تهربت بعض أكبر اختراقات البيانات في الذاكرة الحديثة من المصادقة متعددة العوامل (MFA). وسواء كان ذلك من خلال مهاجمة كيفية تكوين المصادقة متعددة العوامل، أو من خلال مهاجمة المستخدمين الذين قاموا بقصف سريع، أو مهاجمة المتعاقدين من الباطن، فقد وجدت LAPSUS$ والعملاء الذين ترعاهم الدولة طرقاً لمهاجمة نقاط الضعف في دورة حياة الهوية، واستخراج البيانات، وكشف لماذا يجب أن تكون المصادقة متعددة العوامل خط الدفاع الأول - ولكن ليس الأخير.
لقد تحدثت عن كل من هذه الهجمات خلال ندوة عبر الإنترنت مؤخرًا يمكنك مشاهدتها عند الطلب. في تفصيل تشريح الهجمات، حاولت شرح الأساليب وعمليات الاستغلال التي استخدمتها الجهات الفاعلة في التهديد.
وقد أثارت هذه التوضيحات العديد من الأسئلة بقدر ما أجابت عنها. وطرح الحاضرون بعض الأسئلة الرائعة حول نقاط القوة النسبية لعوامل المصادقة المختلفة، والثقة الصفرية، وعدم وجود كلمة مرور، وغير ذلك. فيما يلي بعض الأسئلة التي لم نتمكن من الإجابة عليها خلال المكالمة والإجابات التي كنت سأشاركها لو لم ينفد الوقت:
ج: هذا سؤال رائع سيتم مناقشته لسنوات عديدة قادمة. تندرج كل من كلمات المرور وأرقام التعريف الشخصية ضمن فئة المصادقة "شيء تعرفه" وبالتالي فهي عرضة لهجمات التصيد الاحتيالي. بالمقارنة مع كلمات المرور، تكون أرقام التعريف الشخصية بشكل عام أقصر في الطول وتستخدم مجموعة أحرف مقيدة. لذلك من من منظور إنتروبي، فإن أرقام التعريف الشخصية هي أضعف من كلمات المرور - أي أنه كلما زاد عدد الخيارات المحتملة، كلما كان من الصعب فرض كلمة مرور أو رقم تعريف شخصي بالقوة الغاشمة.
ولكن هذا جزء فقط من القصة. على عكس كلمات المرور، فإن أرقام التعريف الشخصية (أو على الأقل أرقام التعريف الشخصية كما حددها NIST SP800-63) هي معتمد محلياً. وهذا يعني أنه لا يتم نقلها أو تخزينها في مستودع مركزي. وهذا يقلل من احتمالية اعتراض أرقام التعريف الشخصية أو سرقتها في هجوم التحطيم والاستيلاء.
كما هو الحال في كثير من الأحيان، يكون للبيئة والتكوين وتعليم المستخدم تأثير أكبر على وضع الأمن السيبراني العام من البروتوكولات أو التقنيات.
ج: نظام "عدم الفتح" هو النظام الذي يتم فتحه افتراضيًا عندما تكون عناصر التحكم في التشغيل القياسية غير فعالة. في حين أن هذا مبدأ سلامة مهم في الأمن المادي (على سبيل المثال، في حالة نشوب حريق، يجب فتح جميع الأبواب الخارجية على الفور)، إلا أنه ليس رائعًا عند حماية الوصول إلى أصولك المهمة.
في حالة استخدام المنظمات غير الحكومية، تمكن المهاجمون من الوصول إلى الأصل عن طريق منع النظام المحلي من التواصل مع مزود خدمة المصادقة متعددة الأطراف المستندة إلى السحابة، متجاوزين بذلك التحكم في المصادقة متعددة الأطراف. كان هذا ممكناً لأن حل الهوية المعمول به كان افتراضياً إلى "فشل مفتوح" الوضع الأمني).
هناك عدة طرق يمكن من خلالها تجنب هذا الأمر دون حجب المستخدمين عن النظام. الطريقة الأولى هي استخدام نظام مصادقة هجين يمكن أن يعود إلى عقدة محلية (داخل الشركة) في حالة تعطل الإنترنت. والثاني هو استخدام نظام مصادقة يمكن التحقق من صحته دون اتصال بالإنترنت. يدعم RSA ID Plus كلا الخيارين.
ج: إذا أجبت بأي شيء آخر غير "RSA ID Plus"، فأنا متأكد تمامًا من أنني سأفقد وظيفتي.
ولكن بكل جدية، هناك العديد من الأشياء التي سأبحث عنها. أولاً، هل لدى البائع سجل حافل؟ ثانياً، هل الهوية هي جوهر أعمالهم أم أنها مجرد واحدة من بين العديد من الأشياء التي يقومون بها؟ ثالثاً، هل يعطي البائع الأولوية للراحة على الأمان في اتخاذ قرارات التصميم؟ رابعاً، هل يوفر الحل المرونة اللازمة لدعم مجموعة واسعة من المستخدمين وحالات الاستخدام، بما في ذلك تلك التطبيقات القديمة المشعرة في أحشاء مركز البيانات الخاص بك؟ وأخيراً، عندما تسوء الأمور (وستحدث)، هل يتحمل البائع المسؤولية بشفافية كاملة أم أنه يقوم بالتعتيم وإلقاء اللوم على الآخرين؟
الأمن ليس بالأمر السهل، والتهديدات الهوية المستهدفة أكثر من أي جزء آخر من سطح الهجوم. تحتاج المؤسسات إلى نازحين داخليين يفهمون ذلك.
