Cisco заявили, что откажутся от паролей
Представители корпорации Cisco заявили, что будут двигаться в новом направлении и откажутся от паролей, как от первоочередного средства аутентификации. Разработчики считают, что такой шаг позволит укрепить информационную безопасность компаний, за счет минимизации действий пользователей в этом направлении.
Согласно информации, представленной LastPass, являющейся основной по генерации паролей, на обычного офисного сотрудника в среднем приходится по 191 пароля. Данный факт привлек внимание, поскольку основная часть утечки корпоративной информации фирм происходит именно из-за взлома паролей – около 81% из всех проанализированных случаев. Но, несмотря на этот показатель, сегодня большинство компаний еще не отказались от данного типа аутентификации, полагаясь на предпочтение сотрудников в данном вопросе.
Такой подход нельзя назвать надежным, хотя бы потому, что больше половины людей (около 61%) используют для собственных учетных записей один и тот же набор символов или схожий. При этом, при создании парольной комбинации, люди используют максимально простые данные для запоминания: имена и фамилии родных, близких, членов семьи или любимых питомцев, их даты рождения и т.п. Поэтому и взлом такого пароля не составляет особо труда, учитывая не только открытость данных, но и активность современного человека в социальных сетях и ведении личных блогов.
Решение этого вопроса может стать переход к многофакторной аутентификации (далее - МА) пользователя. И хотя пока только треть компаний используют такой подход (согласно данным LastPass), такая практика медленно, но распространяется среди компаний. Главный консультант по ИБ корпорации Cisco Вольфганг Герлих отмечает, что тенденция перехода к такой аутентификации обусловлена применением новых технологий. Они лучше адаптированы под потребителей и позволяют сделать МА более простой и комфортной в использовании. Второй причиной отмечает усовершенствование и доработку разработанных ранее стандартов и формирование передовых практик. Например, в последнее время все большим доверием начинает пользоваться WebAuthn, в которой применены открытые стандарты.
Также специалист Циско подчеркнул, что применение беспарольных технологий приветствуется и руководителями подразделений ИБ. Ближайшие планы направлены на интегрирование такого типа аутентификации в дорожные карты цифровой трансформации. И хотя на рынке уже представлено немало решений входа без паролей, но они пока не соответствуют всем требованиям по обеспечению защиты данных и информационной безопасности компаний, отмечает Вольфганг Герлих. В связи с этим, руководителям отделов ИБ (информационной безопасности) при подборе «беспарольных» решений необходимо оценивать не только удобство для пользователей, но и их возможность поддерживать текущие корпоративные процессы.
Ричард Аркдикон, консультант Cisco по ИБ дополнив коллегу, отмечает, что помимо выбора многофакторного способа входа стоит помнить и о принципах нулевого доверия и другими современными подходами. Оба консультанта отмечают, что скорость перехода к беспарольным решениям будет обусловлена действиями установленных регуляторов, и того, будет ли МА основным требованием, например, при осуществлении денежных транзакций и других аналогичных операций.
Вольфганг Герлих заявил, что так как Корпорация Cisco в лице компании-первопроходца Duo Security является лидером в индустрии по обеспечению ИБ, то они считают себя ответственными за оказания содействия и помощи пользователям, разработчикам и компаниям, которые хотят принять участие в новом этапе по развитию аутентификации.
Представители компании Duo Security представили отчет и отметили, что для перехода к беспарольной аутентификации необходимо пройти 5 главных этапов. Первый – это выявление всех процессов и действий, в которых возможен отказ от введения пароля и замена его на достойную и надежную альтернативу. Второй – требуется оптимизация и консолидация всех рабочих процессов аутентификации. Далее потребуется добиться доверия пользователей к МА и после этого приступать к формированию опыта в использовании беспарольных решений. Последним и заключительным этапом они отметили необходимость оптимизации существующих наборов инструментов и их усовершенствование.
Вольфганг Герлих уверен в том, что отказ от парольного входа позволит повысить ИБ. Например, на ПК и ноутбуках можно будет регистрироваться и аутентифицироваться, используя биометрические данные. А в будущем беспарольный доступ будет обеспечен для всех приложений, в том числе: унаследованных, гибридных облачных и локальных.
Вторым перспективным направлением по обеспечению ИБ станет «сотрудничество, как альтернатива контролю», чему способствует применение технологий ИИ (искусственного интеллекта) и машинного обучения (МО), отмечают специалисты.
