用户认证是任何网络安全计划的基本组成部分之一。基于用户名、密码或其他方式识别个人有助于公司确保在访问系统、应用程序或网络时此人就是他或她声称的人。
但在某些情况下,传统的身份验证过程不足以在整个用户工作会话中提供强大的安全性。这就是持续认证的用武之地。这个概念还比较新,专家说市场上还没有什么产品。但随着公司寻找防止未经授权访问其关键业务数据的方法,这一问题正受到越来越多的关注。
IDC安全产品研究机构的研究主管Frank Dickson说:“持续认证是一种动态的、基于风险的认证形式,它将认证的视角从一个事件转变为一个过程。”。
Dickson说:“动态的、基于风险的身份验证检查改变的属性,并不断寻找验证身份的方法。”。他说,目前,这种认证的大多数用例都是基于分析一个人与智能手机或笔记本等设备交互的方式。
Gartner的研究副总裁MarkDiodati说,转向持续认证是不可避免的,但这实际上还处于开发的初期。
“这项技术是引人注目的,因为它解决了许多安全性和可用性问题,”迪奥达蒂说如今,典型的身份验证可能是在前门输入密码来验证某人的身份,但随着时间的推移,会话的安全性会逐渐降低。”
Diodati说,虽然在认证过程的开始阶段,认证的可信度相当高,但可能会发生各种削弱安全性的事件。例如,一个用户可能会短暂地离开他的桌面计算机,而其他人接管了会话,或者感染系统的恶意软件也可以接管。
“会话的持续时间越长,身份验证就越有可能出现衰退,”迪奥达蒂说。
连续身份验证不仅发生在会话开始时,而且发生在用户访问网络或使用应用程序的整个过程中。迪奥达蒂说,这项技术“在幕后发挥作用,研究用户的行为:他们在键盘上打字的方式、他们在按键之间移动的速度、他们握键的时间、他们在移动设备上刷卡的方式、他们移动鼠标的方式。”所有这些都包含有关用户的信息。”
对信息的分析提供了一个非常高的可能性,即某个特定用户就是他声称的那个人。这是因为每个人在使用键盘或其他接入设备时都有独特的行为方式。事实上,连续身份验证的关键组件之一是用户行为分析,它有助于确定给定个人的真实身份。
国际数据公司(IDC)在2016年10月发布的一份关于2020年全球安全支出的报告中指出,用户行为分析软件将是安全产品市场增长最快的细分市场之一。IDC预测这些产品的年复合增长率为12%。
如今,提供持续认证的供应商数量很少,但他们表示,他们的产品需求正在增长。
其中一家名为BehavioSec的公司提供了一种产品,它可以分析从登录到注销的活动,观察按键动态、触摸和鼠标移动等行为,并将其与同一用户以前的交互进行比较。
该公司的客户包括欧洲的早期采用者银行,这些银行已将BehavioSec作为其安全平台的一部分,该公司已从世界上一些最大的银行获得了对其技术的兴趣。
另一家供应商BioCatch提供了一个平台,可以在用户在线会话期间不断对其进行身份验证,从而防止网络威胁和欺诈活动,例如社会工程、帐户接管、远程访问特洛伊木马和其他恶意软件。
据一位发言人说,该公司目前每月监控20多亿次会议,以提供实时欺诈预防。许多银行和其他金融服务公司正在使用该产品。
据一位发言人说,可信身份和安全交易技术提供商Entrust Datacard正准备通过扩展自适应身份验证功能和与其他公司建立合作伙伴关系来提供连续身份验证。
例如,2017年2月,Entrust宣布与Iovation建立了合作关系,Iovation是一家基于设备的身份验证和欺诈预防解决方案提供商。该合作关系将Entrust Datacard的自适应认证产品与Iovation的基于设备和风险的认证服务结合起来,后者利用了超过35亿台设备的知识库。
从用户的角度来看,这项技术的好处之一是它不需要用户在会话期间做任何特殊的身份验证。该技术在用户工作时自动进行身份认证。
迪奥达蒂说:“如果你愿意,理论上,你可以建立一个甚至从不要求密码的会话。”使用传统身份验证很难做到这一点。”
此外,连续身份验证有可能为组织提供极高级别的安全性,这在当前的访问系统中也是不可行的。
这并不是说持续身份验证工具的开发和部署将毫无挑战。其中之一可能涉及用户接受,或缺乏接受。即使它在幕后工作,这项技术也可能是侵入性的。迪奥达蒂说,并不是每个人都会喜欢在台式机或移动设备上工作时一直处于某种监视之下的想法。
因为它在幕后工作,“这项技术对应用程序的侵入性很大,”迪奥达蒂说。构建需要不断评估用户操作的应用程序对于开发人员来说是一项艰巨的工作,比构建前门登录和密码访问要复杂得多。因此,可能需要一段时间才能购买到大量产品。
然后是微调连续认证系统的问题。当未经授权访问系统的用户能够欺骗生物识别访问工具进入系统时,可能会出现错误接受的情况。另一方面,也可能存在错误的拒绝,合法用户因为错误的阅读而被拒绝访问。
迪奥达蒂说:“这些东西需要降低到很低的百分比。”为了减少这些类型的错误,需要大量的成熟度。”
迪奥达蒂说,迄今为止,一些最早的连续身份验证部署出现在欧洲银行业,那里对用户身份验证的规定特别严格。其中一些实现处于试验阶段。
迪奥达蒂说,直到2018年的某个时候,持续认证才可能成为主流安全技术。他预计,在需要高安全级别和经常需要长时间的用户工作会话的行业中,将看到最初的采用。这些领域包括金融服务、航空航天、政府、医疗保健、高科技和制造业。
“我们已经讨论了很长时间,但直到最近才有大数据/分析能力和移动平台架构,”迪奥达蒂说到目前为止,这只是一个概念,我们开始看到可以让它发挥作用的技术。”
这个故事,“持续认证:为什么它会引起注意,你需要知道什么”最初是由CSO公司 .