כיצד ביומטריה פסיבית יכולה לעזור באבטחת מידע IT

מְחַבֵּר: Roger Morrison
תאריך הבריאה: 23 סֶפּטֶמבֶּר 2021
תאריך עדכון: 1 יולי 2024
Anonim
איך נגן על הילדים מהסכנות ברשת? שידור מיוחד להורים
וִידֵאוֹ: איך נגן על הילדים מהסכנות ברשת? שידור מיוחד להורים

תוֹכֶן


מקור: Dwnld777 / Dreamstime

להסיר:

ביומטריה פסיבית סוללת את הדרך לביטחון חסר סיסמה שיכול לסכל האקרים.

בתקופה שבה אמצעי אבטחת מידע קונבנציונליים מוגבלים על ידי מגבלות כמו יותר מדי תלות בשיקול דעת המשתמשים וקבלת המשתמשים, ביומטריה פאסיבית עשויה להציע איזון בין אבטחה וקבלת משתמשים. מנגנוני אבטחה קונבנציונליים כמו סיסמאות וקודי SMS הם חזקים רק כפי שהמשתמש עושה אותם. נמצא שמשתמשים רבים נוטים להגדיר סיסמאות חלשות מכיוון שקל לזכור אותן. זה מביס את המטרה העיקרית של מנגנונים מבוססי סיסמה או קוד אבטחה. ביומטריה פאסיבית אינה מחייבת את המשתמש לספק באופן פעיל תעודות, תוך איסוף פסיבי של נתוני משתמשים בצורות כמו טכניקות זיהוי פנים, קוליות ואירוסים. למרות שביומטריה פאסיבית כמנגנון אבטחת IT עדיין מוצאת את הגומחה שלה, ניתן לומר בביטחון שהיא מציעה איזון יפה בין נוחות המשתמש ואבטחת מידע.

מהי ביומטריה פסיבית?

כדי להגדיר ביומטריה, מנהלת השיווק של חברת הביומטריה EyeVerify, טינה הונג מסבירה, "ביומטריה מסתמכים על משהו שאתה ולא על משהו שאתה מכיר."


במקרה של ביומטריה פסיבית, אין צורך לקחת חלק פעיל בתהליך האימות או הזיהוי, ולעיתים התהליך כלל אינו מצריך התראה על המשתמש; האימות פשוט מתרחש במהלך פעילויות משתמש רגילות. במקרים אלה הנושא אינו נדרש לפעול באופן ישיר או פיזי. כאשר המערכת פועלת וללא ידיעת המשתמש, היא מספקת את האימות הגבוה ביותר.

המערכת האוטומטית הטכנולוגית מודדת בעצם את המאפיינים ההתנהגותיים או הפיזיולוגיים של אדם, עם או בלי ידיעת המשתמשים. כדי לקבל מושג טוב יותר מה כרוך ביומטריה פסיבית, אנו יכולים להסתכל על כמה דוגמאות השוואיות של מערכת זו בניגוד למערכות ביומטריות אקטיביות. לדוגמה, כל טכנולוגיית גיאומטריה של אצבעות או ידיים תיחשב לביומטריה פעילה, כמו גם זיהוי חתימות וסריקת רשתית. הסיבה לכך היא שעל המשתמש לשים את ידו או להסתכל במכשיר סריקה לצורך זיהוי. עם זאת, ביומטריה פסיבית כוללת מערכות זיהוי קולי, פנים או איריס. (למידע נוסף על ביומטריה, ראה התקדמות חדשה בביומטריה: סיסמא מאובטחת יותר.)

איך ביומטריה פסיבית עובדת

הסבר מצוין לאופן שבו העבודה הביומטרית הפסיבית ניתנת על ידי ריאן ווילק, מנהל הצלחת הלקוחות של NuData. במילותיו, "אנו בוחנים כיצד המשתמש פועל באופן אינטראקטיבי: כיצד הוא מקליד, כיצד הוא מעביר את העכבר או הטלפון שלו, לאן הוא משתמש בטלפון שלו, את קריאות מד ההאצה שלהם. ... כנתונים בודדים מצביעים לעצמם הם לא מועילים במיוחד, אבל כשאתה מתחיל להפגיש אותם ולמזג אותם לפרופיל של מי אותו משתמש, אתה מתחיל לבנות משהו שהוא באמת עמוק ומיוחד באמת, ומשהו שהוא קשה מאוד לזייף. "


