De afgelopen 40 jaar heeft Kensington voortdurend geïnnoveerd om de allerbeste producten voor IT-productiviteit en -beveiliging voor onze klanten te bieden. In diezelfde tijd hebben IT-afdelingen van ondernemingen een enorme transformatie ondergaan met betrekking tot hoe ze hun zakelijke identiteitsgegevens en bedrijfsmiddelen beschermen. We hebben als sector een aantal essentiële lessen geleerd over de aard van cyberaanvallen. Cyberaanvallen zijn:
- Zeer gemotiveerd (bijv. geldelijk gewin)
- Zeer efficiënt (bijv. automatische aanvallen op veel doelen)
- Zeer destructief (bijv. ransomware)
- Zeer goed te voorkomen (phishing is bijv. een luie methode, maar werkt nog steeds)
De droeve werkelijkheid is dat veel van onze identiteiten op internet (d.w.z persoonlijke of werkaccounts) het doel zijn geweest van een (meestal mislukte) cyberaanval. U heeft bijvoorbeeld een onverwacht bericht met een verdachte URL ontvangen van een Facebook-vriend, gevolgd door een post met 'Sorry, mijn account was gehackt!'. Een geslaagde cyberaanval kan aanzienlijk grotere consequenties op de werkplek hebben, variërend van onbeduidende e-mailfraude (die intern kan worden afgehandeld zonder openbaarmaking) tot een ransomware-aanval die het nieuws haalt en de IT-infrastructuur en de bedrijfsvoering volledig stillegt.
Bij het Facebook-voorbeeld is het extreem onwaarschijnlijk dat een aanvaller het specifiek op uw vriend had gemunt. Waarschijnlijk probeerde de aanvaller zoveel mogelijk accounts te compromitteren. Als uw vriend echter een BN'er, politicus of CEO is, kan diens Facebook-account een specifiek doelwit zijn van een geavanceerd aanvalsteam dat besluit onopgemerkt te blijven en de communicatie af te luisteren.
Deze bedreiging is ook aanwezig in het bedrijfsleven. Naarmate een IT-omgeving groter en complexer wordt, neemt het aantal mogelijke wegen voor een succesvolle cyberaanval ook toe. Kwaadwillende personen kunnen proberen een groot aantal identiteiten met een hoog risico (bijv. IT-beheerders, helpdeskmedewerkers, ontwikkelaars, HR, financiën) te compromitteren met behulp van uiteenlopende technieken. Als ze erin slagen een account te compromitteren zonder dat dit tot een onmiddellijke beloning leidt, gebruiken ze de net gecompromitteerde identiteit om andere aanvalsroutes uit te stippelen.
Zero Trust begrijpen
In mei 2021 heeft de Amerikaanse regering de Executive Order on Improving the Nation’s Cybersecurity (EO 14208) uitgevaardigd. Een van de belangrijkste punten daarin is de invoering van zero trust-architectuur: 'Geen enkele actor, systeem, netwerk of dienst die buiten of binnen de beveiligingsperimeter opereert, wordt vertrouwd. In plaats daarvan moeten we alles verifiëren wat toegang probeert te krijgen. Het is een enorme paradigmaverschuiving in de filosofie van de beveiliging van onze infrastructuur, netwerken en gegevens, van eenmalige verificatie aan de perimeter naar voortdurende verificatie van elke gebruiker, apparaat, toepassing en transactie'. De bondige slogan voor het zero trust-model is 'Nooit vertrouwen, altijd verifiëren'.
De Amerikaanse regering wordt elke dag actief belaagd door geraffineerde tegenstanders om politieke en monetaire redenen. In het belang van de nationale veiligheid is de Amerikaanse regering ook zeer gemotiveerd om voldoende controles in te stellen om haar identiteiten en middelen te beschermen. Doordat mensen (als gevolg van een pandemie) op afstand zijn gaan werken, is de overheid gedwongen haar bestaande omgevingen opnieuw te evalueren nu ze gebruik gaat maken van eenvoudig beschikbare en goed ontwikkelde cloud-diensten die het toegangsgemak en de productiviteit drastisch kunnen verhogen. Dit is een veelvoorkomend en bekend scenario voor veel van onze klanten.
Hier zijn enkele aanvullende vereisten met betrekking tot gecentraliseerde eenmalige aanmelding (SSO) en phishingbestendige multifactorauthenticatie (MFA):
- Instanties moeten gebruik maken van een identiteitsprovider en een ondernemingsbrede SSO-dienst voor gebruikers van de instantie die in toepassingen en gemeenschappelijke platforms kan worden geïntegreerd, en moeten beginnen met de ontmanteling van andere identiteitssystemen.
