Πώς παθητική βιομετρία μπορεί να βοηθήσει στην ασφάλεια δεδομένων IT

Συγγραφέας: Roger Morrison
Ημερομηνία Δημιουργίας: 23 Σεπτέμβριος 2021
Ημερομηνία Ενημέρωσης: 1 Ιούλιος 2024
Anonim
Πώς παθητική βιομετρία μπορεί να βοηθήσει στην ασφάλεια δεδομένων IT - Τεχνολογία
Πώς παθητική βιομετρία μπορεί να βοηθήσει στην ασφάλεια δεδομένων IT - Τεχνολογία

Περιεχόμενο


Πηγή: Dwnld777 / Dreamstime

Πάρε μακριά:

Η παθητική βιομετρία ανοίγει το δρόμο για ασφάλεια χωρίς κωδικό πρόσβασης που μπορεί να εξαλείψει τους χάκερς.

Σε μια εποχή που τα συμβατικά μέτρα ασφάλειας δεδομένων περιορίζονται από περιορισμούς όπως η υπερβολική εξάρτηση από τη διακριτική ευχέρεια των χρηστών και την αποδοχή από τους χρήστες, η παθητική βιομετρία μπορεί δυνητικά να προσφέρει ισορροπία ασφάλειας και αποδοχής από τους χρήστες. Οι συμβατικοί μηχανισμοί ασφαλείας όπως οι κωδικοί πρόσβασης και οι κωδικοί SMS είναι τόσο ισχυροί όσο ο χρήστης τις κάνει. Έχει βρεθεί ότι πολλοί χρήστες τείνουν να θέτουν αδύναμους κωδικούς επειδή είναι εύκολο να τις θυμηθούν. Αυτό αποδυναμώνει τον κύριο σκοπό των μηχανισμών με κωδικό πρόσβασης ή ασφαλείας. Η παθητική βιομετρία δεν απαιτεί από τον χρήστη να παρέχει ενεργητικά τα διαπιστευτήρια, συλλέγοντας παθητικά δεδομένα χρήστη σε μορφές όπως οι τεχνικές αναγνώρισης προσώπου, φωνής και ίριδας. Αν και η παθητική βιομετρία ως μηχανισμός ασφάλειας πληροφορικής εξακολουθεί να βρίσκει τη θέση της, είναι ασφαλές να πούμε ότι προσφέρει μια ωραία ισορροπία μεταξύ της ευκολίας των χρηστών και της ασφάλειας των δεδομένων.


Τι είναι η παθητική βιομετρική;

Για να ορίσει τη βιομετρία, ο διευθυντής μάρκετινγκ της εταιρίας βιομετρίας EyeVerify, Tinna Hung εξηγεί: "Η βιομετρία βασίζεται σε κάτι που είστε, αντί σε κάτι που ξέρετε".

Στην περίπτωση παθητικής βιομετρίας, κάποιος δεν χρειάζεται να συμμετέχει ενεργά στη διαδικασία επαλήθευσης ή ταυτοποίησης, και μερικές φορές η διαδικασία δεν απαιτεί καν την ειδοποίηση του χρήστη. ο έλεγχος ταυτότητας γίνεται απλά κατά τη διάρκεια των συνήθων δραστηριοτήτων των χρηστών. Σε αυτές τις περιπτώσεις, το υποκείμενο δεν απαιτείται να ενεργεί άμεσα ή φυσικά. Όταν το σύστημα λειτουργεί χωρίς τη γνώση του χρήστη, παρέχει το υψηλότερο επίπεδο ελέγχου ταυτότητας.

Το τεχνολογικά αυτοματοποιημένο σύστημα βασικά μετρά τα συμπεριφορικά ή φυσιολογικά χαρακτηριστικά ενός ανθρώπου, με ή χωρίς τη γνώση των χρηστών. Για να έχουμε μια καλύτερη εικόνα για το τι συνεπάγεται η παθητική βιομετρία, μπορούμε να δούμε μερικά συγκριτικά παραδείγματα αυτού του συστήματος για να αντιπαραβάλλουμε με τα ενεργά βιομετρικά συστήματα. Για παράδειγμα, οποιαδήποτε τεχνολογία γεωμετρίας χεριών ή χεριών θα θεωρείται ενεργή βιομετρία, καθώς και αναγνώριση υπογραφών και σάρωση αμφιβληστροειδούς. Αυτό συμβαίνει επειδή ο χρήστης πρέπει να βάλει το χέρι του ή να εξετάσει μια συσκευή σάρωσης για αναγνώριση. Ωστόσο, η παθητική βιομετρία περιλαμβάνει συστήματα αναγνώρισης φωνής, προσώπου ή ίριδας. (Για να μάθετε περισσότερα σχετικά με τη βιομετρική, ανατρέξτε στο θέμα Νέες προσδοκίες σε βιομετρικά στοιχεία: ένας πιο ασφαλής κωδικός πρόσβασης.)


