零信任安全网络企业正在走向生物认证
星期五, 七月 19, 2019
根据一项新的研究,越来越多的企业开始在设备上启用生物特征认证来验证访问请求。
很多组织机构在为应用程序和其他 IT 资源建立和加强访问策略时,不再把网络边界作为信任指标。越来越多的企业开始实施一种身份验证解决方案——无论用户位置如何,每次尝试访问都要进行用户身份验证和设备安全检查。数据显示,企业越来越倾向于生物识别类型的身份验证。
从本地 IT 基础设施到云托管应用程序和服务的转变,再加上自带设备 (BYOD) 政策和漫游员工的增加,所有这些变化在过去 10 年里给企业 IT 安全团队带来了重大挑战。
应对这些挑战的早期尝试包括使用 VPN、网络访问控制 (NAC) 和移动设备管理 (MDM),确保员工远程使用的设备在进入企业内部网络之前是安全的。然而,恶意行为者也升级了自己的技术,企业网络内的恶意横向移动是现在很多安全漏洞的常见要素。
这意味着在网络边界进行设备安全检查,并允许那些连接到系统的人员无限制地访问所有资源已经不足以抵挡恶意攻击了。设备在已经进入网络的情况下也可能会受到攻击,证书也可能以各种方式被盗。
多因素认证 (MFA) 解决方案供应商 Duo Security(现在属于 Cisco)的CISO顾问主管 Wendy Nather 表示:
从根本上来讲,我们都明白你不能因为他们在防火墙内,就认为所有东西都能信任。所以,如果你认同这一点,问题就变成了:今天我们在信任哪些实际上我们不应该信任的东西?答案是你必须比从前更认真地对用户进行验证,你必须验证他们的设备,而且你还需要根据他们访问操作的敏感性进行验证。你还需要经常这么做,而不仅仅是当你让他们进入防火墙的时候。
同时,Nather 说道企业应该尽早、经常性地进行检查,而且如果在每次访问请求的时候都进行检查,则更有可能发现以前不知道的东西。
Duo 将此称为 “零信任网络安全原则”,其灵感来自于之前的去边界化努力,如 2004 年的 Jericho 论坛、2014 年谷歌发布的 BeyondCorp 企业网络安全方法以及 Gartner 的持续适应性风险和信任评估模型 (Continuous Adaptive Risk and Trust Assessment, CARTA)。
当然,企业网络边界不会很快就消失,也不需要消失。发生的变化是安全策略和访问控制正重新聚焦于用户和设备标识,无论这些用户和他们访问的设备在哪里:在云上还是在本地、远程还是内部。这也影响了认证方式以及组织机构首选的验证方法和设备。
在今天发布的2019 Duo信任访问报告 (2019 Duo Trusted Access Report) 显示,用于访问商业应用程序的移动设备中,有 77% 配置了生物识别技术。超过三分之二的用户使用基于移动设备推送的传统验证方法,例如通过电话和短信等进行身份验证。该公司的数据显示,在 Duo 的客户中,通过短信发送身份验证码的方法只占到 2.8%。然而短信仍是在很多在线服务中广泛使用的双因素身份验证方法。
Duo 的分析基于 5 亿用户的每月访问请求,这些请求来自 2400 万台商业设备涵盖了了超过 100 万个企业应用程序和资源,包括内部应用程序和云端应用程序。这些匿名数据涵盖了所有领域内的 15,000 多个组织机构。
Duo 还发现,企业员工使用 iOS 设备的数量同比增长7%,使用Android设备的数量增长了 2%。Windows 仍然是企业设备上最常见的操作系统,占 47%。但其总体使用量实际上比去年下降了8%。好消息是,Windows 10 的使用率持续上升,目前占 Duo 观察到的所有 Windows 终端设备的三分之二。
iOS、Android 和 Windows 10 的共同点在于,它们都支持某种形式的基于生物特征的身份验证:苹果设备有 Touch ID 和 Face ID, Android 有指纹传感器,Windows 10 有 Windows Hello。
为每个身份验证请求验证设备标识和安全性,还有助于 IT 安全团队对已知的漏洞做出响应,并迫使用户更快进行安全更新。其中一个例子是谷歌 Chrome 的一个零日漏洞,该漏洞于 3 月底公布,发现正在被利用。
在该漏洞被公布的当天,Duo 发现其产品使用过时的浏览器策略设置高达 79%,这导致身份验证尝试被拒绝的次数比正常情况高出 30 倍。这意味着 IT 安全团队利用这个策略设置来响应安全威胁的速度要比通过网络访问控制更快。
根据 Duo 的数据,用户设备上最常过时的浏览器是 Microsoft Edge (73%),其次是 Mozilla Firefox (35%)、Safari (23%) 和 Chrome (15%)。就操作系统而言,运行 Android 的设备最常被淘汰 (58%),而 iOS 设备为 38%。
使用生物识别技术作为一种双因素认证和用户身份验证的方式不仅被企业所采用,某些行业的监管机构也在推广生物认证方式。作为修订后的支付服务指令 (Payment Services Directive, PSD2) 的一部分,在线支付的新安全和认证要求将于 9 月在欧洲生效。该指令要求金融机构将需要通过双因素身份验证进行在线交易,例如通过一个手机上支持生物识别验证的应用程序。
相关阅读