Согласно новому исследованию, все больше компаний для проверки запросов доступа включают биометрическую аутентификацию. Многие организации отказываются от использования привычного всем фаервола в качестве индикатора доверия при создании и применении политик доступа к приложениям и другим ИТ-ресурсам компании. Все большее число предприятий начали внедрять решения по аутентификации, которые выполняют проверку идентификации пользователя и проверку безопасности устройства для каждой попытки получения доступа, независимо от местоположения пользователя. Результаты исследования показывают, что они все чаще предпочитают аутентификацию по типу биометрии.

Переход от локальной ИТ-инфраструктуры к облачным приложениям и службам в сочетании с политиками «Bring Your Own Device» (BYOD) и растущим числом удаленных сотрудников за последнее десятилетие породил серьезные проблемы для групп ИТ-безопасности компаний. Первые попытки решить эти проблемы включали использование VPN-сервисов, управление доступом к сети (NAC) и управление мобильными устройствами (MDM), чтобы обеспечить безопасность устройств, используемых удаленными сотрудниками. Однако субъекты угроз также усовершенствовали свои методы. Это означает, что больше недостаточно выполнять проверки безопасности устройства на границе сети и затем давать неограниченный доступ ко всем активам. Устройства могут быть скомпрометированы, когда они уже находятся внутри сети, а учетные данные могут быть украдены различными способами.

«По сути, вы не можете доверять чему-то только потому, что оно находится внутри вашего брандмауэра, то есть если оно в вашей сети», — говорит Венди Натер, ведущий консультант CISO в Duo Security по многофакторной аутентификации. (MFA) поставщик решений, который теперь является частью Cisco Systems. «Итак, если вы согласны с этим, то возникает вопрос: чему мы доверяем сегодня, чему мы не должны доверять и что мы должны проверять даже больше, чем раньше? Ответ на самом деле в том, что вы должны проверять пользователей тщательнее, чем раньше. Вы должны проверять их устройства на основе важности того, к чему они получают доступ, и делать это часто, а не один раз, когда вы пропускаете их в свой брандмауэр».

«Вы должны проверять максимально рано и часто, и если вы будете соблюдать эти правила, то у вас будет больше шансов найти то, о чем вы не догадывались раньше», — говорит Натер. Компания Duo называет это принципом безопасности сети с нулевым доверием. Duo Security вдохновлены предыдущими работами по депериметризации, подобными тем, что проводились на форуме Jericho в 2004 году, подходом Google BeyondCorp для защиты корпоративных сетей, опубликованным в 2014 году, и непрерывной адаптивной оценкой риска и доверия Gartner CARTA – модели.

Конечно, периметры сети предприятия не исчезнут в ближайшее время, и им это не нужно. Изменения заключаются в том, что политика безопасности и элементы управления доступом переориентированы на идентификацию пользователей и устройств независимо от того, где находятся эти пользователи и активы, к которым они обращаются: в облаке или локально, удаленно или локально. И это также влияет на то, как выполняется аутентификация и какие методы и устройства проверки предпочитают организации.

Опубликованный отчет от Duo Security за 2019 год показывает, что 77 % мобильных устройств, используемых для доступа к бизнес-приложениям, имеют настроенную биометрию и что более двух третей пользователей аутентифицируются с помощью мобильных приложений на основе push-уведомлений с использованием более традиционных методов, таких как телефонные звонки и SMS. По данным компании, использование кодов аутентификации, отправляемых посредством SMS — все еще широко используемого метода двухфакторной аутентификации для многих онлайн-сервисов – сократилось до 2,8 %.

Отчет Duo основан на анализе полумиллиарда запросов пользователей в месяц от 24 миллионов бизнес-устройств до более 1 миллиона корпоративных приложений и ресурсов, как локальных, так и облачных. Анонимные данные охватывают 15 000 организаций из всех отраслевых сегментов. Компания также наблюдала 7 % увеличения числа устройств iOS, используемых корпоративными сотрудниками в годовом исчислении, и 2 % увеличения использования устройств Android. Windows остается самой распространенной операционной системой на корпоративных устройствах с 47 %, но ее общее использование фактически уменьшилось на 8 % по сравнению с прошлым годом. Хорошая новость заключается в том, что переход на Windows 10 продолжает расти, и теперь на его долю приходится две трети всех устройств Windows, наблюдаемых компанией Duo Security.

Общим для iOS, Android и Windows 10 является то, что все они поддерживают некоторую форму биометрической аутентификации: устройства Apple имеют Touch ID и Face ID, Android имеет датчики отпечатков пальцев, а Windows 10 имеет Windows Hello.

Проверка подлинности устройства и безопасности для каждого запроса позволяет группам ИТ-безопасности реагировать на общеизвестные уязвимости и заставлять пользователей быстрее применять обновления безопасности. Примером этого является уязвимость нулевого дня в Google Chrome, которая была объявлена в конце марта. В день, когда была опубликована информация об уязвимости, Duo наблюдал 79%–ный всплеск использования устаревшего параметра политики браузера в своем продукте, что привело к снижению числа попыток аутентификации в 30 раз. Это означает, что команды ИТ-безопасности использовали этот параметр политики, чтобы реагировать на угрозы безопасности быстрее.

Судя по данным Duo, наиболее часто устаревшим браузером на пользовательских устройствах является Microsoft Edge с показателем 73 %, затем Mozilla Firefox с 35 %, Safari с 23 % и Chrome с 15 %. Что касается операционных систем, устройства под управлением Android устаревают с частотой 58 % по сравнению с устройствами iOS – 38 %. Использование биометрии в качестве формы двухфакторной аутентификации и проверки личности пользователя не только внедряется в корпоративном пространстве, но также подталкивается регулирующими органами в определенных отраслях. Новые требования безопасности и аутентификации для онлайн-платежей вступят в силу в Европе в сентябре в рамках пересмотренной Директивы о платежных услугах (PSD2), которая обязывает финансовые учреждения оспаривать транзакции с использованием онлайн-карт с помощью двухфакторной аутентификации, например через приложение на мобильных телефонах, которые поддерживают проверку биометрии.