Πώς λειτουργεί η παθητική βιομετρία

Μια εξαιρετική εξήγηση για το πώς δουλεύει η παθητική βιομετρία από τον Ryan Wilk, τον διευθυντή επιτυχίας του NuData. Με τα λόγια του, "Βλέπουμε πώς αλληλεπιδρά ο χρήστης: πώς πληκτρολογούν, πώς κινούν το ποντίκι ή το τηλέφωνό τους, όπου χρησιμοποιούν το τηλέφωνό τους, τις μετρήσεις επιταχυνσιόμετρο. ... Δεδομένου ότι τα δεδομένα μεμονωμένα δείχνουν προς τον εαυτό τους, δεν είναι τρομερά χρήσιμα, αλλά όταν αρχίσετε να τα συγκεντρώσετε και να τα συγχωνεύσετε σε ένα προφίλ του ποιος είναι αυτός ο χρήστης, αρχίζετε να δημιουργείτε κάτι που είναι πραγματικά βαθύ και πραγματικά μοναδικό και κάτι που είναι εξαιρετικά δύσκολο να παραπλανήσει. "

Η παθητική βιομετρία παρέχει την ευκαιρία στους οργανισμούς να επαληθεύουν την ταυτότητα των πελατών τους ανάλογα με τις φυσικές τους συμπεριφορές στις τεχνολογικές αλληλεπιδράσεις. Η συνεχής διαδικασία αυτής της μη παρεμβατικής λύσης παραμένει αόρατη στους χρήστες, δεδομένου ότι δεν απαιτεί εγγραφή ή άδεια εργασίας στο παρασκήνιο. δεν ζητά από τους πελάτες να πραγματοποιούν οποιεσδήποτε επιπλέον ενέργειες κατά τη διάρκεια της κανονικής λειτουργίας τους. Η ανάλυση δεδομένων συμπεριφοράς σε πραγματικό χρόνο παρέχει ακριβείς εκτιμήσεις στις εταιρείες για τον διαχωρισμό των εισβολέων από τους αυθεντικούς πελάτες. Εφόσον δεν καταγράφονται προσωπικά αναγνωρίσιμα στοιχεία (PII), οι χάκερς δεν λαμβάνουν ποτέ εμπιστευτικά δεδομένα για να παρεμποδίσουν την αναγνώριση του χρήστη. Η παθητική βιομετρία είναι μια επαναστατική πρόοδος στο ταξίδι της επαλήθευσης ταυτότητας, η οποία έχει τη δυνατότητα να εξαλείψει κάθε πιθανότητα δόλιμης από τον πυρήνα του πλαισίου ελέγχου της ταυτότητας του οργανισμού και μπορεί να προσθέσει ένα νέο επίπεδο εμπιστοσύνης σε ολόκληρο τον κύκλο ζωής του λογαριασμού.

Γιατί είναι σημαντικό?

Η τεχνολογία πάντα δημιουργεί νέα συστήματα και φραγμούς ασφαλείας για την προστασία ολόκληρου του δικτύου από κακόβουλες δραστηριότητες. Αλλά, μπορεί να αποτρέψει τους λαμπρούς χάκερ και τους απατεώνες να βρουν για πάντα το κενό στο σύστημα; Όχι. Ωστόσο, όταν δεν έχουν γνώση σχετικά με μια συνεχιζόμενη διαδικασία, πώς θα μπορέσουν να περάσουν τον έλεγχο επαλήθευσης; Εάν δεν γνωρίζουν κάποιο σύστημα υποβάθρου, δεν θα λάβουν προληπτικά μέτρα. Αυτό είναι όπου η παθητική βιομετρία διαφέρει από άλλες μεθοδολογίες επαλήθευσης. Και έτσι η σημασία βρίσκεται και εδώ. Δεν υπάρχει δόλιος κίνδυνος όταν ο λόγος για τη χρήση απάτης ξεριζώνεται στην αρχή.

