ทบทวน MFA

By Hed Kovetz, CEO และผู้ร่วมก่อตั้ง, Silverfort

เราทุกคนใฝ่ฝันถึงโลกที่เราสามารถไว้วางใจทุกคนที่เข้าถึงทรัพยากรขององค์กรของเรา แต่ความจริงกลับแตกต่างออกไป ฝ่ายตรงข้ามพยายามเจาะระบบของเราและเข้าถึงข้อมูลที่ละเอียดอ่อนของเราอย่างต่อเนื่องโดยใช้ช่องโหว่ของเรา การรับรอง กลไกที่ต่อต้านเรา

ปัญหาการตรวจสอบรหัสผ่านเป็นที่ทราบกันมานานหลายทศวรรษ การแนะนำของ การตรวจสอบหลายปัจจัย เป็นก้าวสำคัญก้าวแรกสู่การเสริมความแข็งแกร่งให้กับการรับรองความถูกต้อง ในปัจจุบัน MFA ถูกใช้โดยองค์กรเกือบทั้งหมดในระดับหนึ่ง แต่ยังคงใช้เพื่อปกป้องทรัพย์สินที่ละเอียดอ่อนของเราเพียงส่วนเล็กๆ เท่านั้น สิ่งนี้จะทำให้คุณสงสัยว่า หากปัญหาเป็นที่ทราบกันดีอยู่แล้วและมีวิธีแก้ปัญหา ทำไมเราไม่ใช้ MFA เพื่อปกป้องระบบทั้งหมด ทำไมเราถึงยังพึ่งพารหัสผ่านมากขนาดนี้? สิ่งนี้น่าตกใจอย่างยิ่งเมื่อพิจารณาว่าการใช้รหัสผ่านที่ถูกบุกรุกในการละเมิดข้อมูลนั้นเพิ่มขึ้นทุกปีแทนที่จะลดลง
การตระหนักรู้ถึงสิ่งนี้ผลักดันฉันและผู้ร่วมก่อตั้งของฉัน Matan Fattal และ Yaron Kassner, เริ่ม Silverfort. เราพบกันในช่วงหลายปีที่ผ่านมาที่หน่วยข่าวกรองไซเบอร์ของอิสราเอล 8200 ซึ่งเราทำหน้าที่ในการวิจัยความปลอดภัยทางไซเบอร์ ความเป็นผู้นำทีมและบทบาทความเป็นผู้นำกลุ่ม และได้รับโอกาสในการเป็นผู้นำโครงการวิจัยเชิงนวัตกรรมและการพัฒนาเทคโนโลยีที่ล้ำสมัย ต่อมาเราแต่ละคนทำงานให้กับบริษัทชั้นนำในอุตสาหกรรม จนกระทั่งเมื่อสามปีที่แล้วเราได้ร่วมมือกันอีกครั้งเพื่อก่อตั้ง Silverfort.

ในฐานะผู้สร้างสรรค์นวัตกรรมในพื้นที่การตรวจสอบสิทธิ์ เราคิดเสมอว่า MFA จะไม่มีประสิทธิภาพอย่างแท้จริง ตราบใดที่ยังคงเป็นโซลูชันเฉพาะสำหรับการปกป้องทรัพย์สินแต่ละรายการ แนวทางของเราแตกต่างโดยพื้นฐาน นับเป็นครั้งแรกที่ MFA จะได้รับการออกแบบให้ปกป้องทรัพยากรขององค์กรได้อย่างง่ายดายและราบรื่น ไม่ว่าจะเป็นอะไรหรืออยู่ที่ไหนก็ตาม

ใครเป็นคนย้ายขอบเขตของฉัน?

