Einige der größten Datenschutzverletzungen der letzten Zeit haben die Multi-Faktor-Authentifizierung (MFA) umgangen. Ob durch Angriffe auf die MFA-Konfiguration, Prompt-Bombardements von Benutzern oder Angriffe auf Subunternehmer - LAPSUS$ und staatlich unterstützte Agenten haben Wege gefunden, Schwachstellen im Identitätslebenszyklus anzugreifen, Daten zu exfiltrieren und aufzuzeigen, warum MFA Ihre erste Verteidigungslinie sein muss - aber nicht Ihre letzte.
Ich habe jeden dieser Angriffe in einem kürzlich durchgeführten Webinar erläutert, das Sie sich ansehen können auf Anfrage. Bei der detaillierten Beschreibung der Angriffe habe ich versucht, die von den Bedrohungsakteuren verwendeten Methoden und Exploits zu erklären.
Diese Erläuterungen warfen ebenso viele Fragen auf, wie sie beantworteten. Die Teilnehmer stellten einige großartige Fragen zu den relativen Stärken der verschiedenen Authentifizierungsfaktoren, zu Zero Trust, zu passwortlosen Verfahren und vielem mehr. Hier sind einige der Fragen, auf die wir während der Telefonkonferenz nicht eingehen konnten, sowie die Antworten, die ich gegeben hätte, wenn uns die Zeit nicht ausgegangen wäre:
A: Dies ist eine faszinierende Frage, über die noch viele Jahre lang diskutiert werden wird. Passwörter und PINs fallen beide in die Authentifizierungskategorie "etwas, das Sie wissen" und sind daher anfällig für Phishing-Angriffe. Im Vergleich zu Passwörtern sind PINs im Allgemeinen kürzer und verwenden einen begrenzten Zeichensatz. Aus einer entropischen Perspektive sind PINs also schwächer Je größer die Anzahl der möglichen Optionen, desto schwieriger ist es, ein Passwort oder eine PIN zu knacken.
Aber das ist nur ein Teil der Geschichte. Im Gegensatz zu Passwörtern sind PINs (oder zumindest PINs gemäß der Definition in NIST SP800-63) lokal validiert. Das bedeutet, dass sie niemals übertragen oder in einem zentralen Speicher abgelegt werden. Dadurch ist es sehr viel unwahrscheinlicher, dass PINs bei einem Raubüberfall abgefangen oder gestohlen werden.
Wie so oft haben die Umgebung, die Konfiguration und die Ausbildung der Benutzer einen größeren Einfluss auf Ihre allgemeine Cybersicherheit als Protokolle oder Technologien.
A: Ein "Fail-Open"-System ist ein System, das standardmäßig geöffnet wird, wenn die Standardbetriebskontrollen nicht funktionieren. Dies ist zwar ein wichtiges Sicherheitsprinzip im Bereich der physischen Sicherheit (z. B. sollten im Falle eines Brandes alle Außentüren sofort entriegelt werden), aber es ist nicht so gut, wenn es um den Schutz des Zugangs zu Ihren kritischen Anlagen geht.
Im Anwendungsfall der NRO verschafften sich die Angreifer Zugang zu den Anlagen, indem sie das lokale System daran hinderten, mit dem Cloud-basierten MFA-Anbieter zu kommunizieren und so die MFA-Kontrolle zu umgehen. Dies war möglich, weil die eingesetzte Identitätslösung standardmäßig auf eine "nicht öffnenSicherheitsposition").
Es gibt mehrere Möglichkeiten, dies zu vermeiden, ohne die Benutzer aus dem System auszuschließen. Die erste ist der Einsatz eines hybriden Authentifizierungssystems, das bei einem Internetausfall auf einen lokalen (vor Ort befindlichen) Knoten zurückgreifen kann. Die zweite Möglichkeit ist der Einsatz eines Authentifizierungssystems, das offline validiert werden kann. RSA ID Plus unterstützt beide Optionen.
A: Wenn ich etwas anderes antworte als 'RSA ID Plus', bin ich ziemlich sicher, dass ich meinen Job verliere.
Aber ganz im Ernst: Es gibt mehrere Dinge, auf die ich achten würde. Erstens: Hat der Anbieter eine nachweisliche Erfolgsbilanz? Zweitens: Ist Identität das Kernstück seines Geschäfts oder nur eines von vielen Dingen, die er tut? Drittens: Gibt der Anbieter bei seinen Designentscheidungen der Bequemlichkeit Vorrang vor der Sicherheit? Viertens: Bietet die Lösung die nötige Flexibilität, um eine breite Palette von Benutzern und Anwendungsfällen zu unterstützen, einschließlich der veralteten Anwendungen in den Eingeweiden Ihres Rechenzentrums? Und schließlich: Wenn etwas schief geht (und das wird es), steht der Anbieter dann mit voller Transparenz dazu, oder vernebelt er die Situation und schiebt die Schuld ab?
Sicherheit ist nicht einfach und Bedrohungsakteure Zielidentität mehr als jeder andere Teil der Angriffsfläche. Unternehmen brauchen IDPs, die das verstehen.
