Lembra-se de quando um nome de usuário e uma senha eram seu ingresso para quase tudo? A segurança de identidade evoluiu consideravelmente, e continua evoluindo, em resposta à evolução contínua das ameaças relacionadas à identidade.
Da autenticação multifatorial (MFA) à autenticação baseada em risco e sem senha, novos métodos e ferramentas para proteger identidades estão surgindo constantemente, à medida que os especialistas em segurança de identidade trabalham para superar o crescimento das ameaças. A verificação de identidade representa uma etapa importante nessa evolução.
A verificação de identidade é um dos desenvolvimentos mais importantes na evolução da segurança de identidade. Ela representa uma etapa importante no que pode ser feito para conter o abuso de credenciais que permite o acesso não autorizado aos sistemas, aplicativos e dados de uma organização.
A verificação de ID vai além do exame e da avaliação das credenciais do usuário. Em vez disso, o processo confirma se a identidade em si é autêntica; ele se concentra em confirmar se o usuário ou o dispositivo real que está solicitando acesso é genuíno, e não apenas alguém ou algo que possui essas credenciais.
E, embora sempre tenha sido teoricamente possível verificar a identidade manualmente - fazendo com que alguém compareça pessoalmente, por exemplo -, fazer isso nem sempre é prático, especialmente na era do trabalho remoto. É aí que o registro seguro por meio da verificação de identidade se torna essencial.
A verificação de identidade é essencial em pontos-chave do ciclo de vida da segurança de identidade, principalmente em situações de alto risco, como quando um novo usuário está sendo integrado ou quando precisa ter suas credenciais redefinidas ou recuperadas. Ela é particularmente útil em situações em que é impraticável verificar a identidade de um usuário, como quando um funcionário, seu gerente e o help desk de TI estão trabalhando em locais separados.
O registro seguro também é essencial para confirmar que uma organização está realmente trabalhando com a pessoa que espera. Se uma organização contrata, integra e concede acesso a John, é melhor que esse usuário seja realmente John: o Relatório de custo de segurança de uma violação de dados da IBM 2023 descobriu que "os ataques iniciados por pessoas internas mal-intencionadas foram os mais caros, com uma média de US$ 4,9 milhões", e que as violações iniciadas por uma pessoa interna levaram 308 dias para serem detectadas. O Verizon 2024 Data Breach Investigations Report constatou que os agentes internos foram responsáveis por 35% de violações de dados, "um aumento significativo em relação ao número de 20% do ano passado".
Verificar a identidade de um funcionário desde o início é fundamental para a segurança a longo prazo. Um estudo recente Anúncio de serviço público do FBI/IC3 destacou a ameaça da Coreia do Norte de utilizar indivíduos sediados nos EUA para obter emprego fraudulento e acesso a redes de empresas americanas. A principal dica do FBI é implementar a verificação de identidade durante a contratação para evitar fraudes de candidatos, ressaltando a importância de processos robustos de verificação de identidade.
E mesmo que a espionagem patrocinada pelo Estado pareça muito dramática, ainda há a espionagem de baixo risco (mas ainda assim assustadora) falso candidato tendência quando a pessoa X faz uma entrevista para uma vaga e a pessoa Y aparece.
Sem a verificação de ID, é totalmente possível que um impostor receba credenciais ou recupere as credenciais de outra pessoa fingindo ser essa pessoa. A verificação de identidade oferece uma maneira de intervir em pontos de alto risco quando a identidade do usuário, o processo de autenticação desse usuário ou os direitos que esse usuário deve ter não estão claros. Em 2022, Agentes de ameaças obtiveram acesso à nuvem e às contas de e-mail de uma organização não governamental em parte, usando esse processo.
O processo de verificação de ID esclarece cada um deles, solicitando ao usuário não apenas que prove quem ele é com base nas credenciais que carrega, mas também que verifique se ele realmente são a pessoa que tem o direito de ter essas credenciais.
Veja como ele funciona nos pontos-chave que mencionamos:
- Registro de credenciais: A verificação de identidade protege a inscrição, exigindo prova de identidade, como biometria ou um documento de identidade emitido pelo governo, para que as credenciais de direito de nascença sejam emitidas para novos usuários. As plataformas on-line atuais tornam isso não apenas seguro, mas também conveniente e prático. Em vez de ter que se apresentar pessoalmente com um comprovante de identidade em mãos, os usuários podem fazer isso digitalmente usando a verificação de identidade. Isso ajuda os trabalhadores remotos e suas organizações a trabalhar de forma segura e eficaz.
- Recuperação de credenciais: Quando alguém tem credenciais básicas, como nome de usuário e senha, não é incomum que um agente mal-intencionado tente assumir o controle dessas credenciais entrando em contato com o help desk e alegando tê-las esquecido. A Ataques de ransomware ALPHV em resorts de Las Vegas começou a usar essa técnica e, segundo consta, custou $100 milhões em prejuízos. Exigir uma prova de identidade é essencial para impedir a tentativa - e agora isso pode ser feito de uma forma que seja perfeita para um usuário legítimo. É por isso que a RSA adicionará a recuperação de credenciais ao nosso fluxo de trabalho de verificação de ID ainda este ano.
Na RSA, estamos trabalhando com ID Dataweb, líder em verificação de identidade, para permitir processos seguros de registro e recuperação de credenciais para os clientes da RSA. Nossa parceria incorpora esses processos ao RSA My Page, nosso recurso de logon único (SSO).
A tecnologia ID Dataweb é perfeitamente integrada ao RSA My Page, o que permite que os usuários verifiquem sua identidade digitalmente de forma rápida e segura, em vez de precisar localizar e comparecer ao escritório mais próximo. A recuperação de credenciais é igualmente fácil.
"A RSA continua sendo líder em segurança com sua plataforma de identidade unificada de última geração", disse Matt Cochran, vice-presidente de produtos e operações da ID Dataweb. "Ao integrar os incomparáveis recursos de verificação de identidade da ID Dataweb, a RSA agora tem uma implementação simples, com um clique e sem código para fluxos de trabalho avançados de comprovação de identidade. A integração da nossa melhor solução da categoria significa que os usuários da RSA podem ser integrados e produtivos de forma contínua e segura."
Tanto para o registro quanto para as credenciais, a verificação de ID é um processo simples de autenticação inicial seguido pelo fluxo de trabalho de verificação do ID Dataweb. Esse fluxo de trabalho é ativado por OpenID Connect (OIDC) da RSA conector para verificação do usuário.
Tudo isso faz parte da RSA Unified Identity Platform, que combina autenticação, acesso, governança e ciclo de vida para ajudar as organizações a evitar riscos, detectar ameaças e evoluir além do IAM.
Faça o download do nosso resumo da solução para saber mais sobre a verificação de identidade com a RSA.
