احراز هویت بدون رمز عبور برای سازمانهای مالی

رهبران امنیت سایبری در سازمانهای مالی، بخش زیادی از انرژی خود را صرف تغییر مقررات، تحولات مداوم، و جریان بی‌پایان تهدیدهای سایبری می‌کنند. نکته شگفت‌انگیز آن است که در سال‌های اخیر، مشخص شده است که بیشتر فناوری‌ها، چه موارد حوزه فناوری اطلاعات و چه حتی فناوری‌های حوزه امنیت، خود دارای مشکلات متعددی بوده و دردسرهایی را برای سازمان‌ها به دنبال داشته‌اند. در این زمینه احراز هویت چند عاملی (MFA) کمی مستنثنی بوده و توانسته خطرات سایبری ناشی از فیشینگ، باج افزار، و تصاحب حساب (ATO)را کاهش دهد، سازمان‌ها را به Zero Trust نزدیک نموده و از انطباق در این زمینه پشتیبانی کند و همچین در خصوص همه افراد – کاربران، تیم IT، و تیم‌های امنیتی – صرفه‌جویی‌هایی برای سازمان‌ها به دنبال داشته باشد.

 

چه چیزی باعث می‌شود که MFA اینقدر ارزشمند گردد؟

کارشناسان هویت را «مرز جدید» دفاع مدرن امنیت سایبری و MFA را یک استراتژی کلیدی در بهبود تأیید هویت می‌دانند. هدف MFA متوقف کردن فیشینگ و سوء استفاده از اعتبار با هدف جلوگیری از عملکرد بدافزارها، باج افزارها، نشت داده‌ها، زنجیره تامین و سایر تهدیدات داخلی مرتبط می‌باشد. سازمان استاندارد ایالات متحده (NIST)، آژانس امنیت ملی (CISA) و سایر نهادهای مرتبط در این کشور، همگی اهمیت MFA را برای دستیابی به یک بینش اعتماد سطح صفر تبلیغ و ترویج می‌کنند. در ادامه جزئیات بیشتری در این خصوص ارائه خواهد شد.

 

MFA در برابر راهکارهای بدون رمز عبور

MFA تأیید هویت را در مقابل تکیه بر رمزهای عبور تقویت می‌کند، اما اکثر راه‌حل‌ها همچنان رمزهای عبور را به عنوان اولین عامل احراز هویت حفظ می‌کنند. این باعث می‌شود که MFA بسیار کمتر از آنچه انتظار می‌رفت ارزش داشته باشد.

در سوی دیگر، یک رویکرد بدون رمز عبور، شیوه شروع حمله مورد علاقه مهاجمان – فیشینگ – را از بین می‌برد. این کار در عین حال این اطمینان را افزایش می‌دهد که فردی که قصد ورود به سیستم را دارد، کاربر قانونی است که به دنبال انجام کارهای مجاز است. خلاص شدن از شر گذرواژه‌ها (نشان‌دهنده «چیزی که کاربران می‌دانند») و ترکیب عامل‌های قوی‌تر تأیید هویت – مانند چیزی که کاربران دارند و چیزی که کاربران هستند – بیشترین میزان خطر را از جعل هویت و مهندسی اجتماعی حذف می‌کند. همچنین این شیوه موارد زیر را نیز رفع خواهد نمود:

• بیشتر از 80 درصد از نقض‌هایی که شامل اعتبارنامه‌های به خطر افتاده است
• حملات فیشینگ، فیشینگ به‌عنوان سرویس (PhaaS) و حملات مرد میانی (MITM)
• همه شک‌ها در خصوص کم‌کاری افراد مسئول برای جلوگیری از سوء استفاده از اعتبارها و به خطر افتادن آنها

اما برای پیاده‌سازی درست و اصولی راهکارهای بدون رمز عبور، سازمان‌های خدمات مالی باید ورود امن را به همه اعضای نیروی کار و هر برنامه کاربردی، از هر دستگاه یا مکانی گسترش دهند.

 

آیا راه‌اندازی یک راهکار بدون رمز عبور دشوار است؟

راه‌اندازی یک راهکار بدون رمز عبور می‌تواند بسیار ساده‌تر از آن چیزی باشد که به نظر می‌رسد. قبل از اینکه به نکات مهم در این خصوص بپردازیم، به دو چالش بزرگ که از طریق این راهکارها بسیار ساده حل خواهد شد اشاره می‌کنیم:

