Промышленные предприятия по всему миру всё чаще принимают технологии без ключей и полагаются на современные технологии и биометрику, чтобы сделать жизнь более удобной, но, что более важно, избавиться от излишних опций безопасности.
Например, компании, такие как SwitchBot и Tuya, предлагают технологии, которые позволяют клиентам разблокировать свои дома через биометрию на самом замке.
Однако не вся отрасль кибербезопасности следует этому примеру.
Представьте: отрасль кибербезопасности, которая должна была бы возглавлять инновации, настойчиво рекомендует использовать физические ключи для укрепления кибербезопасности.
Давайте погрузимся в мир безопасных ключей, которые, несмотря на свое название, могут принести целый набор проблем безопасности.
Аутентификация может быть всего лишь одной из составляющих жизненного цикла идентичности, но ее необходимо защищать от кражи учетных данных, атак на основе паролей и обхода многофакторной аутентификации. Действительно, процессы регистрации, добавления второго устройства и восстановления предоставляют преступникам множество способов осуществления захвата аккаунта, поэтому это критическая область кибербезопасности бизнеса, которую их решение должно защищать любой ценой.
Проблема с безопасными ключами, такими как серия YubiKey 5 от Yubico, заключается в том, что они не уменьшают риски, которые представляют собой кража учетных данных, атаки на основе паролей и обход многофакторной аутентификации.
В первую очередь для регистрации безопасного ключа на каждую учетную запись необходимы учетные данные и пароли. Но эти меры безопасности легко поддаются атакам. Например, у нас в IDEE недавно было проведено исследование, в котором было показано, что украденные учетные данные стали причиной 35% кибератак, с которыми столкнулось 61% британских компаний в 2023 году. Это была наиболее распространенная причина, но безопасные ключи не останавливают их.
Чтобы сделать ситуацию еще хуже, компании, использующие безопасные ключи, часто выдают резервные ключи на случай потери или кражи первого. Больше ключей означает дополнительные уязвимости и больше атак, но «ответственные» провайдеры кибербезопасности продолжают притворяться, что они улучшают — а не ухудшают — безопасность.
Этот подход может ограничить некоторые атаки на основе паролей, но отрасль должна понять, что использование паролей и множественных факторов аутентификации облегчает работу преступников. В настоящее время они предоставляют преступникам супермаркет с атакующими векторами, и это бизнесы страдают от последствий.
Более того, если пользователь вошел в свою учетную запись с паролем, а затем потерял или украли ключ, его учетная запись находится в немедленной опасности. Этот риск возрастает, если учетные данные пользователя уже были скомпрометированы. Киберпреступники могут просто подключить ключ к новому устройству, ввести пароль и получить доступ, никому не предупредив.
Более того, многие компании, производящие безопасные ключи, такие как Yubico, теперь разработали свои собственные криптографические библиотеки для обеспечения практичности выполнения криптографических алгоритмов и протоколов. Проблема в том, что эти новые библиотеки, вероятно, менее безопасны, чем хорошо протестированные предложения, такие как Python, что создает еще более широкую поверхность атак.
Теперь мы перейдем к другой проблеме, возникающей от безопасных ключей: аппаратное обеспечение. Новые требования к аппаратному обеспечению постоянно выпускаются; однако аппаратное обеспечение в безопасных ключах не может быть обновлено. Единственный ответ, который есть у компаний на это, — это покупать полностью новое аппаратное обеспечение каждый раз.
Прошивка не лучше. Сложные ПИН-коды теперь внедряются в качестве дополнительной меры безопасности, но факт в том, что защитная прошивка не может их поддержать. В сочетании с тем, что у них очень ограниченные возможности хранения, которые, вновь, не могут быть обновлены, ясно, что безопасные ключи не обеспечивают безопасность и функциональность, которые бизнесам действительно нужны для полноценного укрепления своих систем.
Финансовая сторона вещей, к сожалению, не обещает легкого чтения.
Безопасный ключ серии Yubico 5 стоит €75, без учета НДС. Учитывая рекомендацию, что каждый пользователь должен иметь два безопасных ключа, бизнесы должны готовы тратить около €200 на каждого человека. Это только на покупку ключей; компаниям все еще нужно отправлять их сотрудникам по всему миру, что добавляет дополнительные расходы к уже долгому списку.
Это приводит меня к другой проблеме. Более высокие затраты — не единственная цена за внедрение безопасных ключей в качестве вашей основной киберзащиты — у них также есть множество практических и логистических проблем.
Главные информационные и безопасностные офицеры (CISO) обладают одними из самых ярких умов в нашей отрасли. Они должны заниматься концентрацией своих знаний на благородных целях и сосредоточиться на развитии непроницаемых киберзащитных мер. Однако для компаний, использующих безопасные ключи, это не соответствует действительности.
Правда в том, что в этих компаниях CISO становятся де-факто логистическими менеджерами, тратя невероятное количество времени на заказ и отправку безопасных ключей каждому сотруднику. Это непростительное расточительство таланта, которое бизнесы должны развивать, чтобы гарантировать, что их киберзащита находится на мировом уровне.
Если стоимость и потерянные ресурсы — это дополнительная плата за использование безопасных ключей, то вы бы надеялись, что опыт пользователей, по меньшей мере, улучшится. Но это не так.
Многие люди используют ноутбуки с заблокированными USB-портами по соображениям безопасности. Должны ли ИТ-отделы ожидать, что им придется открывать все эти порты?
С практической точки зрения носить еще один набор ключей совершенно ненужно; у нас есть устройства, которые могут сделать то же самое. Я специально пытаюсь найти способы сокращения, а не увеличения, количества вещей, которые мне нужно брать с собой каждый день. Хочу ли я добавить еще один? Нет, спасибо.
Лучшие варианты доступны в современном мире.
Мы можем и должны сделать лучше. Методы обеспечения кибербезопасности уже существуют сейчас. Например, транзитное доверие и подтверждение личности — это новаторские разработки, которые могут устранить все проблемы, связанные с использованием безопасных ключей.
Транзитное доверие обеспечивает выполнение всех транзакций на надежном сервисе, с использованием надежного устройства под управлением надежного пользователя. Это устраняет зависимость от поддельных факторов аутентификации, таких как пароли, одноразовые пароли или уведомления о нажатии на кнопку.
В заключение, отрасль кибербезопасности должна адаптироваться к современным достижениям и принять технологию без ключей, чтобы открыть себя для по-настоящему безопасного будущего.
Источник: TechRadar