เช่นเดียวกับกรอบการทำงานด้านความปลอดภัยอื่นๆ MFA ได้รับการออกแบบภายใต้ขอบเขตการรับรู้ ซึ่งเป็นขอบเขตที่ชัดเจนที่แยกเครือข่ายองค์กรที่ “เชื่อถือได้” ออกจากเครือข่ายภายนอกที่ “ไม่น่าเชื่อถือ” ในความเป็นจริงที่เรียบง่ายนี้ การบังคับใช้ MFA ที่ "ประตู" ซึ่งก็คือเกตเวย์ VPN ก็เพียงพอแล้ว และอาจใช้กับทรัพยากรระยะไกลบางส่วนด้วย ดังนั้นโซลูชัน MFA จึงถูกสร้างขึ้นเพื่อปกป้องจุดการเข้าถึงเฉพาะ และแม้ว่าประสบการณ์ผู้ใช้จะพัฒนาไปตลอดหลายปีที่ผ่านมา แต่สมมติฐานพื้นฐานนี้ก็กลับไม่ได้เป็นเช่นนั้น

ในช่วงไม่กี่ปีที่ผ่านมา ขอบเขตเครือข่ายค่อยๆ หายไป การปฏิวัติด้านไอที เช่น คลาวด์ IoT และ BYOD เป็นเพียงเหตุผลบางประการที่ทำให้ขอบเขตทางกายภาพของเครือข่ายองค์กรไม่เกี่ยวข้อง ยุคใหม่นี้กำลังท้าทายกรอบการรักษาความปลอดภัยแบบเดิม – ฉันจะวางผู้รักษาประตูไว้ที่ไหน หากไม่มีประตูที่ชัดเจน ฉันจะบังคับใช้ MFA ได้ที่ไหนในสภาพแวดล้อมแบบไฮบริดแบบไดนามิกซึ่งมีอุปกรณ์และบริการต่างๆ มากมายเชื่อมต่อถึงกัน นั่นคือเหตุผลว่าทำไมจุดสิ้นสุดที่ติดไวรัสจุดเดียวจึงเพียงพอที่จะเข้าครอบครองเครือข่ายทั้งหมดโดยใช้การขโมยข้อมูลประจำตัวและ การเคลื่อนไหวด้านข้างดังที่แสดงให้เห็นในการโจมตี NotPetya ปี 2017 และอื่นๆ อีกมากมาย

บูรณาการระบบ MFA ตามระบบ – การต่อสู้ที่พ่ายแพ้

เพื่อตอบสนองความต้องการที่เปลี่ยนแปลงไปของลูกค้าได้ดียิ่งขึ้น ผู้จำหน่าย MFA ได้เริ่มเสนอรายการการบูรณาการ ตัวแทนซอฟต์แวร์ SDK พร็อกซี และเครื่องมืออื่น ๆ มากมายที่ช่วยให้ MFA สามารถใช้งานระบบได้มากขึ้น แต่การปรับใช้สิ่งเหล่านี้กลับกลายเป็นงานที่ไม่มีที่สิ้นสุดสำหรับทีมรักษาความปลอดภัย เนื่องจากแต่ละโซลูชันนำเสนอการผสานรวมกับระบบเฉพาะ องค์กรมักจะถูกบังคับให้บำรุงรักษาโซลูชัน MFA หลายรายการเพื่อปกป้องทรัพย์สินที่สำคัญของตน ส่งผลให้เกิดค่าใช้จ่ายสูง การลงทุนทรัพยากรระดับมืออาชีพอย่างต่อเนื่อง และประสบการณ์ผู้ใช้ที่ไม่สอดคล้องกัน อีกทั้งยังเป็นการจำกัดศักยภาพของ การรับรองความถูกต้องแบบปรับตัวตามความเสี่ยงเนื่องจากโซลูชัน MFA แต่ละรายการจะตรวจสอบทรัพย์สินเครือข่ายเพียงบางส่วน (เช่น เว็บแอปพลิเคชันเท่านั้น) โดยไม่มีการวิเคราะห์ความเสี่ยงแบบรวมที่คำนึงถึงพฤติกรรมของผู้ใช้ในทุกระบบและสภาพแวดล้อม