ביומטריה פאסיבית מספקת לארגונים את ההזדמנות לאמת את זהות הלקוחות שלהם בהתאם להתנהגויותיהם הטבעיות באינטראקציות טכנולוגיות. התהליך הרציף של פיתרון לא פולשני זה נותר גלוי למשתמשים, מכיוון שהוא אינו דורש הרשמה או אישור לעבוד ברקע; זה לא מבקש מהלקוחות לבצע פעולות נוספות במהלך הפעילות הרגילה שלהם. ניתוח בזמן אמת של נתונים התנהגותיים מספק הערכות מדויקות לחברות על הפרדת פולשים מהלקוחות האותנטיים. מכיוון שמידע אישי המאפשר זיהוי אישי (PII) לא נרשם, האקרים לעולם אינם מקבלים יד על נתונים חסויים כדי להפריע לזיהוי המשתמש. ביומטריה פאסיבית היא התקדמות מהפכנית במסע אימות הזהות, שיש לו את היכולת למחוק כל סיכוי להונאה מליבת מסגרת האימות של הארגון ויכולה להוסיף רמה חדשה של אמון בכל מחזור החיים של החשבון.

למה זה חשוב?

הטכנולוגיה תמיד מולידה מערכות חדשות ומחסומי אבטחה להגנה על הרשת כולה מפני פעילויות זדוניות. אבל, האם זה יכול למנוע מהאקרים ומרמים מבריקים למצוא פרצות במערכת לנצח? לא. עם זאת, כאשר אין להם שום ידע על תהליך מתמשך, איך הם יוכלו לעבור את מבחן האימות? אם הם לא יודעים על מערכת רקע, הם לא ינקטו אמצעי זהירות מלכתחילה. זה המקום בו ביומטריה פסיבית נבדלת מתודולוגיות אימות אחרות. וכך גם החשיבות טמונה כאן. שום הונאה לא יכולה להתרחש כאשר הסיבה לשימוש בהונאה נעקרת בתחילת הדרך.

כיצד ביומטריה פסיבית עוזרת לאבטחת מידע

הדרישה למערכות אבטחה מתוחכמות ומשביעות רצון עולה באוויר מזה זמן רב. הדרישה מכריחה כעת רשתות אבטחה לביומטריה ובעיקר לטכנולוגיה הפסיבית, בה המשתמשים לא צריכים לקבל מידע על תהליך הזיהוי, בהתאם למאפייני ההתנהגות. (למידע נוסף על הנתונים המשמשים בביומטריה פסיבית, ראה כיצד Big Data יכול לאבטח אימות משתמשים.)

אין באגים, אין מתח - המדריך השלב אחר צעד שלך ליצירת תוכנה לשינוי חיים מבלי להרוס את חייך

אתה לא יכול לשפר את כישורי התכנות שלך כאשר לאף אחד לא אכפת מאיכות התוכנה.

האנג הסביר, "פיתרון ביומטרי מיושם היטב ישתלב באופן טבעי בזרימה הרגילה של התנהגות המשתמשים." ביומטריה פאסיבית מביאה את היתרון העיקרי ביצירת פרופיל של אופן השימוש באדם במכונה, ולא רק בפרופיל של המכונה עצמה. . כפי שמסביר וילק, הגישה הפסיבית פותחת את הספר להבנת המשתמש ב"כמעט ברמה התת מודעת. "

גישה פסיבית נוספת, שנוצרה על ידי חברת BioCatch, פועלת על ידי הקלטה וניתוח של פעילויות המשתמשים שהם אפילו לא מבינים שהם עושים. תכונות גופניות כמו מדידת אצבעות על גבי מסך מגע, היד הפעילה (שמאל או ימין) באמצעות העכבר, או תדר הרעידה של ידו של המשתמש המחזיק במכשיר מספקים שילוב מדויק של נתונים לזיהוי חריף של לקוח ייחודי. בנוסף, תכונות קוגניטיביות כמו שיטת התנהגות הגלילה של מישהו (מקשי חצים, גלגל העכבר, עמוד למעלה ולמטה וכו ') או טכניקת החזקת המכשיר (אופקי או אנכי, זווית ההטיה של המכשיר וכו') גם כן. לעזור לחיזוק האימות של המערכת.

לדברי אורן קדם, סמנכ"ל ניהול מוצר ב- BioCatch, הם משתמשים גם ב"אתגרים בלתי נראים "עבור המשתמשים, שם הפעולה מראה שינוי ברור בקושי בהתנהגותו הרגילה של המשתמש. לדוגמה, היישום עשוי לשנות מספר פיקסלים של הסמן לכיוון אחר, או לשנות מעט את מהירות גלילת העמוד כדי לבדוק את התגובה הייחודית של המשתמשים. התגובות שלהם לאירועים אלה הן ייחודיות להפליא, דבר שאי אפשר לשכפל.

