Μια βαθύτερη κατάδυση στο Πλαίσιο, ξεκινώντας με τον έλεγχο ταυτότητας.
Δήλωση πεδίου εφαρμογής
Υπουργείο Εξωτερικών. OTP. FIDO. SMS. PKI. Όλα αυτά τα ακρωνύμια μπορεί να σας κάνουν να πείτε OMG, αλλά είναι σημαντικό να κατανοήσετε το καθένα όταν πρόκειται για τη διαχείριση του ελέγχου ταυτότητας. Είναι μια ανωμαλία στις μέρες μας όταν συμβαίνει μια σημαντική παραβίαση και τα παραβιασμένα συστήματα ελέγχου ταυτότητας δεν παίζουν ρόλο. Ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) είναι κρίσιμος για τη διακοπή των επιθέσεων — αλλά όπως θα αναφέρουμε λεπτομερώς σε αυτό το άρθρο, δεν είναι όλα τα MFA ίδια και οι εισβολείς προσεγγίζουν ορισμένα εργαλεία MFA πρώτης γενιάς. Οι CISO για την υγεία πρέπει να παραμείνουν μπροστά από την καμπύλη.
Αυτή είναι η τρίτη δόση της συνεχιζόμενης σειράς του H-ISAC που επικεντρώνεται στο να βοηθήσει τους CISO να εφαρμόσουν μια προσέγγιση με επίκεντρο την ταυτότητα στην ασφάλεια στον κυβερνοχώρο. Το πρώτο μας χαρτί, Ταυτότητα για το CISO που δεν δίνει ακόμη προσοχή στην ταυτότητα, εξήγησε γιατί η ταυτότητα έχει σημασία. Το ακολουθήσαμε με Ένα πλαίσιο H-ISAC για τους CISO για τη διαχείριση της ταυτότητας, περιγράφοντας πώς οι CISO μπορούν να εφαρμόσουν μια ολοκληρωμένη προσέγγιση για την ασφάλεια με επίκεντρο την ταυτότητα που θα προστατεύει από σύγχρονες επιθέσεις και θα υποστηρίζει βασικούς επιχειρηματικούς παράγοντες.
Τώρα θα αρχίσουμε να βουτάμε βαθύτερα σε διάφορες περιοχές αυτού του πλαισίου, ξεκινώντας από τον έλεγχο ταυτότητας. Οι περισσότεροι επαγγελματίες της κυβερνοασφάλειας γνωρίζουν ότι ο έλεγχος ταυτότητας είναι σημαντικός, αλλά πολλοί δεν κατανοούν τις διαφορές μεταξύ των διαφόρων εργαλείων ελέγχου ταυτότητας ή πώς να τον εφαρμόσουν καλύτερα στον οργανισμό τους. Αυτό το έγγραφο συντάχθηκε για να απαντήσει σε αυτά τα ερωτήματα και περιλαμβάνει δύο περιπτωσιολογικές μελέτες που περιγράφουν λεπτομερώς πώς διαφορετικοί οργανισμοί υγείας έχουν εφαρμόσει ισχυρό έλεγχο ταυτότητας.
Βασικά Συμπεράσματα
Μόνο οι κωδικοί πρόσβασης προσφέρουν ελάχιστη ασφάλεια. Η ΜΧΣ είναι απαραίτητη.
Δεν είναι όλα τα ΜΧΣ ίδια. Οι εισβολείς έχουν βρει τρόπους για να ψάρεμα τεχνολογίες ελέγχου ταυτότητας, όπως κωδικούς πρόσβασης μίας χρήσης (OTP) που βασίζονται σε "κοινόχρηστα μυστικά". Όπου είναι δυνατόν, χρησιμοποιήστε εργαλεία υψηλής ασφάλειας, ανθεκτικά στο phishing, όπως το FIDO ή το Public Key Infrastructure (PKI).
Η χρηστικότητα έχει σημασία. Οι υλοποιήσεις MFA δυσκολεύονται εάν υποβαθμίζουν την εμπειρία του χρήστη. Οι σύγχρονες λύσεις MFA προσφέρουν απλοποιημένες διαδικασίες ελέγχου ταυτότητας που είναι πιο εύχρηστες από τους κωδικούς πρόσβασης.
Όπου είναι εφικτό, μετακινηθείτε από το στατικό MFA σε μια πολυεπίπεδη προσέγγιση που ενσωματώνει το σήμα