ที่สำคัญกว่านั้น ทรัพยากรที่ละเอียดอ่อนหลายประเภทไม่สามารถป้องกันได้ด้วยโซลูชัน MFA ในปัจจุบัน ด้วยเหตุผลหลายประการ:

• ในหลายกรณี การใช้เอเจนต์ซอฟต์แวร์หรือการแก้ไขระบบบางระบบในเครื่องไม่สามารถทำได้ในทางเทคนิค นี่เป็นกรณีของระบบแชร์ไฟล์ที่เป็นกรรมสิทธิ์และระบบเดิมจำนวนมาก (ซึ่งขณะนี้ตกเป็นเป้าหมายของ ransomware), อุปกรณ์ IoT และอื่นๆ
• สำหรับทรัพย์สินที่สำคัญมากมายและ 3^rd ระบบปาร์ตี้ การปรับเปลี่ยนทางเทคนิคถูกปฏิเสธโดยเจ้าของทรัพยากรหรือถูกห้ามโดยผู้ผลิต ซึ่งเป็นเรื่องปกติในเซิร์ฟเวอร์ที่มีความสำคัญต่อการผลิตและระบบควบคุมทางอุตสาหกรรม (ICS)
• ในหลายองค์กร จำนวนสินทรัพย์และลักษณะแบบไดนามิกของสภาพแวดล้อมทำให้การบูรณาการสินทรัพย์ต่อสินทรัพย์เป็นไปไม่ได้ เช่น ในเครือข่ายองค์กรขนาดใหญ่และสภาพแวดล้อม IaaS ที่ซับซ้อนซึ่งมีการสร้างหรือย้ายอินสแตนซ์ VM ที่แตกต่างกันจำนวนนับไม่ถ้วนระหว่างสภาพแวดล้อมในแต่ละวัน หรือในกรณีที่หน่วยธุรกิจกำลังใช้งานระบบที่ฝ่ายไอทีไม่รู้ - ปรากฏการณ์ที่เรียกว่า “ไอทีเงา”

ทบทวน MFA

เมื่อพิจารณาถึงความท้าทายและข้อจำกัดของโซลูชัน MFA แบบดั้งเดิม ดูเหมือนว่าเป็นความพยายามในการ "ขยายขอบเขต" แบบดั้งเดิม โซลูชัน MFA เพื่อให้เข้ากับความเป็นจริงในปัจจุบันได้มาถึงขีดจำกัดแล้ว และผู้โจมตีก็กำลังใช้ประโยชน์จากมัน ถึงเวลากลับไปสู่กระดานวาดภาพและออกแบบโซลูชัน MFA สายพันธุ์ใหม่ เราจำเป็นต้องดูเครือข่ายโดยรวม แทนที่จะรวม MFA เข้ากับสินทรัพย์แต่ละรายการ เราต้องการวิธีส่งมอบการรับรองความถูกต้องที่รัดกุมให้กับระบบที่ปัจจุบันถือว่า “ไม่สามารถป้องกันได้” หรือที่แผนกไอทีไม่รู้ด้วยซ้ำ เราต้องการวิธีเปิดใช้งานนโยบายการรับรองความถูกต้องแบบรวม การมองเห็น ประสบการณ์ผู้ใช้ และการวิเคราะห์ความเสี่ยงในทุกระบบและสภาพแวดล้อม

ด้วยการเปลี่ยนแปลงวิธีการออกแบบและดำเนินการ MFA Silverfort ได้เปิดบทใหม่แห่งการรับรองความถูกต้องระดับองค์กร ช่วยเพิ่มขีดความสามารถ เชื่อถือได้ ผู้ใช้ จัดการ การเข้าถึงที่ปลอดภัยในทุกระบบและสภาพแวดล้อมขององค์กร ตอบสนอง สู่ภัยคุกคามด้วยการตรวจสอบสิทธิ์แบบทีละขั้นตอนแบบเรียลไทม์และ บังคับใช้ ตระหนักถึงความเสี่ยงอย่างแท้จริง การรับรองความถูกต้องแบบปรับได้ ที่ไม่ได้จำกัดอยู่แค่ระบบเฉพาะ

