Предприятия с концепцией безопасности сети zero trust начинают использовать биометрическую аутентификацию

Согласно новому исследованию, все больше компаний, для проверки запросов доступа, включают биометрическую аутентификацию. Многие организации отказываются от использования привычного всем фаервола в качестве индикатора доверия при создании и применении политик доступа к приложениям и другим ИТ-ресурсам компании. Все большее число предприятий начали внедрять решения по аутентификации, которые выполняют проверку идентификации пользователя и проверку безопасности устройства для каждой попытки получения доступа, независимо от местоположения пользователя. Результаты исследования показывают, что они все чаще предпочитают аутентификацию по типу биометрии.

Переход от локальной ИТ-инфраструктуры к облачным приложениям и службам в сочетании с политиками «Bring Your Own Device» (BYOD) и растущим числом удаленных сотрудников за последнее десятилетие породил серьезные проблемы для групп ИТ-безопасности компаний. Первые попытки решить эти проблемы включали использование VPN-сервисов, управления доступом к сети (NAC) и управления мобильными устройствами (MDM), чтобы обеспечить безопасность устройств, используемых удаленными сотрудниками. Однако субъекты угроз также усовершенствовали свои методы. Это означает, что больше недостаточно выполнять проверки безопасности устройства на границе сети и затем давать неограниченный доступ ко всем активам. Устройства могут быть скомпрометированы, пока они уже находятся внутри сети, а учетные данные могут быть украдены различными способами.

Проверка пользователей и устройств

«По сути, вы не можете доверять чему-то, только потому, что оно находится внутри вашего брандмауэра, то есть, если оно в вашей сети», - говорит Венди Натер, ведущий консультант CISO в Duo Security, по многофакторной аутентификации. (MFA) поставщик решений, который теперь является частью Cisco Systems. «Итак, если вы согласны с этим, то возникает вопрос: чему мы доверяем сегодня, чему мы не должны доверять и что мы должны проверять даже больше, чем раньше? Ответ на самом деле, в том, что вы должны проверять пользователей тщательнее, чем раньше. Вы должны проверять их устройства, на основе важности того, к чему они получают доступ и делать это часто, а не один раз, когда вы пропускаете их в свой брандмауэр».

«Вы должны проверять максимально рано и часто, и, если вы будете соблюдать эти правила, то у будет вас больше шансов найти то, о чем вы не догадывались раньше», - говорит Натер. Компания Duo называет это принципом безопасности сети с нулевым доверием. Duo Security вдохновлены предыдущими работами по де-периметризации, подобными тем, что проводились на форуме Jericho в 2004 году, подходом Google BeyondCorp для защиты корпоративных сетей, опубликованным в 2014 году, и непрерывной адаптивной оценкой риска и доверия Gartner. (CARTA) модель.

Конечно, периметры сети предприятия не исчезнут в ближайшее время, и им это не нужно. Изменения заключаются в том, что политики безопасности и элементы управления доступом переориентированы на идентификацию пользователей и устройств независимо от того, где находятся эти пользователи и активы, к которым они обращаются: в облаке или локально, удаленно или локально. И это также влияет на то, как выполняется аутентификация и какие методы и устройства проверки предпочитают организации.

Биометрическая аутентификация на подъеме

Опубликованный отчет от Duo Security за 2019 год показывает, что 77% мобильных устройств, используемых для доступа к бизнес-приложениям, имеют настроенную биометрию и что более двух третей пользователей аутентифицируются с помощью мобильных приложений на основе push-уведомлений с использованием более традиционных методов, таких как телефонные звонки и SMS. По данным компании, использование кодов аутентификации, отправляемых посредством SMS - все еще широко используемого метода двухфакторной аутентификации для многих онлайн-сервисов - сократилось до 2,8%.

Отчет Duo основан на анализе полумиллиарда запросов пользователей в месяц от 24 миллионов бизнес-устройств до более 1 миллиона корпоративных приложений и ресурсов, как локальных, так и в облачных. Анонимные данные охватывают 15 000 организаций из всех отраслевых сегментов. Компания также наблюдала 7% увеличение числа устройств iOS, используемых корпоративными сотрудниками в годовом исчислении, и 2% увеличение использования устройств Android. Windows остается самой распространенной операционной системой на корпоративных устройствах с 47%, но ее общее использование фактически уменьшилось на 8% по сравнению с прошлым годом. Хорошая новость заключается в том, что переход на Windows 10 продолжает расти, и теперь на его долю приходится две трети всех устройств Windows, наблюдаемых компанией Duo Security.

Общим для iOS, Android и Windows 10 является то, что все они поддерживают некоторую форму биометрической аутентификации: устройства Apple имеют Touch ID и Face ID, Android имеет датчики отпечатков пальцев, а Windows 10 имеет Windows Hello.

Проверенные запросы

Проверка подлинности устройства и безопасности для каждого запроса позволяет группам ИТ-безопасности реагировать на общеизвестные уязвимости и заставлять пользователей быстрее применять обновления безопасности. Примером этого является уязвимость нулевого дня в Google Chrome, которая была объявлена в конце марта. В день, когда была опубликована информация об уязвимости, Duo наблюдал 79% всплеск использования устаревшего параметра политики браузера в своем продукте, что привело к снижению числа попыток аутентификации в 30 ра. Это означает, что команды ИТ-безопасности использовали этот параметр политики, чтобы реагировать на угрозы безопасности быстрее.

Судя по данным Duo, наиболее часто устаревшим браузером на пользовательских устройствах является Microsoft Edge с показателем 73%, затем Mozilla Firefox с 35%, Safari с 23% и Chrome с 15%. Что касается операционных систем, устройства под управлением Android являются наиболее часто устаревшими с частотой 58% по сравнению с устройствами iOS на 38%. Использование биометрии в качестве формы двухфакторной аутентификации и проверки личности пользователя не только внедряется в корпоративном пространстве, но также подталкивается регулирующими органами в определенных отраслях. Новые требования безопасности и аутентификации для онлайн-платежей вступят в силу в Европе в сентябре в рамках пересмотренной Директивы о платежных услугах (PSD2), которая обязывает финансовые учреждения оспаривать транзакции с использованием онлайн-карт с помощью двухфакторной аутентификации, например, через приложение на мобильных телефонах, которые поддерживают проверку биометрии.