Первые две тенденции связывают с переходом пользователей на удаленный режим работы. С учетом всех последних событий компаниям пришлось изменить политику безопасности и поспособствовать делегированию части функций по ИБ конечному пользователю. Они отметили, что в условиях отсутствия четких очертаний корпоративного контура часть процессор должна контролироваться централизованно, а часть передаваться под ответственность и контроль самих сотрудников.
Венди Натер, зав.отдела продаж выделила тот факт, что понимание о том, что высокие технологии применяются только на работе – не приемлемы. В наши дни они есть в руках у любого жителя и каждый из них использует их по-своему. В таком случае правильным для компаний и корпораций будет не вкладывать средства в приобретение дорогостоящих систем по обеспечению функций контроля за сотрудниками, а привлекать их к сотрудничеству. Ведь при удаленной работе задействуется не одно устройство, в том числе и личный смартфон, планшет и т.п. к чему у сотрудников ИБ просто нет доступа. Чем больше выдвигается запретов на сотрудников, тем более креативными и изобретательными они становятся в желании их обойти. Намного продуктивнее будет направить эти силы на создание доверительных отношение, пропаганды и развития совместных ценностей и зон ответственности для всех задействованных в корпоративных процессах.
Но такая тенденция еще не означает, что не стоит осуществить переосмысление и подходы к ИБ. По мере того, как развиваются новые способы сотрудничества, в том числе полного либо частичного ухода на удаленный тип занятости, будут формироваться и новые подходы и стандарты по ИБ, выделила Венди Натер, и отметила следующее. В нашем мире наблюдается тенденция, в которой сотрудники сами несут ответственность за несоблюдение хотя бы стандартных требований по безопасности и защите данных на личных гаджетах, чтобы через них получать доступ к данным и ресурсам фирмы.
С началом введения жесткой формы карантина основательный подход к контролю за ИБ предприятий усилился как минимум в два раза, рассказал Вольфганг Герлих. Началось и далее активно продолжается внедрение решений по МА, DNS и VPN. Подтвердил эти данные и главный консультант Циско по ИБ компании Duo Security, указав, что в период локдауна запросы на вход через Duo вырос на 33% (с 600 млн. запросов до 800 млн.) и до сих пор это показатель продолжает увеличиваться.
Ричард Аркдикон выделил тот факт, что во многих странах руководителями подразделений ИБ было продемонстрировано понимание главных основных принципов обеспечения ИБ в новых реалиях. Помимо этого, они используют полученный опыт в формировании видения в том, насколько обычный пользователь имеет стратегическое значение и важную роль в обеспечении защиты корпоративных данных.
Специалисты Cisco отмечают, что для использования ИИ и МО необходимо понимать, в какой сфере они будут максимально продуктивны в обеспечении ИБ. Здесь основным является достижение равновесия между автоматизацией и контролем, так как избыточность в автоматизации приводит к отсутствию необходимого контроля CISO общей стратегии по обеспечению безопасности в компаниях. Невзирая на некоторое недоверие к этим технологиям со стороны руководителей отделов по ИБ, Венди Натер считает, что при правильном подходе новые технологии значительно упростят решение большинства трудоемких процессов и задач. События, с которыми наша планета столкнулась в 2020 году продемонстрировали, что ИИ во многих случаях не всегда может верно идентифицировать простое ежедневное событие от «потенциально опасного», а учитывая быстрые и кардинальные изменения во всех областях корпоративных процессов, в некоторых случаях правильным будет использовать ручное распознавание, чем постоянно «переобучать» алгоритмы. Но если посмотреть на ситуацию под другим углом, при четком понимании всех нюансов бизнеса можно использовать ИИ и МО в тех направлениях, где это и вправду будет необходимым, предложила Венди Натер.
Вольфганг Герлих предполагает, что прописанные аналитические инструменты на базе ИИ и МО в ближайшем будущем станут краеугольным камнем архитектуры, построенной на принципе «нулевого доверия». Со стороны обычного пользователя, такой подход заключается в комфортности и распространенному использованию современных технологий. Компании же должны уметь адаптироваться к разным уровням риска в сегодняшнем мире, при этом давая возможность пользователями использовать для работы те инструменты, которые им потребуются для качественного выполнения своих функций. Специалист резюмировал, что производительность и безопасность не должны стать взаимоисключающими факторами, чтобы нам не приходилось выбирать из них что-то одно.