สามปีของการเดินทางครั้งนี้ Silverfort ขณะนี้องค์กรต่างๆ ทั่วโลกใช้แพลตฟอร์มการรับรองความถูกต้องรุ่นถัดไปเพื่อให้บรรลุเป้าหมายดังกล่าว เราช่วยให้สถาบันการเงินเปิดใช้งาน MFA สำหรับเซิร์ฟเวอร์ SWIFT แอปพลิเคชันทางการเงินแบบเดิม และเซิร์ฟเวอร์ต่างๆ ได้ที่ PCI DSS กำหนดให้ต้องมี MFA, SWIFT CSP, GDPR หรือข้อบังคับความปลอดภัยทางไซเบอร์ NY-DFS เราช่วยให้องค์กรด้านการดูแลสุขภาพบังคับใช้ การตรวจสอบตามความเสี่ยง ทั่วทั้งอุปกรณ์ IoT ทางการแพทย์ เซิร์ฟเวอร์ PACS และบันทึกสุขภาพที่ละเอียดอ่อน (EHR) เราช่วยให้บริษัทพลังงานและการผลิตนำ MFA ไปใช้ไม่เพียงแต่ในสภาพแวดล้อมด้านไอทีของตนเท่านั้น แต่ยังรวมถึงเครือข่าย OT ของตนด้วย เราช่วยให้องค์กรในทุกอุตสาหกรรมนำเสนอนโยบายการรับรองความถูกต้องแบบองค์รวม การมองเห็นแบบรวมศูนย์ และประสบการณ์ผู้ใช้ที่ราบรื่นในทุกระบบและสภาพแวดล้อม

ระหว่างทางเราได้รับการสนับสนุนจากนักลงทุนผู้ยิ่งใหญ่ พันธมิตรชั้นนำ ผู้เชี่ยวชาญในอุตสาหกรรม และที่สำคัญที่สุดคือลูกค้าที่มีความสุข แต่นี่เป็นเพียงจุดเริ่มต้นเท่านั้น ตอนนี้ถึงเวลากระจายข่าวและปรับเปลี่ยนตลาดการรับรองความถูกต้องแล้ว

Hed Kovetz, CEO และผู้ร่วมก่อตั้ง, Silverfort

เฮดทำหน้าที่เป็น SilverfortCEO ของ บริษัท และเป็นหนึ่งในผู้ร่วมก่อตั้งบริษัท เขานำภูมิหลังทางเทคนิคและความเป็นผู้นำที่ไม่เหมือนใคร รวมถึงบทบาทความเป็นผู้นำผลิตภัณฑ์ที่ Verint ซึ่งเขาเป็นผู้นำผลิตภัณฑ์ความปลอดภัยทางไซเบอร์ในระดับประเทศของบริษัท และชนะการแข่งขันด้านนวัตกรรมของบริษัทสำหรับสิ่งประดิษฐ์ที่รอการจดสิทธิบัตรของเขา ก่อนหน้านี้ เฮดเคยดำรงตำแหน่งหัวหน้ากลุ่มที่หน่วยไซเบอร์ชั้นยอด 8200 ที่มีชื่อเสียงของกองกำลังป้องกันประเทศอิสราเอล ซึ่งเขาได้รับรางวัลความเป็นเลิศของหน่วยและรางวัล Chief of Intelligence Corps Award for Innovation เฮดมีนิติศาสตร์บัณฑิต จากมหาวิทยาลัยเทลอาวีฟ

ฉันหวังว่าจะเดินทางต่อไปและขอเชิญคุณเข้าร่วมกับเรา