ج: الوصول إلى شبكة الثقة الصفرية (ZTNA) هو مفهوم يستند إلى مبدأ أن الثقة يجب ألا تكون افترض استنادًا فقط إلى اتصال المستخدم بالشبكة الداخلية المحلية - يجب أن تتم مصادقة المستخدمين بشكل مستمر، ويجب أن يكون لديهم إذن للوصول إلى مورد معين، ويجب أن يكون لديهم أيضًا سبب وجيه للقيام بذلك.
في حين أن هناك العديد من منتجات "الثقة الصفرية" في السوق اليوم، من المهم ملاحظة أن ZTNA هو إطار مفاهيمي ومجموعة من أفضل الممارسات. كيف أنت توظف التكنولوجيا، وتحدد سياساتك، وتدير نظامك البيئي الذي سيحدد وضعك في ZTNA. يمكن للتكنولوجيا أن تساعدك بالتأكيد، ولكن إذا أخبرك أي بائع أن منتجه سيجعلك متوافقًا مع ZTNA، فابحث عن شخص آخر.
إذا كنت ترغب في معرفة المزيد عن الثقة الصفرية، فإنني أوصي بالبدء بالمبادئ السبعة للثقة الصفرية المحددة في NIST SP800-207.
ج: مع انتشار خيارات مثل معرّف الوجه من Apple Face ID في كل مكان تقريبًا لمستخدمي الأجهزة المحمولة، فإن القياسات الحيوية هي بالتأكيد شكل شائع من أشكال المصادقة بدون كلمة مرور، ولكنها بالتأكيد ليست الوحيدة. يعد FIDO2 خيارًا شائعًا بشكل متزايد لكل من حالات استخدام المستهلكين والمؤسسات. كما يتم استخدام طرق عدم التلامس مثل رمز الاستجابة السريعة و BLE و NFC، وإن كان ذلك بدرجة أقل. على نحو متزايد، يتم استخدام مبادئ الذكاء الاصطناعي مثل القواعد الذكية والتعلم الآلي والتحليلات السلوكية لزيادة الثقة في الهوية كعوامل غير مرئية للمصادقة التي لا تسبب احتكاكًا كبيرًا أو لا تسبب أي احتكاك للمستخدم النهائي. تدعم RSA ID Plus جميع هذه الخيارات اليوم.
ج: أعتقد أن هذه الهجمات الثلاث تُظهر جميعًا أن "إدارة الهوية والوصول" إن لم يكن مصطلحًا قديمًا، فربما يكون مصطلحًا غير كافٍ.
تؤكد هذه الهجمات على أننا بحاجة إلى تأمين الهويات، وليس فقط إدارتها. على سبيل المثال، لا يكفي توفير الوصول: يجب أن نبدأ بالسؤال "هل يحتاج المستخدم إلى الوصول؟ إذا كان الأمر كذلك، فإلى متى؟ هل زودناهم بوصول أكثر من اللازم أم بما يكفي؟ كيف لنا أن نعرف ذلك؟ في الكثير من الحالات، لا أعتقد أن المسؤولين سيعرفون بطريقة أو بأخرى - أو حتى كيف يكتشفون ذلك.
تدرك الجهات الفاعلة في مجال التهديدات أن هناك ما هو أكثر من مجرد إدارة الهوية. توضح الهجمات التي استعرضتها كيف أن مجرمي الإنترنت يهاجمون الثغرات التي لا تأخذها إدارة الهوية في الحسبان. أعتقد أن فهم المؤسسات للهوية يجب أن يتوسع ليأخذ في الحسبان و تأمين دورة حياة الهوية الكاملة.
على مستوى أكثر تقنية، أعتقد أن الذكاء الاصطناعي سيكون له دور كبير في معالجة الكميات الهائلة من بيانات المصادقة والاستحقاق والاستخدام. إن وجود نظام أساسي ذكي يمكنه تقييم البيانات الدقيقة بسرعة وعلى نطاق واسع يمكن أن يكون رصيدًا حقيقيًا في الحفاظ على أمان المؤسسات.
ج: يعد كل من SecurID و YubiKey من المصادقات الرائدة في فئتها. والخبر السار - يدعم RSA ID Plus كلاهما (من بين العديد من خيارات المصادقة الأخرى).
بالابتعاد عن تفاصيل البائعين، فإن لكل من مصادقة OTP و FIDO مزايا فريدة من نوعها. فبينما تزداد شعبية FIDO كخيار آمن وملائم لتسجيل الدخول على الويب، لا تزال خيارات FIDO القائمة على البرامج محدودة الاستخدام، وغالباً ما تتطلب الأجهزة اتصالاً فعلياً، والدعم الحقيقي ل FIDO خارج متصفح الويب غير موجود تقريباً. وفي الوقت نفسه، يتمتع OTP بميزة العمل في أي مكان تقريبًا - على الأجهزة أو على البرامج - دون الحاجة إلى أي برنامج عميل متخصص أو اتصال مادي.
عند المقارنة بين OTP و FIDO، عادةً ما تكون أفضل إجابة هي "و". تجمع الأجهزة الهجينة مثل RSA DS100 المصادقة بين أفضل ما في العالمين، حيث تقدم OTP وFIDO2 في عامل شكل واحد لتوفير أقصى قدر من المرونة واتساع نطاق الدعم.