- De federale instanties moeten implementatieplannen ontwikkelen om MFA te integreren en te handhaven.
- De systemen van de instantie moeten interne gebruikers verplichten een phishingbestendige methode te gebruiken om toegang te krijgen tot hun accounts.
Zoals de documentatie over de Federal Zero Trust Strategy stelt: 'MFA zal over het algemeen bescherming bieden tegen een aantal gangbare methoden om onbevoegde toegang tot een account te krijgen, zoals het raden van zwakke wachtwoorden of het hergebruiken van wachtwoorden die bij een datalek zijn verkregen. Veel methoden voor multifactorauthenticatie bieden echter geen bescherming tegen geavanceerde phishing-aanvallen, die op overtuigende wijze officiële applicaties kunnen nabootsen en dynamische interactie met gebruikers inhouden. Gebruikers kunnen worden misleid om een eenmalige code te verstrekken of te reageren op een beveiligingsverzoek dat de aanvaller toegang geeft tot het account. Deze aanvallen kunnen volledig worden geautomatiseerd en goedkoop op aanzienlijke schaal worden toegepast.'
In een zero trust-model is het niet langer voldoende om uw gebruikers lokaal of via VPN verbinding te laten maken met het bedrijfsnetwerk en vervolgens eenfactorauthenticatie te gebruiken (bijv. gebruikersnaam en wachtwoord) om toegang te krijgen tot interne toepassingen. Aangezien alle netwerken als onbetrouwbaar worden beschouwd, zouden die oude applicaties moeten worden gemoderniseerd (bijv. met SSO voor ondernemingen en phishingbestendige MFA), ongeacht het netwerk van waaruit de gebruiker verbinding maakt.
Een andere belangrijke overweging is dat sommige van de populairste MFA-methoden (bijv. eenmalige wachtwoordcodes [OTPS: one-time passcodes] of push-meldingen) die onze klanten op dit moment gebruiken, nog steeds kwetsbaar zijn voor geavanceerde phishing-aanvallen.
Voordelen van biometrische en wachtwoordloze authenticatie
Hoewel biometrie nog niet veel wordt toegepast op traditionele bedrijfsapparaten, zijn veel mensen gewend geraakt aan het gebruiksgemak van biometrie op hun mobiele telefoons. Een van de meest voorkomende misvattingen over biometrie is dat een kwaadwillend persoon zich als een gebruiker zou kunnen voordoen door diens vingerafdruk na te maken. Dit type fraude is uitzonderlijk zeldzaam omdat de aanvaller moet beschikken over:
- Een fysieke vorm van het biometrisch object
- Een biometrisch object met een bekende kwetsbaarheid
U kunt zich voorstellen dat dit scenario voor een aanvaller heel veel moeilijker en duurder is, en misschien zelfs onmogelijk.
Biometrische beveiliging voorkomt dat aanvallers hun meest efficiënte en op afstand uitvoerbare technieken gebruiken, zoals gestolen inloggegevens van het dark web of een phishingpagina die uw inloggegevens en uw eenmalige wachtwoordcode voor MFA verzamelt.
Bovendien gebruiken de meeste organisaties een gecentraliseerde identiteitsprovider zoals Azure Active Directory (AD) of Okta voor hun eenmalige aanmelding en kunnen ze hun biometrische beveiligingssleutels toepassen voor al hun verbonden websites. In de onderstaande afbeelding is Azure AD de identiteitsprovider en kunnen Azure AD-gebruikers een FIDO2-beveiligingssleutel (bijv. VeriMark Guard) of een Windows Hello-compatibel biometrisch beveiligingsapparaat (bijv., VeriMark, VeriMark IT, VeriMark Desktop) gebruiken om zich te verifiëren voor verbonden toepassingen.
Hoewel we in veel van uw behoeften op het gebied van biometrische en wachtwoordloze beveiliging kunnen voorzien, weten we dat wachtwoorden niet snel zullen verdwijnen. Net zoals wachtwoordbeheer een geweldige manier is om het gebruik van kwetsbare wachtwoorden te beschermen, zijn biometrische beveiligingsapparaten een geweldige manier om het gebruik van die wachtwoordbeheertoepassingen te beschermen.
