自适应认证是高级风险分析的追求目标。自适应认证融合了各种风险检查用于确定用户的聚合风险分数,以确定如何处理特定的身份验证请求。自适应认证可以考虑的风险检查包括如下:
- 威胁服务。威胁服务结合了多种威胁情报、信息和黑名单IP地址,为业界最先进的威胁提供保护,包括APT、网络犯罪、黑客行为、匿名代理和匿名网络(例如Tor)。
- 设备识别。可以确定设备是否被识别并于已知用户相关联。
- 地理位置。可以确定请求是否来自已知良好位置,其中组织中有员工,合作伙伴或客户。
- 地理移动速度。将用户的地理位置和登录历史结合起来,该解决方案可以一起计算不太可能的旅行事件,比如在本地登录后,几分钟后又试图从远程位置登录,这就是证书被盗的一个很好的指示。
- 目录查找。检查组成员的身份和用户属性,攻击者创建的凭据通常缺少适当的组成员身份和其他属性。
- 地理围栏。确定访问请求是自来用户所设置的地理屏障之内还是之外。
- 电话号码欺诈预防。可以通过电子邮件/短信发送的一次性密码来抵御安全漏洞,该密码能够阻止与电话端口欺诈有关的运营商网络、号码类别(如虚拟,固定,移动)和移动电话号码。还提供复杂的垃圾邮件和拒绝服务预防以减少OTP的数量。
- 身份治理。可以从智能身份评分中获取访问权限分数,并利用该分数来确定访问请求的风险。
- 用户和实体行为分析。可以通过基于机器学习驱动的用户和实体行为分析技术,来检查行为是否超出常规模式,有助于确定用户行为是否有异常。
- 行为生物识别。可以收集特定设备上特定用户的击键动态和光标移动,并停止超出已建立的行为模板的认证尝试。
单独地讲,这些技术中的任何一种都可能无法提供足够的保护来抵御攻击者,但是将它们分层聚在一起时,可以提供行业的最佳保护水平,并且能非常有效地防止攻击者获得立足点并在组织内横向移动。
被盗的凭据对攻击者来说是无用的,因为这些风险检查中的多个会引起关注,组织而可以自动要求多因素身份验证步骤来证明有效性或完全拒绝访问请求。
自适应认证--身份验证实例
1、用户注册
自适应认证以每个用户/设备对的一次性注册动作开始。这不应该与提供用户账号和分配权限相混淆,而是由组织的身份和访问管理流程处理。相反,可以对已建立的用户和他们的设备进行编目,以便将来进行授权尝试。
注册分为两步:
步骤1:通过以下方式之一为用户提供一次性密码:
- 通过短信发送到他们手机上(使用电话欺诈预防)。
- 通过电子邮件发送给他们,可以提供保护防止OTP暴力破解和泛洪。
- 让自动系统呼叫用户并口头提供一次性密码。
- 让授权工作人员亲自提供一次性密码。
步骤2:用户使用一次性密码在其IOS或Android移动设备上注册安全认证的移动应用程序。
在整个注册过程中,自适应认证技术被用于检测和降低攻击者试图注册的风险。
2、日常认证
一旦用户注册了他们的移动设备,组织就可以随时使用前面介绍的自适应认证工作流程要求他们进行身份验证。其过程如下:
- 用户将用户名提供给应用程序或VPN。
- 用户从安全认证应用程序接收到登录请求通知。
- 用户提供他的指纹作为生物认证的初始形式。有效的指纹授予用户访问安全认证应用程序的权限,而尝试使用被盗设备的攻击者将止步于此。如果设备上没有指纹传感器,则可以使用PIN码作为替代方案。
- 用户使用“推送-接收“的方式接收身份验证请求。
- 自适应认证基于用户类型和系统设置期间建立的因素,计算与身份验证尝试相关联的风险。根据自己指定的阈值,将发生下列情况之一:
- 如果风险足够低,则无需任何其它身份验证步骤即可允许验证尝试。
- 如果风险适中,工作流程可以升级并要求用户提供其他身份验证方式。用户将获得批准,但攻击者将被停止。
- 如果风险过高,将拒绝身份验证尝试。同样,攻击者将被阻止。
- 如果风险过高,可以将身份验证尝试重定向到安全区进行进一步观察。