Πώς Παθητική Βιομετρία Βοήθεια Ασφάλεια Δεδομένων

Η απαίτηση για πιο εξελιγμένα και ικανοποιητικά συστήματα ασφαλείας έχει αυξηθεί στον αέρα για μεγάλο χρονικό διάστημα. Η ζήτηση επιβάλλει τώρα δίκτυα ασφαλείας προς τη βιομετρία και ιδιαίτερα την παθητική τεχνολογία, όπου οι χρήστες δεν χρειάζεται να ενημερώνονται για τη διαδικασία ταυτοποίησης, ανάλογα με τα χαρακτηριστικά συμπεριφοράς. (Για περισσότερα σχετικά με τα δεδομένα που χρησιμοποιούνται στα παθητικά βιομετρικά στοιχεία, ανατρέξτε στην ενότητα Πώς μπορούν να αποθηκευτούν μεγάλα δεδομένα για έλεγχο ταυτότητας χρηστών.)

No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας

Δεν μπορείτε να βελτιώσετε τις δεξιότητες προγραμματισμού σας όταν κανείς δεν ενδιαφέρεται για την ποιότητα του λογισμικού.

Ο Hung εξήγησε: "Μια καλά εφαρμοσμένη βιομετρική λύση θα ταιριάζει φυσιολογικά στην τακτική ροή της συμπεριφοράς των χρηστών." Η παθητική βιομετρία έχει το βασικό πλεονέκτημα της δημιουργίας ενός προφίλ για το πώς το άτομο χρησιμοποιεί τη μηχανή και όχι μόνο ένα προφίλ του ίδιου του μηχανήματος . Όπως εξηγεί ο Wilk, η παθητική προσέγγιση ανοίγει το βιβλίο για την κατανόηση του χρήστη σε "σχεδόν υποσυνείδητο επίπεδο".

Μια άλλη παθητική προσέγγιση, που δημιουργήθηκε από την εταιρεία BioCatch, λειτουργεί καταγράφοντας και αναλύοντας τις δραστηριότητες των χρηστών που δεν συνειδητοποιούν καν ότι κάνουν. Τα φυσικά χαρακτηριστικά όπως η μέτρηση των δακτύλων σε μια οθόνη αφής, το ενεργό χέρι (αριστερά ή δεξιά) με το ποντίκι ή η συχνότητα των κραδασμών του χεριού του χρήστη που κρατάει τη συσκευή, παρέχουν έναν ακριβή συνδυασμό δεδομένων για οξεία αναγνώριση ενός μοναδικού πελάτη. Επιπλέον, τα γνωστικά γνωρίσματα όπως η μέθοδος της συμπεριφοράς κύλισης ιστού κάποιου (βέλη, τροχός ποντικιού, σελίδα επάνω και κάτω κλπ.) Ή η τεχνική συγκράτησης της συσκευής (οριζόντια ή κάθετη, γωνία κλίσης της συσκευής κ.λπ.) επίσης συμβάλλουν στην ενίσχυση της πιστοποίησης του συστήματος.

Σύμφωνα με τον Oren Kedem, αντιπρόεδρο διαχείρισης προϊόντων στο BioCatch, χρησιμοποιούν επίσης "αόρατες προκλήσεις" για τους χρήστες, όπου η λειτουργία δείχνει μια σχεδόν αισθητή αλλαγή στην κανονική συμπεριφορά του χρήστη. Για παράδειγμα, η εφαρμογή μπορεί να αλλάξει μερικά pixel του δρομέα σε διαφορετική κατεύθυνση ή να αλλάξει ελαφρώς την ταχύτητα της σελίδας για να ελέγξει τη μοναδική απάντηση των χρηστών. Οι απαντήσεις τους σε αυτά τα περιστατικά είναι απίστευτα μοναδικά, τα οποία είναι αδύνατο να αναπαραχθούν.

Όπως λέει ο Kedem, "Δεν παρακολουθούμε μόνο τι κάνουμε, επηρεάζουμε επίσης αυτό που κάνετε. ... Σας θέτουμε μια ερώτηση χωρίς να σας ζητήσουμε και μας δίνετε μια απάντηση που γνωρίζετε. Είναι ένα μυστικό που δεν μπορεί να κλαπεί σαν κωδικό πρόσβασης ή ένα κουπόνι. "

Το σύστημα προγραμματίζεται με τέτοιο τρόπο ώστε να ανιχνεύει και να εμποδίζει αυτόματα τα botnets που καταγράφουν και επαναλαμβάνουν τις κινήσεις του στόχου. Αυτό οφείλεται στο γεγονός ότι η απομίμηση μιας απάντησης χρήστη είναι σχεδόν αδύνατη στην περίπτωση των αόρατων προκλήσεων, οι οποίες συνεχίζουν να αλλάζουν μέσα στην εφαρμογή.

