Если бесконечные ложные срабатывания и реактивные модели безопасности угрожают вашей производительности и производительности ваших пользователей, вы не одиноки. Многие организации борются с процессами аутентификации, которые расстраивают и обременяют пользователей до такой степени, что они видят в безопасности не что иное, как точку трения. Между тем, администраторы тратят время на погоню за оповещениями, которые в конечном итоге указывают не на угрозы, а на ложные сигналы.
В этой статье мы рассмотрим, как аутентификация Cisco Duo на основе рисков может уменьшить количество ложных срабатываний, ускорить беспрепятственный надежный доступ и помочь вам оценить риск в момент входа в систему.
Оценка ландшафта атак
Чтобы реализовать беспроблемный опыт доверенного доступа, важно понимать ландшафт атак. Сегодняшние киберпреступники не жертвуют качеством ради количества; Вместо этого они увеличивают сложность своих атак с помощью нескольких этапов, которые подвергают компании различным видам рисков. Например, атака программы-вымогателя может заблокировать доступ пользователей к сети компании, а также извлечь конфиденциальные данные для продажи в даркнете.
Все чаще злоумышленники успешно находят способы воспользоваться пробелами в более слабых системах многофакторной аутентификации (MFA). Эти атаки обхода MFA превосходят стандартную защиту MFA за счет использования собственного программного обеспечения и процессов системы MFA, а также усталости пользователей от более сложных инструментов MFA, чтобы побудить пользователей принимать мошеннические запросы на проверку. Злоумышленники манипулируют поведением пользователей с помощью различных атак, в том числе:- Push-фишинговые атаки
- Атаки типа «человек посередине» (MitM)
- Атаки с использованием одноразовых паролей (OTP)
- Атаки на уязвимые устройства
Правда в том, что пользователи являются любимыми целями злоумышленников. В последнем отчете Verizon Data Breach Investigation Report в качестве основного вектора атаки указаны учетные данные и фишинговые атаки (за ними следуют атаки на уязвимости и ботнеты). Фактически, в отчете говорится, что 82% атак были связаны с человеческим фактором.
Несмотря на эти растущие риски, 80% организаций не готовы защитить себя от атак последнего поколения, согласно отчету Cisco о готовности к кибербезопасности за 2023 год.
Оцените риск, чтобы установить доверие
Чтобы надежно и эффективно установить доверие, очень важно понимать уровень риска, который представляет попытка аутентификации. Аутентификация на основе рисков Duo (RBA) использует серию контекстуализированных сигналов для оценки риска в момент входа в систему. Затем Duo обеспечивает правильный уровень трения для пользователя на основе соответствующего уровня риска. RBA Duo позволяет политикам безопасности и сигналам риска работать вместе для создания автоматизированного и динамичного взаимодействия с пользователем. (Организации могут создавать политики, отражающие их толерантность к доверию, и реализовывать их с помощью Duo.)
Если пользователь соответствует установленному порогу риска, сеанс может быть продлен с помощью запоминаемых устройств Duo на основе рисков. Сокращение времени, затрачиваемого на проверку подлинности, улучшает взаимодействие с пользователем и повышает производительность пользователей. Если сигналы риска указывают на то, что доверие упало ниже порогового значения из-за наличия тревожных сигналов (например, если устройство аутентификации пользователя внезапно оказывается в далеком часовом поясе), Duo автоматически запрашивает дополнительные шаги проверки для использования. Постоянная адаптация к изменениям пользовательского контекста между аутентификациями обеспечивает дополнительный уровень безопасности.
Признаки риска жизненно важны
Сигналы аутентификации на основе рисков многих других систем MFA страдают от ложных срабатываний и слабых контекстуализированных сигналов риска. Некоторые просто не проверяют все сигналы риска в момент входа в систему.
Предложение Cisco Duo RBA — это адаптивный продукт безопасности в режиме реального времени, который может помочь бороться с угрозами в момент входа в систему. Duo обнаруживает потенциальные атаки, такие как попытки push-spray и push-домогательств, а также оценивает такие факторы, как геолокация устройства, нереалистичные поездки, время аутентификации и многое другое. Duo собирает пользовательские данные для определения риска местоположения, используя уникальную возможность Wi-Fi Fingerprint Duo, чтобы интуитивно определить их рабочее местоположение и обнаружить изменения в этом местоположении, когда отпечаток Wi-Fi меняется. Это обеспечивает высокий уровень уверенности в местоположении и сети. Duo также оценивает атрибуты устройства (версия ОС и браузера, брандмауэр, настройки безопасности и т. д.), статус XDR/антивируса и статус управления — и связывает всю эту информацию с сигналами известных шаблонов атак. В режиме реального времени механизм управления рисками Duo анализирует сигналы и решает, где аутентификация попадает в спектр доверия.
Если пользователь входит в систему в обычное время и в обычном месте на своем корпоративном устройстве, механизм принятия решений помечает его как «высокий уровень доверия» без каких-либо дополнительных шагов проверки, таких как требование проверенного Duo Push (который отправляет код на устройство аутентификации пользователя) или аутентификация с использованием ключа безопасности.
Но если аутентификация считается «низким уровнем доверия», пользователю может потребоваться принять дополнительные меры безопасности, такие как исправление несоответствующего устройства, использование более безопасного фактора аутентификации или ввод проверочного кода, прежде чем он получит доступ к сети или приложению. В отличие от других решений для управления доступом, Duo предназначен для самостоятельного восстановления. Вместо того, чтобы давать пользователям бессмысленный код ошибки и говорить им связаться с ИТ-отделом, Duo сообщает им, в чем проблема и как они могут ее исправить, чтобы они могли быстро и легко вернуться к работе.
Чтобы защитить пользователей, данные, сети и приложения, Duo создает трения только там, где и когда это действительно необходимо. Наша цель — расстроить злоумышленников, а не пользователей. При этом мы обеспечиваем то, чего действительно хочет каждая организация и пользователи: более надежную защиту и беспрепятственный доступ.