رهبران امنیت سایبری در سازمانهای مالی، بخش زیادی از انرژی خود را صرف تغییر مقررات، تحولات مداوم، و جریان بیپایان تهدیدهای سایبری میکنند. نکته شگفتانگیز آن است که در سالهای اخیر، مشخص شده است که بیشتر فناوریها، چه موارد حوزه فناوری اطلاعات و چه حتی فناوریهای حوزه امنیت، خود دارای مشکلات متعددی بوده و دردسرهایی را برای سازمانها به دنبال داشتهاند. در این زمینه احراز هویت چند عاملی (MFA) و احراز هویت بدون رمزعبور برای موسسات مالی کمی مستنثنی بوده و توانسته خطرات سایبری ناشی از فیشینگ، باج افزار، و تصاحب حساب (ATO) کاهش دهد. همچنین توانسته سازمانها را به Zero Trust نزدیک نموده و از انطباق در این زمینه پشتیبانی کند و همچین در خصوص همه افراد – کاربران، تیم IT، و تیمهای امنیتی – صرفهجوییهایی برای سازمانها به دنبال داشته باشد.
چه چیزی باعث میشود که MFA اینقدر ارزشمند گردد؟
کارشناسان هویت را «مرز جدید» دفاع مدرن امنیت سایبری و MFA را یک استراتژی کلیدی در بهبود تأیید هویت میدانند. هدف MFA متوقف کردن فیشینگ و سوء استفاده از اعتبار با هدف جلوگیری از عملکرد بدافزارها، باج افزارها، نشت دادهها، زنجیره تامین و سایر تهدیدات داخلی مرتبط است. سازمان استاندارد ایالات متحده (NIST)، آژانس امنیت ملی (CISA) و سایر نهادهای مرتبط در این کشور، همگی اهمیت MFA را برای دستیابی به یک بینش اعتماد سطح صفر تبلیغ و ترویج میکنند. در ادامه جزئیات بیشتری در این خصوص ارائه خواهد شد.
MFA در برابر راهکارهای بدون رمز عبور
MFA تأیید هویت را در مقابل تکیه بر رمزهای عبور تقویت میکند، اما اکثر راهحلها همچنان رمزهای عبور را به عنوان اولین عامل احراز هویت حفظ میکنند. این باعث میشود که MFA بسیار کمتر از آنچه انتظار میرفت ارزش داشته باشد.
در سوی دیگر، یک رویکرد بدون رمز عبور، شیوه شروع حمله مورد علاقه مهاجمان – فیشینگ – را از بین میبرد. این کار در عین حال این اطمینان را افزایش میدهد که فردی که قصد ورود به سیستم را دارد، کاربر قانونی است که به دنبال انجام کارهای مجاز است. خلاص شدن از شر گذرواژهها (نشاندهنده «چیزی که کاربران میدانند») و ترکیب عاملهای قویتر تأیید هویت – مانند چیزی که کاربران دارند و چیزی که کاربران هستند – بیشترین میزان خطر را از جعل هویت و مهندسی اجتماعی حذف میکند. همچنین این شیوه موارد زیر را نیز رفع خواهد نمود:
- بیشتر از 80 درصد از نقضهایی که شامل اعتبارنامههای به خطر افتاده است
- حملات فیشینگ، فیشینگ بهعنوان سرویس (PhaaS) و حملات مرد میانی (MITM)
- همه شکها در خصوص کمکاری افراد مسئول برای جلوگیری از سوء استفاده از اعتبارها و به خطر افتادن آنها
اما برای پیادهسازی درست و اصولی راهکارهای بدون رمز عبور، سازمانهای خدمات مالی باید ورود امن را به همه اعضای نیروی کار و هر برنامه کاربردی، از هر دستگاه یا مکانی گسترش دهند.
آیا راهاندازی یک راهکار احراز هویت بدون رمزعبور برای موسسات مالی شوار است؟
راهاندازی یک راهکار بدون رمز عبور میتواند بسیار سادهتر از آن چیزی باشد که به نظر میرسد. قبل از اینکه به نکات مهم در این خصوص بپردازیم، به دو چالش بزرگ که از طریق این راهکارها بسیار ساده حل خواهد شد اشاره میکنیم:
- سریعتر نمودن فرآیندهای جذب نیرو و ادغام شرکتها: جذب نیرو و ادغام سازمان یا بخشی از آن با سایر شرکتها و یا حتی تغییر وضعیت فیزیکی واحدهای سازمانی، میتواند مشکلاتی در گردش کار ورود به سامانهها ایجاد کند. وجود یک سامانه واحد و راهکار کارآمد و ساده برای دسترسی به برنامهها و زیرساختها، راهحلی برای سازمان در چنین وضعیتهایی خواهد بود.
