Recentemente, o Escritório de Gestão e Orçamento (OMB) dos EUA divulgou Memorando M-22-09 que exige que os órgãos atinjam metas específicas de segurança de confiança zero até o final do ano fiscal de 2024. Avançar em direção à confiança zero é uma das principais metas de modernização da segurança cibernética do governo, conforme descrito no The Ordem executiva de 2021 sobre o aprimoramento da segurança cibernética do país.
Conforme descrito na Arquitetura de Referência Zero Trust do Departamento de Defesa, "O princípio fundamental do modelo de confiança zero é que nenhum ator, sistema, rede ou serviço que opere fora ou dentro do perímetro de segurança é confiável". Em vez disso, tudo e qualquer coisa que tente estabelecer acesso deve ser verificado.
A mudança para a confiança zero enfatiza "controles mais fortes de identidade e acesso corporativo, incluindo autenticação multifator (MFA)", pois sem "sistemas de identidade seguros e gerenciados pela empresa, os adversários podem assumir o controle de contas de usuários e ganhar uma posição em uma agência para roubar dados ou lançar ataques". Os processos de autenticação devem ser capazes de "detectar e impedir a divulgação de segredos e resultados de autenticação para um site ou aplicativo que se disfarça como um sistema legítimo". O memorando também afirma que a MFA deve ser integrada à camada do aplicativo, como por meio de um serviço de identidade corporativa, e não por meio de autenticação de rede, como uma rede privada virtual (VPN).
A RSA apóia a mudança para um modelo de confiança zero. Estamos ajudando organizações e agências em todo o mundo a enfrentar esse novo desafio por meio de uma abordagem completa e moderna do gerenciamento de identidade e acesso (IAM). A RSA oferece uma variedade de métodos de autenticação multifator (MFA) para atender às necessidades de diferentes usuários e casos de uso. A RSA restabelece identidades de usuários confiáveis e, ao mesmo tempo, emprega aprendizado de máquina e análise baseada em riscos para detectar atividades anômalas, incluindo possíveis ataques de phishing. Também oferecemos recursos inteligentes de governança e ciclo de vida, projetados para reduzir a superfície de ataque de uma organização. Para proteger a organização contra ameaças externas e internas, nossos produtos eliminam o excesso de permissões que podem ser exploradas por agentes de ameaças.
À medida que ajudamos nossos órgãos governamentais a avançar em direção à confiança zero e a se preparar para o M-22-09 e a Ordem Executiva, ajudamos nossos clientes a responder a uma variedade de perguntas sobre como atender a esses novos requisitos:
A RSA oferece uma ampla gama de opções de MFA forte para ajudar as agências federais a autenticar com segurança os usuários de qualquer lugar para qualquer coisa, incluindo sistemas de agências de última geração e legados. A migração para a nuvem, o trabalho remoto e as iniciativas digitais mudaram as redes, e o perímetro que historicamente protegia os recursos continua a se dissolver. Agora, as pessoas de todas as agências precisam se conectar de muitos locais diferentes; algumas até precisam fazer login sem acesso à Internet. Essa diversidade de ambientes e usuários apresenta uma série de desafios de autenticação, mas os órgãos governamentais precisam ser capazes de fornecer de forma confiável uma autenticação segura e conveniente, independentemente de onde as pessoas ou os dispositivos estejam localizados.
As soluções RSA conectam qualquer usuário, de qualquer lugar, a qualquer coisa. Oferecemos várias opções de autenticadores para atender a diferentes requisitos de agências e preferências de usuários, incluindo suporte para FIDO. Como membro do conselho da FIDO Alliance e copresidente do grupo de trabalho Enterprise, temos pressionado para remover as senhas muito antes de isso estar na moda, e estamos felizes que outras empresas tenham se comprometido com isso. plataformas estão agora tomando medidas semelhantes. Nossa plataforma de identidade suporta autenticação sem senha com disponibilidade de 99,95%, incluindo um recurso sem falhas que permite a autenticação sem uma conexão de rede, para que os usuários possam autenticar com segurança mesmo se a conectividade for interrompida, ou se estiverem sem serviço de Internet.
A RSA oferece uma variedade de recursos de IAM para dar suporte aos requisitos federais relacionados à confiança zero, segurança e autenticação na nuvem, e somos autorizados pelo FedRAMP e temos a confiança dos órgãos governamentais mais sensíveis. Neste momento, alguns órgãos podem ter aplicativos que não suportam FIDO, e estamos trabalhando para ajudar os clientes à medida que as soluções e empresas fazem a transição de sua infraestrutura e aplicativos para suportar FIDO. Enquanto isso, os órgãos podem continuar a precisar de soluções de senha de uso único (OTP), mas é importante perceber que nem todas as soluções de OTP são criadas da mesma forma.