• سریع‌تر نمودن فرآیندهای جذب نیرو و ادغام شرکت‌ها: جذب نیرو و ادغام سازمان یا بخشی از آن با سایر شرکت‌ها و یا حتی تغییر وضعیت فیزیکی واحدهای سازمانی، می‌تواند مشکلاتی در گردش کار ورود به سامانه‌ها ایجاد کند. وجود یک سامانه واحد و راهکار کارآمد و ساده برای دسترسی به برنامه‌ها و زیرساخت‌ها، راه‌حلی برای سازمان در چنین وضعیت‌هایی خواهد بود.
• امنیت مدرن برای برنامه‌های قدیمی: تمرکز بیشتر صنعت بانکداری بر حفاظت از داده‌های مشتریان، ذخیره‌سازی داده‌ها به صورت محلی و در زیرساخت‌های قدیمی را به دنبال داشته است. این کار اگرچه ممکن است ایمن‌تر باشد، اما حفظ سیستم‌های قدیمی‌چالش‌های خاص خود را به همراه دارد. هرچند با استفاده از راهکارهای ورود بدون رمز عبور، می‌توان به طرق مختلف همچون درگاه ورود یکپارچه، فناوری‌های قدیمی را نیز تحت پوشش فرآیند مدرن مدیریت هویت و دسترسی قرار داد.

 

فرآیند احراز هویت و دسترسی بدون رمز عبور نشانه

راهکار احراز هویت بدون رمز عبور نشانه، حداقل سه مزیت اساسی برای تمامی سازمان‌ها از جمله سازمانهای مالی به همراه خواهد داشت:

1. ورود ایمن، ساده و یکپارچه در همه جا و از همه برنامه‌ها
2. پوشش کامل گستره سازمان برای توقف فیشینگ
3. کمک برای ساخت سطح اعتماد صفر (Zero Trust)

با راهکار نشانه، پوشش کامل برای مدیریت دسترسی‌های برنامه‌های کاربردی سازمان، از داخل و راه‌دور فراهم خواهد شد. همه برنامه‌ها را می‌توان به سرعت و به راحتی تحت پوشش این راهکار قرار داد.

حدود 90 درصد نقض‌های داده هنوز با فیشینگ شروع می‌شوند و حدود 90 درصد راه‌حل‌های MFA معمولی نیز نمی‌توانند جلوی فیشینگ را بگیرند. پس از یک حمله از این دست، ممکن است این سوال در سازمان به وجود بیاید که آیا رهبران امنیتی به اندازه کافی برای جلوگیری از وقوع چنین مواردی اقدام کرده اند یا خیر؟

اتخاذ راهکارهای بدون رمز عبور کمک می‌کند تا مشخص شود که سازمانها (از جمله سازمانهای مالی) تمام تلاش خود را برای جلوگیری و خنثی کردن حملات مبتنی بر اعتبار انجام داده است. ادامه استفاده از رمزهای عبور نیز از سوی دیگر، به وضوح ثابت می‌کند که تلاش حداکثری انجام نشده است.

 

بازدهی راهکارهای احراز هویت بدون رمز عبور

دیر یا زود، تمامی سازمان‌ها از جمله سازمانهای مالی از راهکارهای احراز هویت بدون رمز عبور برای مدیریت هویت و دسترسی استفاده خواهند نمود. شاید اعداد و ارقام مربوط به بازدهی چنین روش‌هایی بتواند برای مدیران در پذیرش استفاده از چنین راهکارهایی موثر باشد:

• راهکارهای بدون رمز عبور، معمولا هزینه خود را در سال اول به سازمان برخواهند گرداند
  • کاهش تماس‌ها با واحد فناوری برای بازنشانی رمزهای عبور
  • بهره‌وری بیشتر افراد
  • کاهش خطرات و تهدیدات
  • عدم نیاز به انجام امور مرتبط با رمزهای عبور و انطباق با الزامات بالادستی
• مقاومت در برابر حملات فیشینگ تا 99 درصد افزایش خواهد یافت
• کارمندان حداقل حدود 5% بهره‌وری بیشتر خواهند داشت
  • عدم نیاز به رمز عبور برای ورود به سامانه‌ها
  • عدم به خاطر سپردن آنها
  • درگیر نشدن با فرآیند بازنشانی رمزهای عبور
  • عدم انجام کنترل‌های مربوط به رمزهای عبور
• حدود 15 درصد از تماس‌ها با واحد فناوری اطلاعات کاهش پیدا خواهد نمود

تیم نشانه تلاش دارد تا با ارائه راهکاری کارامد، به صرفه و آسان، فرآیند کنار گذاشتن رمزهای عبور و مهاجرت به دنیای امن بدون رمزعبور را برای افراد و سازمان‌ها به ویژه سازمانهای مالی تسهیل کند. در این مسیر تیم نشانه با معرفی نقاط ضعف روش‌های موجود، معرفی روش‌های جدید و آخرین دستاوردها، و همچنین ارائه اطلاعات فنی به متخصصان، سعی نموده است تا نقشی هر چند کوچک در ارتقای دانش عمومی و سطح امنیت سرویس‌های داخلی داشته باشد.