- امنیت مدرن برای برنامههای قدیمی: تمرکز بیشتر صنعت بانکداری بر حفاظت از دادههای مشتریان، ذخیرهسازی دادهها به صورت محلی و در زیرساختهای قدیمی را به دنبال داشته است. این کار اگرچه ممکن است ایمنتر باشد، اما حفظ سیستمهای قدیمیچالشهای خاص خود را به همراه دارد. هرچند با استفاده از راهکارهای ورود بدون رمز عبور، میتوان به طرق مختلف همچون درگاه ورود یکپارچه، فناوریهای قدیمی را نیز تحت پوشش فرآیند مدرن مدیریت هویت و دسترسی قرار داد.
فرآیند احراز هویت و دسترسی بدون رمز عبور نشانه
راهکار احراز هویت بدون رمز عبور نشانه، حداقل سه مزیت اساسی برای تمامی سازمانها از جمله سازمانهای مالی به همراه خواهد داشت:
- ورود ایمن، ساده و یکپارچه در همه جا و از همه برنامهها
- پوشش کامل گستره سازمان برای توقف فیشینگ
- کمک برای ساخت سطح اعتماد صفر (Zero Trust)
با راهکار نشانه، پوشش کامل برای مدیریت دسترسیهای برنامههای کاربردی سازمان، از داخل و راهدور فراهم خواهد شد. همه برنامهها را میتوان به سرعت و به راحتی تحت پوشش این راهکار قرار داد.
حدود 90 درصد نقضهای داده هنوز با فیشینگ شروع میشوند و حدود 90 درصد راهحلهای MFA معمولی نیز نمیتوانند جلوی فیشینگ را بگیرند. پس از یک حمله از این دست، ممکن است این سوال در سازمان به وجود بیاید که آیا رهبران امنیتی به اندازه کافی برای جلوگیری از وقوع چنین مواردی اقدام کرده اند یا خیر؟
اتخاذ راهکارهای بدون رمز عبور کمک میکند تا مشخص شود که سازمانها (از جمله سازمانهای مالی) تمام تلاش خود را برای جلوگیری و خنثی کردن حملات مبتنی بر اعتبار انجام داده است. ادامه استفاده از رمزهای عبور نیز از سوی دیگر، به وضوح ثابت میکند که تلاش حداکثری انجام نشده است.
بازدهی راهکارهای احراز هویت بدون رمزعبور برای موسسات مالی
دیر یا زود، تمامی سازمانها از جمله سازمانهای مالی از راهکارهای احراز هویت بدون رمز عبور برای مدیریت هویت و دسترسی استفاده خواهند نمود. شاید اعداد و ارقام مربوط به بازدهی چنین روشهایی بتواند برای مدیران در پذیرش استفاده از چنین راهکارهایی موثر باشد:
- راهکارهای بدون رمز عبور، معمولا هزینه خود را در سال اول به سازمان برخواهند گرداند
- کاهش تماسها با واحد فناوری برای بازنشانی رمزهای عبور
- بهرهوری بیشتر افراد
- کاهش خطرات و تهدیدات
- عدم نیاز به انجام امور مرتبط با رمزهای عبور و انطباق با الزامات بالادستی
- مقاومت در برابر حملات فیشینگ تا 99 درصد افزایش خواهد یافت
- کارمندان حداقل حدود 5% بهرهوری بیشتر خواهند داشت
- عدم نیاز به رمز عبور برای ورود به سامانهها
- عدم به خاطر سپردن آنها
- درگیر نشدن با فرآیند بازنشانی رمزهای عبور
- عدم انجام کنترلهای مربوط به رمزهای عبور
- حدود 15 درصد از تماسها با واحد فناوری اطلاعات کاهش پیدا خواهد نمود
تیم نشانه (محصول شرکت رهسا – رهآورد سامانههای امن) تلاش دارد تا با ارائه راهکاری کارامد، به صرفه و آسان، فرآیند کنار گذاشتن رمزهای عبور و مهاجرت به دنیای امن بدون رمزعبور را برای افراد و سازمانها به ویژه موسسات مالی تسهیل کند. در این مسیر تیم نشانه با معرفی نقاط ضعف روشهای موجود، معرفی روشهای جدید و آخرین دستاوردها، و همچنین ارائه اطلاعات فنی به متخصصان، سعی نموده است تا نقشی هر چند کوچک در ارتقای دانش عمومی و سطح امنیت سرویسهای داخلی داشته باشد.
اطلاعات بیشتر در خصوص احراز هویت چند عاملی و شیوههای نوین آن را در مقاله احراز هویت چند عاملی MFA: مزایا، معایب، آینده مطالعه کنید.