Ποιος είναι ο αντίκτυπός της στα ζητήματα ασφάλειας πραγματικού κόσμου;

Οι χρηματοπιστωτικές και τραπεζικές υπηρεσίες σε όλο τον κόσμο έχουν αρχίσει να βασίζονται σε αυτό το νέο σύστημα. Οι βιομετρικοί προμηθευτές ασφάλειας όπως το EyeVerify και το Daon συνεργάζονται με τους χρηματοπιστωτικούς οργανισμούς. Το EyeVerify συνεργάζεται με το Digital Insight για την εξακρίβωση της ταυτότητας των βιομετρικών συστημάτων ασφαλείας στις εγκαταστάσεις κινητής τραπεζικής και πρόκειται να ξεκινήσει το Eye ID ως εφαρμογή για κινητά.

Το 2014, η βιομετρική τεχνολογία που εφαρμόστηκε από τη Daon εξασφάλισε 10,7 εκατομμύρια χρήστες της Ομοσπονδιακής Τράπεζας Αποταμιεύσεων της USAA στη διαδικασία μιας απρόσκοπτης εμπειρίας κινητής τραπεζικής. Σε αυτή την περίπτωση, ο επικεφαλής σύμβουλος ασφάλειας της USAA, Richard Davey, δήλωσε: "Οι ανησυχίες που προκύπτουν από την απειλή του phishing, του κακόβουλου λογισμικού και της έκθεσης σε πληροφορίες από εξωτερικές παραβιάσεις σημαίνουν πάντα ότι οι έλεγχοι ταυτότητας και πρόσβασης θα απειλούνται πάντα. Τεχνολογίες όπως η βιομετρία μετριάζουν αυτές τις απειλές, διευκολύνοντας παράλληλα τις όμορφες εμπειρίες των τελικών χρηστών. "

Η παθητική επαλήθευση βιομετρικής ταυτότητας φωνής καταγράφει μια εγγραφή χρήστη, υποβάλλοντας μια μοναδική φωνή μέσω συνομιλίας κατά την αρχική εγγραφή. Αυτή η αρχική συνομιλία απαιτεί να συνεχιστεί για 45 δευτερόλεπτα για να αξιοποιήσει τα δεδομένα αναγνώρισης. Στη συνέχεια, η εγγεγραμμένη φωνή αναγνωρίζει τον χρήστη συγκρίνοντας την επόμενη φωνή που αποκτάται στην επόμενη συνομιλία με το κέντρο επαφών.

Αυτή η τράπεζα εφάρμοσε τη νέα τεχνολογία ασφάλειας για τους υπαλλήλους της και στη συνέχεια στην αγορά τους στο Σαν Αντόνιο του Τέξας, ακολουθούμενη από την Καλιφόρνια και τελικά την ξεκίνησε να λειτουργεί σε πλήρη κλίμακα τον Ιανουάριο του 2015. Η απάντηση που προέκυψε ήταν εξαιρετική. Τρεις εβδομάδες μετά την εφαρμογή, περίπου 100.000 πελάτες εγγράφηκαν για βιομετρική πιστοποίηση και εντός δέκα μηνών ο αριθμός των ανταποκρινόμενων πελατών αυξήθηκε σε πάνω από ένα εκατομμύριο.

Είναι οι παραδοσιακές μέθοδοι χρήσιμες πια;

Μια ανάλυση των 90 ημερών που πραγματοποίησε η Nudata Security το 2015 αποκάλυψε αύξηση 112% στις επιθέσεις ιστού για να πάρει κωδικούς πρόσβασης και ονόματα χρηστών, από το 2014. Ποια είναι η αιτία πίσω από τους χάκερ που προωθούν τα παραδοσιακά συστήματα ασφαλείας; Ας το σκεφτούμε λίγο πιο προσεκτικά.

Αυτό που κάνουμε όλοι είναι να κάνουμε συμβιβασμούς στη δύναμη των κωδικών πρόσβασης για να τις θυμόμαστε εύκολα. Ναι, εδώ βρίσκεται ο ένοχος. Υπήρξε μια περίοδος κατά την οποία ένα άτομο διαχειριζόταν μόνο δύο ή τρεις λογαριασμούς στο διαδίκτυο και δεν ήταν πολύ δύσκολο να θυμηθούμε τους κρίσιμους κωδικούς πρόσβασης για ένα μικρό αριθμό περιπτώσεων. Έτσι, η διαδικασία ήταν σημαντική για την προστασία της ταυτότητας του ατόμου εκείνη την εποχή.