O SecurID OTP implementado com segurança emprega vários controles para impedir que um invasor obtenha acesso a um OTP baseado em tempo (TOTP). Ele também impede o uso do TOTP no caso raro de um invasor obter acesso. Ao contrário do SMS TOTP, que tem uma janela de tempo que normalmente é de 10 a 15 minutos, nossa janela de tempo é de apenas 60 segundos. Além disso, o SMS OTP é transmitido por um canal inseguro que é regularmente alvo de abuso de fraude - o TOTP não é.
Ao limitar a vida útil de uma OTP a apenas um minuto, a RSA impede que agentes mal-intencionados armazenem fatores de autenticação para uso posterior. E mesmo quando um agente mal-intencionado tenta reutilizar a OTP dentro desse período de 60 segundos, nosso servidor de autenticação não aceitará uma OTP que já tenha sido vista. Essa rejeição cria um evento auditável, pois o usuário real precisa se autenticar uma segunda vez para obter acesso, ou o acesso é simplesmente negado. A possibilidade de usar uma OTP apenas uma vez para autenticar impede que um phisher espelhe ou armazene a tentativa de autenticação de um usuário legítimo. As OTPs da SecurID só podem ser usadas uma vez, e sua vida útil é extremamente curta.
Nosso mecanismo de risco baseado em aprendizado de máquina também detecta anomalias comportamentais. A autenticação baseada em risco da RSA usa técnicas e tecnologias para avaliar o risco que uma solicitação de acesso representa para a organização. Usando o aprendizado de máquina, a autenticação baseada em risco aprende com suas avaliações e aplica esse conhecimento a solicitações futuras.
A RSA não apenas protege a autenticação, mas também todo o ciclo de vida da identidade com gerenciamento de senhas de autoatendimento, certificação de acesso fácil e processos automatizados de entrada, movimentação e saída (JML), que garantem acesso adequado e em conformidade durante todo o ciclo de vida do usuário. A RSA gerencia o provisionamento e o desprovisionamento de autenticadores e fornece ferramentas de help-desk para ajudar a lidar com situações como perda de tokens e acesso de emergência.
A RSA também usa métodos criptográficos baseados em padrões para proteger toda a comunicação necessária para processar uma tentativa de autenticação. Empregamos criptografia de ponta a ponta do PIN e da OTP, que vai além da criptografia da camada de transporte, de modo que as OTPs não podem ser descriptografadas por um proxy. Esses métodos não apenas protegem a OTP e o PIN à medida que são transportados para dentro, para fora e entre redes, mas também garantem que os vários componentes de software possam se autenticar.
O phishing é um problema que não está desaparecendo, Mas é importante lembrar que a tecnologia não funciona de forma isolada. O sucesso de um ataque de phishing pode estar relacionado tanto à psicologia humana quanto à tecnologia. Uma força de trabalho instruída deve ser sua primeira linha de defesa. Os funcionários que estão atentos a e-mails de phishing não clicarão em links suspeitos que dão aos atacantes uma base de apoio.
Ao oferecer uma variedade de opções de autenticação e criar modelos comportamentais, os órgãos governamentais podem obter uma solução de autenticação resistente a phishing que ofereça uma defesa profunda que vá além de qualquer fator de autenticação específico.
Também é importante lembrar que qualquer tecnologia é tão boa quanto a sua implementação. Uma boa solução de autenticação precisa fazer mais do que lidar com possíveis ameaças de phishing. O provisionamento adequado e gerenciamento do ciclo de vida das credenciais devem ser partes holísticas da solução de autenticação. A RSA foi pioneira e estabeleceu práticas padrão do setor para alcançar esses objetivos para a autenticação baseada em OTP.
A RSA vem oferecendo inovações e soluções práticas de autenticação há décadas. Nossa tecnologia comprovada tem a confiança dos clientes governamentais e comerciais mais sensíveis à segurança em todo o mundo. Nosso IAM oferece os recursos de que sua organização precisa para atingir as metas essenciais de segurança cibernética nacional. Nossas soluções de autenticação são testadas ao longo do tempo e continuamos a inovar e refinar nossas implementações à medida que o cenário de ameaças evolui.
