Vor kurzem veröffentlichte das US Office of Management and Budget (OMB) Memorandum M-22-09 die von den Behörden verlangt, dass sie bis zum Ende des Haushaltsjahres 2024 bestimmte Null-Vertrauens-Sicherheitsziele erreichen. Das Voranschreiten in Richtung Zero-Trust ist eines der wichtigsten Modernisierungsziele für die Cybersicherheit der Regierung, wie sie in der 2021 Durchführungsverordnung zur Verbesserung der Cybersicherheit der Nation.
Wie in der Zero-Trust-Referenzarchitektur des Verteidigungsministeriums beschrieben, "ist der Grundgedanke des Zero-Trust-Modells, dass keinem Akteur, System, Netzwerk oder Dienst, der außerhalb oder innerhalb des Sicherheitsbereichs operiert, vertraut wird. Stattdessen muss alles und jeder, der versucht, Zugang zu erhalten, überprüft werden.
Der Übergang zu Zero Trust betont "stärkere Identitäts- und Zugangskontrollen im Unternehmen, einschließlich der Multi-Faktor-Authentifizierung (MFA)", denn ohne "sichere, vom Unternehmen verwaltete Identitätssysteme können Angreifer Benutzerkonten übernehmen und in einer Behörde Fuß fassen, um Daten zu stehlen oder Angriffe zu starten". Die Authentifizierungsprozesse müssen in der Lage sein, "die Offenlegung von Authentifizierungsgeheimnissen und Ausgaben an eine Website oder Anwendung, die sich als legitimes System ausgibt, zu erkennen und zu verhindern". Das Memorandum besagt auch, dass MFA auf der Anwendungsebene integriert werden sollte, z. B. durch einen Unternehmensidentitätsdienst, und nicht durch Netzwerkauthentifizierung, z. B. über ein virtuelles privates Netzwerk (VPN).
RSA unterstützt den Übergang zu einem Zero-Trust-Modell. Wir helfen Organisationen und Behörden auf der ganzen Welt, diese neue Herausforderung durch einen umfassenden und modernen Ansatz für das Identitäts- und Zugriffsmanagement (IAM) zu meistern. RSA bietet eine Reihe von Multi-Faktor-Authentifizierungsmethoden (MFA) an, um die Anforderungen verschiedener Benutzer und Anwendungsfälle zu erfüllen. RSA stellt vertrauenswürdige Benutzeridentitäten wieder her und setzt gleichzeitig maschinelles Lernen und risikobasierte Analysen ein, um anomale Aktivitäten einschließlich potenzieller Phishing-Angriffe zu erkennen. Darüber hinaus bieten wir intelligente Governance- und Lebenszyklus-Funktionen, die die Angriffsfläche einer Organisation verringern sollen. Zum Schutz des Unternehmens vor externen und internen Bedrohungen beseitigen unsere Produkte Überberechtigungen, die von Bedrohungsakteuren ausgenutzt werden können.
Während wir unsere Regierungsbehörden bei der Umstellung auf Zero Trust und bei der Vorbereitung auf M-22-09 und die Executive Order unterstützt haben, haben wir unseren Kunden bei der Beantwortung einer Vielzahl von Fragen geholfen, wie sie auf diese neuen Anforderungen reagieren können:
RSA bietet eine breite Palette an starken MFA-Optionen, die es Bundesbehörden ermöglichen, Benutzer von jedem Ort aus sicher zu authentifizieren, einschließlich der Systeme der nächsten Generation und älterer Behörden. Die Umstellung auf die Cloud, Remote-Arbeit und digitale Initiativen haben Netzwerke verändert, und die Abgrenzung, die Ressourcen in der Vergangenheit geschützt hat, löst sich immer weiter auf. Jetzt müssen sich die Mitarbeiter jeder Behörde von vielen verschiedenen Standorten aus verbinden; einige müssen sich sogar ohne Internetzugang anmelden. Diese Vielfalt an Umgebungen und Benutzern stellt eine Reihe von Authentifizierungsherausforderungen dar. Behörden müssen jedoch in der Lage sein, zuverlässig eine sichere und bequeme Authentifizierung zu gewährleisten, unabhängig davon, wo sich Personen oder Geräte befinden.
RSA-Lösungen verbinden jeden Benutzer von überall aus mit allem. Wir bieten eine Vielzahl von Authentifizierungslösungen für unterschiedliche Anforderungen von Behörden und Benutzerpräferenzen, einschließlich Unterstützung für FIDO. Als Vorstandsmitglied der FIDO Alliance und Co-Vorsitzender der Enterprise-Arbeitsgruppe haben wir uns für die Abschaffung von Passwörtern eingesetzt, lange bevor es in Mode kam, und wir sind froh, dass einige andere Plattformen unternehmen nun ähnliche Schritte. Unsere Identitätsplattform unterstützt passwortlose Authentifizierung mit einer Verfügbarkeit von 99,95%, einschließlich einer No-Fail-Funktion, die eine Authentifizierung ohne Netzwerkverbindung ermöglicht, so dass die Benutzer Sichere Authentifizierung, auch wenn die Verbindung unterbrochen ist, oder wenn sie keinen Internetanschluss haben.
RSA bietet eine Vielzahl von IAM-Funktionen Wir sind FedRAMP-autorisiert und genießen das Vertrauen der sensibelsten Regierungsbehörden. Zu diesem Zeitpunkt haben einige Behörden möglicherweise Anwendungen, die FIDO nicht unterstützen, und wir arbeiten daran, Kunden bei der Umstellung ihrer Infrastruktur und Anwendungen auf FIDO zu unterstützen. In der Zwischenzeit benötigen die Behörden möglicherweise weiterhin Lösungen für Einmalpasswörter (OTP), aber es ist wichtig zu wissen, dass nicht alle OTP-Lösungen gleich sind.
