5 Praktikat më të mira për të identifikuar identitetin
Vjedhja me vlerë u rrit me 160% në 2025 , duke kontribuar në një në pesë shkelje të të dhënave pasi sulmuesit punësuan sulmet e drejtuara nga AI për të anashkaluar mbrojtjen tradicionale.
Sfida për ekipet e sigurisë është zhvilluar nga thjesht verifikimi i identiteteve në verifikimin e tyre të sigurtë pa krijuar fërkime për përdoruesit e ligjshëm. Proceset e dobëta në bord, mbingarkesa në kredencialet statike dhe politikat e papërputhshme të autentifikimit, të gjitha krijojnë mundësi për sulmuesit që të shfrytëzojnë.
Të kuptojmë se verifikimi i identitetit është po aq i sigurt sa është e mundur, është bërë pjesë thelbësore e elasticitetit modern në internet. Më poshtë janë pesë praktika më të mira që organizatat mund t’i përdorin për të forcuar verifikimin e identitetit dhe për të ndërtuar kontrolle më të qëndrueshme hyrjeje nëpër rrjetet e tyre.
1. Përdor një autentifikim shumë-prodhues të fortë dhe të lodhshëm
Autentikimi shumë-prodhues (MFA) mbetet një nga mënyrat më efektive për të forcuar verifikimin e identitetit dhe për të reduktuar rrezikun e kompromisit të llogarisë. Në vend që të mbështeten vetëm në një fjalëkalim, MFA kërkon që përdoruesit të verifikojnë identitetin e tyre duke përdorur dy apo më shumë faktorë nga kategori të ndryshme:
Sipas udhëheqjes së NIST , MFA është më e fortë kur kombinon faktorët nga kategoritë e ndara. Një fjalëkalim i çiftuar me një aplikacion të kompjuterëve apo autentik siguron mbrojtje të konsiderueshme më të fortë se sa të mbështetesh në faktorë të shumtë bazuar në njohuri si fjalëkalimet dhe çështjet e sigurisë. Megjithatë, MFA nuk është imune ndaj shfrytëzimit, me zbatime më të dobëta të prekshme ndaj sulmeve si bombardimi i shpejtë dhe shkëmbimi i SIM.
Për të përmirësuar elasticitetin kundër këtyre teknikave, organizatat duhet të:
Kontrollo fjalëkalimet në Directory aktive me Politikën e Fjalëkalimeve Specops
Verizonas Data Breach Report gjeti se kredencialet e vjedhura janë përfshirë në 44.7% të shkeljeve. Siguroni pa u përpjekur në mënyrë aktive Directory me politika të vazhdueshme pas fjalëkalimi, duke bllokuar 4+ miliardë fjalëkalime të komprometuara, duke rritur sigurinë, dhe duke prerë pengesat e mbështetjes!
2. Siguroje tavolinën e shërbimit nga inxhinieria sociale
Ndihmësit mbeten një shënjestër e shpeshtë për sulmet e inxhinierisë sociale, sepse ata ulen në kryqëzimin e identitetit, aksesit dhe kërkesave urgjente të përdoruesve. Sulmuesit imitojnë punonjësit për të bindur stafin mbështetës për të fituar akses në llogaritë, zakonisht edhe pse një kërkesë e rivendosur.
Këto sulme janë gjithnjë e më të sofistikuara, me aktorët kërcënues që përdorin audion e thellë ose informacionin publik në dispozicion për t’i bërë kërkesat të duken të ligjshme.
Në disa shkelje të profilit të lartë, duke përfshirë Marks dhe Spencers (M&S) dhe Cloroks , kompromisi në tavolinën e shërbimit ishte hapi i parë drejt vendosjes së disponimeve ose lëvizjes më të gjerë anësore. Në rastin e M&S, sulmi rezultoi në një pezullim pesë-ditor të shitjeve, mesatarisht me humbje ditore prej 3.8 milionë paundësh.
Problemi rrallë është mungesa e mjeteve të sigurisë, por verifikimi i identiteteve të papajtueshme gjatë bashkëveprimeve të mbështetjes me presion të lartë.
Zgjidhje të specializuara si Specops Secure Service Desk Consecreaded Desk siguron verifikimin e identitetit direkt në hyrjet e punës, duke u kërkuar përdoruesve të verifikojnë identitetin e tyre nëpërmjet metodave të besueshme të autentifikimit përpara se fjalëkalimi të rivendoset, ndryshimet e MFA-së apo veprime të tjera të ndjeshme mund të kompletohen.
Kjo ndihmon ekipet mbështetëse t’i përballojnë kërkesat me siguri dhe pakëson rrezikun e sulmuesve që anashkalon kontrollet nëpërmjet inxhinierisë sociale.
Për veprime veçanërisht me rrezik të lartë në tryezën e shërbimit, Specops Verified ID shton skanimin e dokumentit qeveritar dhe zbulimin e jetës biometrike ndaj flukseve të funksionimit të identitetit. Me këtë shtresë tjetër mbrojtjeje, organizatat mund të lehtësojnë rrezikun e sulmeve të mishërimit që çojnë në llogari të marrjes së parave.
3.
Verifikimi i identitetit modern mund të mbështetet vetëm në kredencialet. Së bashku me kredencialet e vlefshme, sulmuesit vjedhin biskotat e seancës dhe shenjat e MFA-së për të thyer procesin e autentifikimit dhe e bëjnë më të vështirë dallimin e përdoruesve të ligjshëm nga llogaritë e komprometuara vetëm në detajet e hyrjes.
Kjo është arsyeja pse më shumë organizata po e sjellin besimin e pajisjeve në autentifikim dhe në vendimet e hyrjes.
Mjeti i besimit i ndihmon ekipet e sigurisë të verifikojnë jo vetëm se kush po përpiqet të hyjë, por edhe se nga çfarë po hyjnë. Në vend që të trajtojnë në mënyrë të barabartë çdo pajisje, politikat e besueshme të hyrjes vlerësojnë sinjale të tilla si:
Këto sinjale i shtojnë një kontekst të vlefshëm flukseve të verifikimit të identitetit. Për shembull, një hyrje nga një pajisje e njohur dhe e përshtatshme në rrjetin e korporatave mund të kërkojë fërkim minimal.
Të njëjtat kredenciale të përdorura nga një pajisje e pamenazhuar apo interval i dyshimtë IP mund të shkaktojnë autentifikimin hap-up, qasje të kufizuar, apo një sesion të bllokuar krejtësisht.
MFA redukton ndjeshëm rrezikun e kredencialeve të komprometuara, por shumë organizata tani po shohin krejtësisht përtej fjalëkalimeve. Një nga opsionet më të përhapura pa fjalëkalim është passkees.
Ndërtuar në standardet e FIDO2 dhe WebAuthn, kalimtarët përdorin kriptografi publike për të identifikuar përdoruesit pa transmetuar fjalëkalime në të gjithë rrjetin. Çelësi privat qëndron i ruajtur në mënyrë të sigurt në pajisjen e përdoruesit, duke i bërë kaskees rezistente ndaj feshing