A: Zero Trust Network Access (ZTNA) ist ein Konzept, das auf dem Grundsatz beruht, dass Vertrauen niemals angenommen allein auf der Verbindung eines Benutzers mit dem lokalen Intranet basiert - die Benutzer müssen ständig authentifiziert werden, sie müssen die Erlaubnis haben, auf eine bestimmte Ressource zuzugreifen, und sie müssen auch einen gültigen Grund dafür haben, dies zu tun.
Obwohl es heute viele "Zero Trust"-Produkte auf dem Markt gibt, ist es wichtig zu wissen, dass ZTNA ein konzeptioneller Rahmen und eine Reihe von Best Practices ist. Wie Die Art und Weise, wie Sie die Technologie einsetzen, Ihre Richtlinien festlegen und Ihr Ökosystem verwalten, bestimmt Ihre ZTNA-Position. Technologie kann sicherlich helfen, aber wenn ein Anbieter Ihnen sagt, dass sein Produkt Sie ZTNA-konform macht, sollten Sie sich einen anderen suchen.
Wenn Sie mehr über Zero Trust erfahren möchten, empfehle ich Ihnen, mit den sieben Prinzipien von Zero Trust zu beginnen, die in NIST SP800-207 definiert sind.
A: Mit Optionen wie Apple Face ID, die für mobile Nutzer nahezu allgegenwärtig sind, ist die Biometrie definitiv eine beliebte Form der passwortlosen Authentifizierung, aber sicherlich nicht die einzige. FIDO2 ist eine zunehmend verbreitete Wahl sowohl für Verbraucher als auch für Unternehmensanwendungen. Kontaktlose Methoden wie QR-Code, BLE und NFC werden ebenfalls verwendet, wenn auch in geringerem Umfang. Zunehmend werden KI-Prinzipien wie intelligente Regeln, maschinelles Lernen und Verhaltensanalysen eingesetzt, um das Vertrauen in die Identität als unsichtbare Authentifizierungsfaktoren zu stärken, die für den Endbenutzer wenig oder gar keine Reibungsverluste verursachen. RSA ID Plus unterstützt heute alle diese Optionen.
A: Ich denke, diese drei Angriffe zeigen, dass "Identitäts- und Zugriffsmanagement", wenn nicht ein veralteter, so doch ein unzureichender Begriff ist.
Diese Angriffe machen deutlich, dass wir Identitäten nicht nur verwalten, sondern auch sichern müssen. So reicht es beispielsweise nicht aus, den Zugang zu gewähren: Wir sollten uns zunächst fragen: "Braucht der Benutzer Zugang? Wenn ja, für wie lange? Haben wir ihm zu viel Zugang gewährt oder gerade genug? Woher sollen wir das überhaupt wissen? Ich glaube nicht, dass die Administratoren in vielen Fällen wissen, was sie tun sollen - oder wie sie es herausfinden können.
Bedrohungsakteure wissen, dass es bei der Identität um mehr geht als um die Verwaltung der Identität. Die Angriffe, die ich besprochen habe, zeigen, wie Cyberkriminelle die Lücken angreifen, die IAM nicht abdeckt. Ich denke, dass das Verständnis von Identität in Unternehmen erweitert werden muss, um den gesamten Identitätslebenszyklus zu berücksichtigen und zu sichern.
Auf technischer Ebene denke ich, dass KI eine große Rolle bei der Verarbeitung der enormen Mengen an Authentifizierungs-, Berechtigungs- und Nutzungsdaten spielen wird. Eine intelligente Plattform, die feinkörnige Daten schnell und in großem Umfang auswerten kann, ist ein echter Gewinn für die Sicherheit von Unternehmen.
A: SecurID und YubiKey sind jeweils die führenden Authentifizierungssysteme in ihren jeweiligen Kategorien. Und die gute Nachricht: RSA ID Plus unterstützt beide (neben vielen anderen Authentifizierungsoptionen).
Abgesehen von den Herstellerspezifika haben OTP- und FIDO-Authentifikatoren jeweils ihre eigenen Vorteile. Während FIDO als sichere und bequeme Option für webbasierte Anmeldungen immer beliebter wird, sind die softwarebasierten FIDO-Optionen nach wie vor nur begrenzt vielseitig, Hardwaregeräte erfordern oft eine physische Verbindung, und echte Unterstützung für FIDO über den Webbrowser hinaus gibt es so gut wie nicht. In der Zwischenzeit hat OTP den Vorteil, dass es fast überall funktioniert - auf Hardware oder Software - ohne dass eine spezielle Client-Software oder eine physische Verbindung erforderlich ist.
Beim Vergleich von OTP und FIDO ist die beste Antwort jedoch meist ein "UND". Hybridgeräte wie der RSA DS100-Authentifikator kombinieren das Beste aus beiden Welten und bieten OTP und FIDO2 in einem einzigen Formfaktor, um maximale Flexibilität und breite Unterstützung zu bieten.