Das sicher implementierte SecurID OTP setzt mehrere Kontrollen ein, um zu verhindern, dass ein Angreifer Zugang zu einem zeitbasierten OTP (TOTP) erhält. Es verhindert auch die Verwendung des TOTP in dem seltenen Fall, dass ein Angreifer Zugang erhält. Im Gegensatz zum SMS-TOTP, das ein Zeitfenster von 10-15 Minuten hat, beträgt unser Zeitfenster nur 60 Sekunden. Außerdem wird SMS OTP über einen unsicheren Kanal übertragen, der regelmäßig Ziel von Betrugsversuchen ist - bei TOTP ist das nicht der Fall.
Durch die Begrenzung der Lebensdauer eines OTP auf nur eine Minute verhindert RSA, dass böswillige Akteure Authentifizierungsfaktoren zur späteren Verwendung speichern. Und selbst wenn ein böswilliger Akteur versucht, das OTP innerhalb dieses 60-Sekunden-Fensters erneut zu verwenden, akzeptiert unser Authentifizierungsserver kein OTP, das er bereits gesehen hat. Diese Ablehnung führt zu einem überprüfbaren Ereignis, da der echte Benutzer sich dann ein zweites Mal authentifizieren muss, um Zugang zu erhalten, oder ihm wird einfach der Zugang verweigert. Die Tatsache, dass ein OTP nur einmal zur Authentifizierung verwendet werden kann, hindert einen Phisher daran, den Authentifizierungsversuch eines legitimen Benutzers zu spiegeln oder zu speichern. SecurID OTPs können nur einmal verwendet werden, und ihre Lebensdauer ist sehr kurz.
Unsere auf maschinellem Lernen basierende Risiko-Engine erkennt auch Verhaltensanomalien. Die risikobasierte Authentifizierung von RSA nutzt Techniken und Technologien, um das Risiko zu bewerten, das eine Zugriffsanfrage für das Unternehmen darstellt. Mithilfe des maschinellen Lernens lernt die risikobasierte Authentifizierung aus ihren Bewertungen und wendet dieses Wissen auf zukünftige Anfragen an.
RSA sichert nicht nur die Authentifizierung, sondern den gesamten Identitätslebenszyklus mit Self-Service-Passwortmanagement, einfacher Zugriffszertifizierung und automatisierten JML-Prozessen (Joiner, Mover, Leaver), die einen angemessenen, konformen Zugriff während des gesamten Benutzerlebenszyklus gewährleisten. RSA verwaltet das Provisioning und Deprovisioning von Authentifikatoren und stellt Helpdesk-Tools zur Verfügung, um Situationen wie verlorene Token und Notfallzugriff zu bewältigen.
RSA verwendet außerdem standardbasierte kryptografische Methoden, um die gesamte Kommunikation zu schützen, die zur Verarbeitung eines Authentifizierungsversuchs erforderlich ist. Wir verwenden eine Ende-zu-Ende-Verschlüsselung sowohl der PIN als auch des OTP, die über die Verschlüsselung auf der Transportschicht hinausgeht, so dass OTPs nicht von einem Proxy entschlüsselt werden können. Diese Methoden schützen nicht nur das OTP und die PIN beim Transport in, aus und über Netzwerke hinweg, sondern stellen auch sicher, dass die verschiedenen Softwarekomponenten sich selbst authentifizieren können.
Phishing ist ein Problem, das nicht verschwinden wird, Es ist jedoch wichtig, daran zu denken, dass die Technologie nicht isoliert funktioniert. Der Erfolg eines Phishing-Angriffs kann ebenso viel mit der menschlichen Psychologie zu tun haben wie mit der Technologie. Eine gut ausgebildete Belegschaft sollte Ihre erste Verteidigungslinie sein. Mitarbeiter, die auf der Hut vor Phishing-E-Mails sind, klicken nicht auf verdächtige Links, die Angreifern einen Ansatzpunkt bieten.
Durch die Bereitstellung einer Auswahl an Authentifizierungsoptionen und die Erstellung von Verhaltensmodellen können Behörden eine phishing-resistente Authentifizierungslösung erreichen, die einen umfassenden Schutz bietet, der über einen bestimmten Authentifizierungsfaktor hinausgeht.
Es ist auch wichtig, daran zu denken, dass jede Technologie nur so gut ist wie ihre Implementierung. Eine gute Authentifizierungslösung muss mehr leisten als nur potenzielle Phishing-Bedrohungen abzuwehren. Ordnungsgemäße Bereitstellung und Verwaltung des Lebenszyklus von Berechtigungsnachweisen müssen ganzheitliche Bestandteile der Authentifizierungslösung sein. RSA hat Pionierarbeit geleistet und branchenübliche Praktiken eingeführt für Erreichen dieser Ziele für die OTP-basierte Authentifizierung.
RSA bietet seit Jahrzehnten Innovationen und praktische Authentifizierungslösungen an. Unsere bewährte Technologie genießt das Vertrauen der sicherheitssensibelsten staatlichen und kommerziellen Kunden auf der ganzen Welt. Unser IAM bietet die Funktionen, die Ihre Organisation benötigt, um wichtige nationale Cybersicherheitsziele zu erreichen. Unsere Authentifizierungslösungen haben sich im Laufe der Zeit bewährt, und wir entwickeln und verfeinern unsere Implementierungen ständig weiter, da sich die Bedrohungslandschaft weiterentwickelt.