'Ondanks de hype gaan wachtwoorden nergens heen. . . . De use-cases waarin gebruik wordt gemaakt van FIDO2 gekoppeld aan wachtwoordgebaseerde aanmelding in combinatie met tweefactorauthenticatie bieden de optimale balans tussen bruikbaarheid en veiligheid. Wij zijn enthousiast over de toekomst van authenticatie en kijken uit naar de voortdurende evolutie van FIDO2, biometrie en multifactorauthenticatie.' —Craig Lurey, CTO & Medeoprichter, Keeper Security
Synaptics SentryPoint-beveiligingsfunctie | Beschrijving |
---|---|
SecureLink | Zorgt voor sterke TLS 1.2 (communicatiekanaalencryptie) / AES-256 (dataencryptie) helemaal van de sensor naar de host. |
PurePrint anti-spoofingtechnologie | Kan echte vingers onderscheiden van nepvingers. |
Match-in-Sensor | Het vingerafdruksjabloon wordt veilig gematcht op de chip van de vingerafdruksensor, waardoor de gegevensoverdracht naar de host wordt beperkt tot een simpel 'ja/nee'; het matchresultaat wordt ook versleuteld. |
Quantum Matcher | Versneld matchalgoritme |
False Acceptance Rate (FAR) False Rejection Rate (FRR) |
Synaptics SentryPoint FAR en FRR |
We begrijpen dat onze klanten het lastig kunnen vinden om de juiste beveiligingstools voor de vele use-cases in hun omgeving te bepalen. De volgende voorbeelden zorgen hopelijk voor meer duidelijkheid:
Kantoormedewerkers op kantoor
Hoewel thuiswerken recentelijk heel populair is geworden, vereist de aard van de werkzaamheden in veel bedrijven dat de medewerkers op kantoor zijn. Dit geldt bijvoorbeeld voor een sterk geoptimaliseerd callcenter of vanwege de strenge regelgeving die gebruikelijk is in de financiële wereld en bij werk voor defensie.
Voor medewerkers op kantoor kunt u al onze producten gebruiken. U kunt VeriMark Desktop of VeriMark IT gebruiken om werknemers een vingerafdruk te laten registreren voor het gebruik van Windows Hello for Business en andere door FIDO U2F ondersteunde webtoepassingen. Voor gebruikers die heel mobiel zijn of regelmatig verschillende werkstations met verschillende besturingssystemen gebruiken, is VeriMark Guard mogelijk handiger.
Extern werkende kantoormedewerkers
Nu steeds meer mensen extern werken, is het lastig geworden om bij te houden wie waarvandaan verbinding maakt. Vroeger was het misschien een waarschuwingssignaal als een in Californië wonende medewerker zich plotseling vanuit New York wilde verifiëren, maar telewerkers zijn gewend geraakt aan de flexibiliteit om overal vandaan te kunnen werken. Onze aanbevelingen zijn voor telewerkers in principe hetzelfde als voor medewerkers op kantoor. Enkele aanvullende overwegingen kunnen zijn of ze 100% op afstand werken of 'hybride' zijn (op een bepaald moment terugkomen naar kantoor) en of ze moeten jongleren tussen verschillende apparaten. In dat geval kan de draagbaarheid van VeriMark Guard de voorkeur verdienen.
Gedeelde werkstations (kiosken, tijdklokken enz.)
Hoewel we ons vaak richten op 'kenniswerkers' wanneer we nieuwe beveiliging binnen onze organisatie implementeren, zijn veel bedrijven afhankelijk van gedeelde werkstations die zowel essentieel voor het bedrijf als kwetsbaar voor misbruik zijn. Neem bijvoorbeeld tijdklokken of kassasystemen. Het zou kunnen dat medewerker A inklokt als medewerker B om te voorkomen dat die te laat voor zijn dienst is. Dit kan voorkomen worden.
VeriMark Desktop is waarschijnlijk de beste kandidaat voor gedeelde werkstations, vooral als het werkstation slechts kort wordt gebruikt voor een snelle handeling voordat het beschikbaar is voor de volgende gebruiker. U kunt ook gebruik maken van VeriMark Guard als u wilt dat werknemers hun individuele beveiligingssleutel naar de kiosk moeten meenemen. Maar VeriMark Guard is vooral een betere oplossing als het werkstation wat langer wordt gebruikt.
Kijken naar de toekomst
Een van de weinige lichtpuntjes van de pandemie van 2020-2021 is dat organisaties ertoe zijn aangezet hun applicaties snel te moderniseren en MFA in te voeren ter ondersteuning van hun groeiend aantal extern of thuiswerkend personeel. Als u zich niet aanpast aan de veranderende cyberbeveiligingsdreigingen in de wereld, kan dat leiden tot een cyberaanval die mogelijk catastrofaal is voor de zakelijke activiteiten of de missie van uw organisatie.
Lees hier meer over VeriMark en het bereiken van Zero Trust.