Αλλά τώρα, η εικόνα έχει αλλάξει σημαντικά. Όλοι κατέχουμε πολλούς λογαριασμούς, τόσο πολλοί που μερικές φορές δεν μπορούμε να παρακολουθούμε τους όλους. Τώρα, είναι δυνατόν να θυμηθούμε έναν κωδικό που αποτελείται από τυχαίους αριθμούς, σύμβολα και γράμματα για κάθε λογαριασμό; Σιγουρα οχι. Αυτό που κάνουμε είναι να κάνουμε συμβιβασμούς στις προφυλάξεις ασφαλείας κρατώντας ένα πρότυπο για όλους τους κωδικούς πρόσβασης με κάποιες γνωστές πληροφορίες ή συνεχίζουμε να ξεχνάμε τις τυχαίες επιλογές ισχυρών κωδικών πρόσβασης και στη συνέχεια να τις ανακάμψουμε συνεχώς.

Τώρα, ο έμμεσος τρόπος για να διατηρηθεί η ταυτότητα ενός ατόμου ασφαλής αποτελεί την λύση τόσο για την ικανοποίηση των χρηστών όσο και για την ασφάλεια, αφού δεν χρειάζεται να κάνουμε καμία επιλογή για να διατηρήσουμε το σύστημά μας ασφαλές και να το θυμηθούμε. Οι χάκερ έχουν επίσης πρόβλημα να μάθουν πώς να καθορίζουν πού εφαρμόζεται το σύστημα ασφαλείας. Ως εκ τούτου, οι προηγούμενοι τρόποι τους να αποκτήσουν πρόσβαση σε άλλους λογαριασμούς δεν λειτουργούν πλέον πια.

Ποιο είναι το μέλλον;

Σύμφωνα με τους Grissen και Hung, τα βιομετρικά συστήματα δεν θα παραμείνουν στο προαιρετικό στάδιο, αλλά θα βασιστούν σε όλο το δίκτυο συστημάτων ασφαλείας στα θέματα της "ασφάλειας έναντι ευκολίας" στο εγγύς μέλλον.

Η τεχνολογία αυξάνεται με μεγαλύτερη ακρίβεια και καθίσταται ευκολότερη η εγκατάσταση σε οικιακές εφαρμογές ιστού και κινητής τηλεφωνίας. Οι νέοι αλγόριθμοι βρίσκονται σε εφαρμογή για την εφαρμογή πρόσθετης τηλεμετρίας για την αύξηση των προφίλ συμπεριφοράς, όπως ο προσανατολισμός της συσκευής σε ένα ευρύ φάσμα συσκευών.

Η ενοποίηση μεταξύ των τμημάτων της αγοράς SIEM (πληροφορίες ασφάλειας και διαχείρισης συμβάντων) και της αγοράς UEBA (αναλυτική συμπεριφορά χρηστών και φορέων) είναι το μέλλον για την ανάπτυξη σε κάθε πτυχή των επιχειρήσεων, όπως βλέπουμε στην περίπτωση των πωλητών SIEM, Caspida. Σχεδιάζουν περαιτέρω οδούς για να παρέχουν μια πιο αποτελεσματική εμπειρία στους πελάτες τους στις υλοποιήσεις του SIEM, προσθέτοντας το μακρύ ιστορικό των υφιστάμενων δεδομένων με αυτό. Οι διαφορετικές μορφές ανάλυσης συμπεριφοράς αποδεικνύονται υποχρεωτικές προσθήκες για τον μετριασμό του προβλήματος της ασφάλειας και για να κερδηθεί ο μακροχρόνιος ψυχρός πόλεμος κατά των απατεώνων.

συμπέρασμα

Τελικά, μπορούμε να πούμε ότι το μέλλον φέρνει πολλούς δύσκολους χρόνους για τους απατεώνες, δεδομένου ότι πρόκειται να χτυπηθούν από τη συνδυασμένη επίθεση της επαλήθευσης της γνώσης και της συμπεριφορικής ανάλυσης στις διαδικασίες ασφαλείας. Το 2016, η Υφυπουργός Οικονομικών Sarah Bloom Raskin δήλωσε: «Ο σχεδιασμός του συστήματος εξελίσσεται για να αντιμετωπίσει την πρόκληση ταυτότητας που παρουσιάστηκε από κλεμμένους ή εύκολα compromised κωδικούς πρόσβασης: η επόμενη γενιά επαλήθευσης ταυτότητας σε απευθείας σύνδεση φαίνεται να συνδυάζει τι γνωρίζουν και έχουν οι πελάτες με αυτό που κάνουν , ή βιομετρίας συμπεριφοράς. "