จุดสิ้นสุด – สมาร์ทโฟน แท็บเล็ต โน้ตบุ๊กพีซี แม้กระทั่งเดสก์ท็อปพีซี – สร้างจุดเข้าใช้งานของพนักงานไปยังเครือข่าย แอปพลิเคชัน และข้อมูล การเพิ่มขึ้นของการทำงานจากระยะไกลและการทำงานทางไกลทำให้จุดสิ้นสุดมีความน่าสนใจเป็นพิเศษสำหรับแฮ็กเกอร์ไซเบอร์ โดยเฉพาะอย่างยิ่งการใช้การโจมตีด้วยแรนซัมแวร์ที่ส่งผ่านแคมเปญฟิชชิ่ง
ตามที่ Bryan Murphy ผู้อำนวยการอาวุโสฝ่ายบริการให้คำปรึกษา
ของ CyberArk ระบุว่า สถานการณ์ดังกล่าวเรียกร้องให้มีระบบการตรวจสอบและรับรอง ID ของผู้ใช้อย่างต่อเนื่องตลอดเซสชัน ขณะที่ผู้ใช้นำทางข้ามเครือข่าย สิ่งนี้จะต้องเกิดขึ้นในบริบทของการไม่ไว้วางใจเป็นศูนย์ “หมายความว่าเราจะตรวจสอบทุกสิ่งที่คุณทำในขณะที่คุณทำ แทนที่จะให้คุณเข้าถึงระบบทั้งหมดเพียงเพราะคุณเป็นพนักงานหรือผู้รับเหมา ภายในองค์กร”
Murphy กล่าวว่าการทำให้สถาปัตยกรรมแบบ Zero trust ต้องใช้การพิสูจน์ตัวตนแบบหลายปัจจัย (mfa) แนวคิดนี้แสดงออกมาอย่างชัดเจนในคำสั่งผู้บริหารทำเนียบขาวล่าสุดเกี่ยวกับความปลอดภัยทางไซเบอร์ ดังนั้นในแง่หนึ่งมันเป็นนโยบาย
แต่ในการเสริมสร้างแนวทางการจัดการตัวตนทางไซเบอร์และสิทธิพิเศษของเครือข่าย เอเจนซี่มีความเสี่ยงที่จะทำลายประสบการณ์ของผู้ใช้ การให้ผู้ใช้ป้อนข้อมูลรับรองซ้ำอย่างต่อเนื่องอาจเป็นกระบวนทัศน์ของวันนี้ เมอร์ฟีกล่าว แต่ก็ไม่จำเป็นต้องเป็นเช่นนั้น ด้วยแพลตฟอร์มของ CyberArk ผู้ใช้สามารถเข้าสู่ระบบด้วยรหัสผ่านและปัจจัยการตรวจสอบสิทธิ์ที่สอง จากนั้นมีเวลาหลายนาทีในการเปิดแอปพลิเคชันที่ได้รับการอนุมัติ
“ดังนั้นเราจึงสามารถเริ่มระงับการแจ้งเตือนบางอย่างได้”
เมอร์ฟีกล่าว “แต่ในขณะเดียวกัน เรายังสามารถมีได้ในกรณีที่มีแอปพลิเคชันเฉพาะหรือการกำหนดค่าบางอย่างที่คุณต้องการให้ [การตรวจสอบสิทธิ์แบบหลายปัจจัย] ทุกครั้ง เราจะเพิ่มการอนุมัติเพิ่มเติมนี้ เราสามารถกำหนดค่าระบบให้ทำได้เช่นกัน” ความท้าทายอาจเกี่ยวข้องกับเวลาหรือเกี่ยวข้องกับภูมิศาสตร์ ดังนั้นจึงยกเว้นการปลอมแปลงตัวตน
“นี่คือจุดที่มันไม่ได้มีขนาดเดียวที่เหมาะกับทุกคน” เมอร์ฟีกล่าว “เราทำงานจริง ๆ ในพื้นที่ของการรักษาความปลอดภัยให้สูง ในขณะเดียวกันก็รักษาประสบการณ์ของผู้ใช้ให้สูง ซึ่งเป็นสิ่งที่ท้าทายมากที่จะทำ”
