلا السيناريوهين ، تلعب الهوية دورًا رئيسيًا وفقًا لكوفتز.

وقال كوفيتس: "كان يتم تحديد المحيطات جسديًا ، كما هو الحال في المكتب ، ولكن يتم تحديد محيط اليوم حسب الهوية". مع اختفاء المحيطات ، تختفي الحماية التي تستخدمها جدران الحماية القوية لتوفير أجهزة كمبيوتر سطح المكتب السلكية. واقترح كوفيتس أن تكون وزارة الخارجية قد تكون إحدى الطرق لاستبدال ما قامت به جدران الحماية التقليدية.

• مصادقة ثنائية العامل: من يملكها وكيفية إعدادها مصادقة ثنائية العامل: من يملكها وكيفية إعدادها
• ما وراء المحيط: كيفية التعامل مع الأمن ذو الطبقات ما وراء المحيط: كيفية معالجة الأمن ذو الطبقات
• نموذج الثقة صفر يكسب البخار مع خبراء الأمن صفر الثقة النموذج يكسب البخار مع خبراء الأمن

"، أين تضع منتجات أمان الشبكة؟" طلب Kovetz. "لم يعد أمان الشبكة يعمل بعد الآن. تصبح MFA الطريقة الجديدة لحماية شبكة محيطك أقل."

إحدى الطرق الرئيسية التي تتطور بها MFA إلى ما وراء المحيط هي من خلال حشد متزايد من أنظمة الهوية التي يتم بيعها على أساس البرامج كخدمة (SaaS) ، بما في ذلك معظم خدمات IDM التي استعرضها PCMag Labs في العام الماضي. وقال ناثان رو ، المؤسس المشارك وكبير المسؤولين عن المنتج (CPO) لدى مزود أمن البيانات "إيفنت": "العدد الهائل من منتجات SaaS التي تسمح للشركات الصغيرة والمتوسطة بالارتقاء وتشغيلها بالفعل تعمل خارج النطاق". يعمل طراز SaaS على تقليل التكلفة وتعقيد النشر بشكل كبير ، لذا فهو يعد مساعدة كبيرة للشركات الصغيرة والمتوسطة لأنه يقلل من نفقات تقنية المعلومات وحمولتها ، وفقًا لروي.

حلول SaaS هي بالتأكيد مستقبل IDM ، مما يجعلها مستقبل MFA أيضًا. هذه أخبار سارة لأن حتى الشركات الصغيرة تنتقل بلا هوادة إلى بنية تكنولوجيا المعلومات السحابية المتعددة والخدمات السحابية ، حيث سيصبح قريبًا الوصول السهل إلى MFA وغيرها من الإجراءات الأمنية المتقدمة.