How-Risk-Based-Authentication-i-sprint-new-AXB

如何全面保护业务系统、数据和应用免受网络攻击,这个问题没有标准答案,必须依照各企业所需而采取相应措施。但是由于社会不断向前发展,要实现起来则比以往都更难了。企业推广协同工作、自带工作设备( BYOD) ,因此企业员工、业务合作伙伴和承包商,会在不同位置使用各自的设备来连接网络,然后访问日常工作所需的应用和服务。 那么,在保持流畅的用户体验的同时,安全认证用户身份变得更为重要。本文简介基于风险评分的认证用户身份,及此方法为何可有效保护IT环境安全。

认证用户在IT工作环境的重要性

认证用户身份,指验证用户是其声称的身份;认证用户身份可有效保护 IT 资源(应用和服务)免受未经授权的访问。在现今社会,为了工作,员工、业务合作伙伴和承包商会随时随地,使用不同设备连接到企业 IT 资源。因此,企业需要强大的身份认证解决方案,以保护其无形资产。选择有效的身份认证解决方案,变得更为重要。

一般来说,提供正确的用户名和密码(即凭证),是认证要登录的用户的主要方式。然而,这真的不够安全,在暗网上有超过 240 亿个被盗凭证(请点击24 billion以阅读原文)供人买卖。在获得有效的凭证后,黑客便可轻松“变成”合法用户。

即使现在人们都知道网络安全、凭证的重要性,恶意人员仍可容易获取密码,原因之一是人们通常设置并重复使用简单密码。因此,黑客可轻松通过用户账号和其简单密码,登录并访问知名公司的 IT 环境和数据。在2022 年 6 月(请点击June 2022以阅读原文),一个数据勒索组织通过使用账号和其简单密码(例如 123456),入侵了价值数十亿美元的公司 AMD处理器。

由于用户名和密码已经不足以安全认证用户身份,许多企业转向采用多因素身份认证(MFA)。这种认证方式更强大,因为它要求用户提供两种或更多不同类型的信息来验证用户身份,成功认证后用户才能访问 IT 资源。

然而,企业很快发现标准 MFA 实施的一个问题,即缺乏环境(或情景)判断。采用传统的MFA 后,通常在登录时,无论环境(或情景)面临的风险如何,每个用户都必须使用相同的认证方式,进行统一的认证。

什么是基于风险评分的认证?

基于风险评分的认证,会根据特定登录情景或用户操作,而实时采用所需的身份认证因素来认证用户身份。也就是说,它会检查和判断登录或访问请求是否异常,若有异常(即实时评分结果属于预先定义的高风险评分分段),则要求用户提供额外信息来完成认证。

基于风险评分的认证的工作原理

基于风险评分的认证通常使用基于策略的规则和/或环境(或情景)信息来计算风险评分,然后根据评分所属的范围来采用不同的认证因素组合。影响风险评分的环境(或情景)因素包括用户的设备、位置、时间、IP 地址和在系统要进行的操作。基于策略的规则,供企业配置不同的场景评分分段(例如,60-70分为低风险分段,90-100分为高风险分段),高风险场景包括管理员用户尝试登录生产服务器,或承包商尝试访问应用等等,然后采用企业所需的认证因素来对用户进行认证。

企业在配置用于计算风险评分的各种因素或参数后,需要针对不同的风险评分分段,继续配置要使用的身份认证规则。例如,若实时风险评分属于低风险分段,用户可能只需要提供其单点登录密码便可访问其所有应用。若实时风险评分属于高风险分段,将要求用户提供企业指定数量的额外证据来证明其身份,包括:

  • 发送推送通知到用户已注册的移动设备上,用户须点击此推送通知
  • 扫描用户的生理特征,例如用户通过移动设备验证其指纹
  • 通过短信发送一次性密码给用户,然后用户按要求输入此密码到指定位置
  • 用户提供安全问题的正确答案

许多解决方案使用电脑学习(类似人工智能,AI)来监控行为、建立风险评分参数和计算分数。由于电脑学习算法是持续学习和改善的,因此会随着时间的推移提高准确性和性能。

基于风险评分的认证的效益

提升安全

基于风险评分的认证具有自适应、动态性,通过不断评估风险并采取相应认证方式,来增强安全性。因此,它不会在所有情景都使用相同的认证因素,而是可以通过计算各种参数得出评分后,实时改变所需使用的认证方法,以应对可疑的用户操作,例如异常访问请求或非正常时间登录。

基于风险评分的认证,适用于当今用户认证(由于用户访问情景复杂,例如远程、本地、使用自有设备等等),并可有效确保安全性。 对于企业来说,并非每种资源都需要相同级别的保护,并非每种情景都有相同级别的风险。基于风险评分的认证可通过更智能的方式保护最敏感的 IT 资源,而非为所有情景实施一刀切的认证措施。

 

减少不良用户体验

如果企业为所有 IT 资源的所有访问请求采用传统 MFA,将可能导致用户体验不好。这也无法实现IT工作场所面临的最终目标,即平衡用户体验与提供足够的安全控制。

基于风险评分的认证,可最大限度地减少低因一刀切认证导致的不良用户体验。例如在正常工作时间内,用户使用公司设备、提供正确密码,并从本地 IP 地址登录,如果仍需MFA认证,就是以牺牲用户的时间和选择权为代价,会让员工感到繁琐。

这真的是你吗?

从根本来说,基于风险评分的认证,可有效确保IT工作场所的安全,并提供良好的用户体验。最重要的安全问题“这真的是你吗?”, 最适合的答案是使用基于风险评分的认证来认证用户。企业如果采用基于风险评分的认证来认证用户,便可确保合法用户在通过适当的认证后访问最敏感的 IT 资源、降低由于账号导致的数据泄露,并减少勒索软件攻击。此外,用户对于登录认证等操作体验良好。

综上所述,基于风险评分的认证既可确保安全,又可保持良好的用户体验,建议企业尽快采用基于风险评分的认证的解决方案。安讯奔的 MFA 解决方案包括基于风险评分的认证功能,可根据情景计算风险评分,并采用风险分段对应的认证方法,为企业IT资源保驾护航。

点击此处以了解更多关于基于风险评分的认证