Промышленности по всему миру внедряют технологии бесключевого доступа, полагаясь на современные технологии и биометрию, чтобы сделать жизнь более удобной, но, что более важно, исключить ненужные варианты безопасности.
Например, такие компании, как SwitchBot и Tuya, предлагают технологии, которые позволяют клиентам разблокировать свои дома, используя биометрические данные на самом замке.
Однако это не относится к индустрии кибербезопасности.
Подумайте вот о чем: та самая индустрия кибербезопасности, которая должна быть в авангарде инноваций, яростно выступает за использование физических ключей для усиления кибербезопасности.
Давайте углубимся в мир ключей безопасности, которые, несмотря на свое название, могут создать целый ряд проблем безопасности.
Ключи безопасности открывают кибер-двери настежь
Хотя аутентификация является лишь одной из многих частей жизненного цикла удостоверения, она должна быть защищена от фишинга учетных данных, атак на основе пароля и обхода MFA. Фактически, процессы регистрации, добавления второго устройства и восстановления предоставляют преступникам множество возможностей для захвата учетной записи. Итак, это критическая область кибербезопасности компании, которую их решение должно защищать любой ценой.
Однако проблема с ключами безопасности, такими как серия YubiKey 5 от Yubico, заключается в том, что они не снижают риски, связанные с фишингом учетных данных, атаками на основе паролей и обходом MFA.
Прежде всего, учетные данные и пароли необходимы для регистрации ключа безопасности для каждой отдельной учетной записи. Но эти меры безопасности можно легко скомпрометировать. Например, здесь, в IDEE, мы недавно провели исследование, которое показало, что украденные учетные данные стали причиной 35% кибератак, которым подвергся 61% британских предприятий в 2023 году. Это была самая распространенная причина, но ключи безопасности не предотвращают ее.
Что еще хуже, компании, использующие ключи безопасности, часто выдают запасные ключи на случай, если первый будет утерян или украден. Больше ключей означает больше уязвимостей и больше атак, но «ответственные» поставщики кибербезопасности продолжают прятать голову в песок и делать вид, что улучшают безопасность, а не ухудшают ее.
Хотя этот подход может ограничить некоторые атаки на основе паролей, отрасли необходимо проснуться и осознать, что использование паролей и нескольких факторов аутентификации облегчает работу преступников. На данный момент они предлагают преступникам огромный выбор методов атак, от последствий которых страдают компании.
Если пользователь вошел в свою учетную запись с паролем, а затем этот ключ потерян или украден, его учетная запись подвергается немедленному риску. Этот риск увеличивается, если учетные данные пользователя уже были скомпрометированы. Киберпреступники могут просто вставить ключ в новое устройство, ввести пароль и получить доступ незамеченным.
Кроме того, многие компании, производящие ключи безопасности, такие как Yubico, теперь разработали свои собственные криптографические библиотеки, чтобы сделать выполнение криптографических алгоритмов и протоколов практичным. Проблема в том, что эти новые библиотеки, вероятно, будут менее безопасными, чем хорошо протестированные предложения, такие как Python, что создает еще более широкую поверхность атаки.
Теперь нам нужно перейти к другой проблеме, связанной с ключами безопасности: аппаратному обеспечению. Постоянно появляются новые требования к оборудованию; однако аппаратное обеспечение ключей безопасности не может быть обновлено. Единственный ответ, который есть у компаний, — это каждый раз покупать совершенно новое оборудование.
Прошивка не лучше. Сложные ПИН-коды сейчас вводятся в качестве дополнительной меры безопасности, но встроенное ПО безопасности их фактически не поддерживает. В сочетании с тем фактом, что они имеют очень ограниченную емкость хранилища, которую, в свою очередь, невозможно обновить, становится ясно, что ключи безопасности не обеспечивают безопасность или функциональность, необходимые компаниям для реального укрепления своих систем.
Боюсь, финансовая сторона дела тоже не облегчает чтение.
Ключ безопасности серии Yubico 5 стоит 75 евро (без НДС). Поскольку для каждого пользователя рекомендуется использовать два ключа безопасности, компании могут ожидать, что затраты составят около 200 евро на человека. Это просто покупка ключей; Компаниям по-прежнему приходится рассылать их своим сотрудникам по всему миру, что увеличивает расходы на постоянно растущий список.
Это подводит меня к другой теме. Более высокие затраты — не единственная цена, которую приходится платить за внедрение ключей безопасности в качестве предпочтительной киберзащиты — существует также множество практических и логистических проблем.
Директора по информационным технологиям и безопасности (CISO) — одни из самых ярких умов в нашей отрасли. Им следует тратить все свое время на то, чтобы найти хорошее применение своему опыту и сосредоточиться на разработке непробиваемых систем киберзащиты. Однако для компаний, использующих ключи безопасности, это не так.
Фактически, директора по информационной безопасности в этих компаниях становятся менеджерами по логистике, тратя невероятное количество времени на заказ и доставку ключей безопасности для каждого отдельного сотрудника. Это непростительная трата талантов, которые компаниям следует развивать, чтобы гарантировать, что их киберзащита находится на мировом уровне.
Если стоимость и потраченные ресурсы означают дополнительные затраты на использование ключей безопасности, можно было бы надеяться, что это, по крайней мере, улучшит удобство использования. Однако, это не так.
Многие люди используют ноутбуки, USB-порты которых заблокированы по соображениям безопасности. Должны ли мы ожидать, что ИТ-отдел освободит все эти соединения?
С практической точки зрения носить с собой еще один комплект ключей совершенно не нужно. У нас есть устройства, которые могут делать то же самое. Я сознательно стараюсь уменьшить, а не увеличить количество вещей, которые мне приходится носить с собой каждый день. Хотел бы я добавить еще один? Нет Спасибо.
В современном мире есть лучшие варианты
Мы можем и должны совершенствоваться. Существуют методы обеспечения вашей кибербезопасности; они доступны немедленно. Например, транзитивное доверие и идентификационные данные являются новаторскими разработками, которые могут устранить все проблемы, связанные с использованием ключей безопасности.
Транзитивное доверие гарантирует, что все транзакции происходят через доверенную службу, устройство и пользователя. Это исключает зависимость от легко подделанных факторов, таких как пароли, одноразовые пароли или push-уведомления.
В заключение, индустрия кибербезопасности должна адаптироваться к современным достижениям и внедрить технологии бесключевого доступа, чтобы обеспечить себе по-настоящему безопасное будущее.
Мы предлагаем лучший менеджер паролей для бизнеса.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы демонстрируем лучшие и самые яркие умы в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