เขาเตือนไม่ให้ใช้รหัสที่ส่งมาทางโทรศัพท์มือถือหรือทางอีเมล ซึ่งทั้งสองอย่างนี้สามารถถูกดักฟังได้
“เราสามารถทำได้หลายวิธี เราสามารถทำได้ผ่านไบโอเมตริกหรือเราสามารถทำได้ผ่านการแจ้งเตือนแบบพุช เมื่อเทียบกับข้อความที่สามารถปลอมแปลงหรือจำลองได้ หรืออีเมลที่อาจถูกขโมยได้ ดังนั้นนี่คือจุดที่มีองค์ประกอบที่แตกต่างกัน หรือชั้นความปลอดภัยที่แตกต่างกัน ในวิธีที่เราทำ MFA กับผู้ใช้เหล่านี้” เมอร์ฟีกล่าว
โซลูชันด้านเทคนิคโดยละเอียดสำหรับการยืนยันตัวตนแบบหลายปัจจัยต้องดำเนินการภายในเฟรมเวิร์กที่มีโซลูชันการกำกับดูแลตัวตน
“เราจำเป็นต้องมีแผนที่ซึ่งมีวิธีที่ดีกว่าในการเชื่อมโยงทั้งหมดนี้เข้าด้วยกัน เพื่อทราบว่าเมื่อใดที่เราจะดำเนินการกับคำสั่งบางอย่างที่รันอยู่ งานที่ทำเสร็จแล้ว ระบบที่เราจะเข้าถึง และจากผู้ใช้รายใด” เมอร์ฟีกล่าว
ตัวอย่างเช่น ถ้าข้อมูลประจำตัวที่รู้จักเข้ามาทางพอร์ทัลภายนอก นั่นอาจเรียกใช้รูทีนการตอบสนองต่อความท้าทายที่ต่างไปจากกรณีที่ข้อมูลประจำตัวเดียวกันเข้าสู่ระบบจากเครือข่ายองค์กร ความผิดปกติทางพฤติกรรม เช่น คนที่ทำงานตามปกติโดยเข้าระบบตอนตี 2 เป็นต้น ยังสามารถกระตุ้นการตอบสนองบางอย่างได้
“โซลูชันการกำกับดูแลข้อมูลประจำตัวควรทำงานเพื่อระบุสิทธิ์ของบัญชีทั้งหมดที่คุณมีภายในหน่วยงานของคุณ” เมอร์ฟีกล่าว “เราควรรู้ว่าอะไรควรเข้าถึงอะไรไม่ควร เมื่อผู้คนย้ายไปมาและเปลี่ยนบทบาทและความรับผิดชอบ ตัวตนควรแปรเปลี่ยนไปตามนั้น”
เขากล่าวเสริมว่า “สิ่งที่ทำคือช่วยให้คุณรู้ว่ามีการสร้างบัญชีเพิ่มเติมเป็นบัญชีปลอมหรือเป็นแบบสุ่ม โปรดทราบว่านี่อาจเป็นสิ่งที่เราต้องตรวจสอบเพิ่มเติม เนื่องจากไม่เป็นไปตามกระบวนการกำกับดูแลของเรา”
กรอบความปลอดภัยยังครอบคลุมแนวคิดของการไม่ปฏิเสธอีกด้วย เมอร์ฟีกล่าว หมายความว่า “อะไรก็ตามที่ทำกับบัญชีหรือในระบบ เราสามารถผูกกลับกับผู้ใช้ได้ และผู้ใช้ไม่มีทางพูดว่านั่นไม่ใช่ฉัน” การไม่ปฏิเสธจะเปิดใช้งานด้วยการลงทะเบียน ID ที่รัดกุมและการรับรองความถูกต้องที่รัดกุม
โซลูชันข้อมูลประจำตัวและการรับรองความถูกต้องที่โฮสต์บนคลาวด์สามารถเพิ่มความปลอดภัยได้ Murphy กล่าว