כמו שאומר קדם, "אנחנו לא רק עוקבים אחר מה שאתה עושה, אנחנו משפיעים גם על מה שאתה עושה. ... אנו שואלים אותך שאלה מבלי ששואלים אותך ואתה נותן לנו תשובה שאתה יודע. זה סוד שלא ניתן לגנוב כמו סיסמא או אסימון. "

המערכת מתוכנתת בצורה כזו לאיתור ומניעה אוטומטית של בוטני keylogging בבוטני שמקליטים ומנגנים מחדש את תנועות היעד. הסיבה לכך היא שהחיקוי של תגובת משתמש הוא כמעט בלתי אפשרי במקרה של אתגרים בלתי נראים, אשר כל הזמן משתנים בתוך האפליקציה.

מה ההשפעה שלה על סוגיות ביטחוניות בעולם האמיתי?

שירותי פיננסים ובנקאות בכל רחבי העולם החלו להסתמך על מערכת חדשה זו. ספקי אבטחה ביומטריים כמו EyeVerify ודאון משתפים פעולה עם הארגונים הפיננסיים. EyeVerify עובד עם Digital Insight לאימות מערכות אבטחה ביומטריות במתקני בנקאות ניידים, והם עומדים להשיק את ה- Eye ID שלהם כאפליקציה סלולרית.

בשנת 2014, הטכנולוגיה הביומטרית שהוטמעה על ידי דאון הבטיחה 10.7 מיליון משתמשים בבנק החיסכון הפדרלי של USAA בתהליך של חווית בנקאות סלולרית חלקה. במקרה זה, יועץ האבטחה הראשי של ארה"ב, ריצ'רד דייבי, העיר כי "החששות הנובעים מהאיום המתמיד של התחזות, תוכנות זדוניות וחשיפת מידע מהפרות מבחוץ פירושו שתמיד יהיה איום ובקרת גישה. טכנולוגיות כמו ביומטריה מקלות על האיומים הללו תוך הקלת חוויות יפות של משתמשי קצה. "

אימות זהות ביומטרי קולי פסיבי מתעד הרשמה של משתמש על ידי הגשת קול ייחודי באמצעות שיחה במהלך ההרשמה הראשונית. שיחה ראשונית זו דורשת המשך למשך 45 שניות כדי לרתום את הנתונים המזהים. ואז הקול המוקלט מזהה את המשתמש על ידי השוואה בין הקול הבא המתקבל בשיחה הבאה שהם מבצעים למרכז הקשר.

בנק זה יישם את טכנולוגיית האבטחה החדשה עבור עובדיהם, ואחרי כן, בשוק שלהם בסן אנטוניו, טקסס, אחריו קליפורניה ובסופו של דבר הם השיקו אותה בקנה מידה מלא בינואר 2015. התגובה שהתקבלה הייתה יוצאת מן הכלל. שלושה שבועות לאחר היישום, כמאה אלף לקוחות נרשמו לאימות ביומטרי, ותוך עשרה חודשים עלה מספר הלקוחות המגיבים ליותר ממיליון.

האם שיטות מסורתיות מועילות יותר?

ניתוח של 90 יום סקר שנערך על ידי Nudata Security בשנת 2015 חשף צמיחה של 112% בהתקפות רשת כדי להשיג סיסמאות ושמות משתמש, משנת 2014. מה הסיבה שמאחורי ההאקרים משיגים קידום במערכות אבטחה מסורתיות? בואו נחשוב על זה קצת יותר לעומק.

מה שכולנו עושים זה להתפשר על חוזק הסיסמאות שלנו בכדי לזכור אותן בקלות. כן, כאן טמון האשם. הייתה תקופה בה אדם אחד ניהל רק שניים או שלושה חשבונות ברשת, ולא היה קשה מדי לזכור סיסמאות קריטיות למספר קטן של מקרים. לכן התהליך היה רלוונטי כדי להגן על זהותו של האדם באותה תקופה.

אולם כעת, התמונה השתנתה באופן משמעותי. כולנו מחזיקים בהרבה חשבונות, כל כך הרבה שלפעמים אנחנו אפילו לא יכולים לעקוב אחר כולם. האם האם ניתן לזכור סיסמה המורכבת ממספרים אקראיים, סמלים ואותיות עבור כל חשבון וחשבון? בהחלט לא. אז מה שאנחנו עושים זה להתפשר על אמצעי הזהירות הביטחוניים על ידי שמירה על דפוס של כל הסיסמאות שלנו עם מידע ידוע כלשהו, ​​או שנשכח את הבחירות האקראיות של סיסמאות חזקות ואז עלינו לשחזר אותן כל הזמן.

כעת, הדרך העקיפה לשמור על זהותו של האדם היא לספק את הפיתרון הן לשביעות רצון המשתמש והן לאבטחתו, מכיוון שאיננו צריכים לעשות שום ברירה כדי לשמור על בטיחות המערכת ולזכור אותה. האקרים מתקשים גם ללמוד לקבוע היכן מיושמת מערכת האבטחה. לכן הדרכים הקודמות שלהם להשיג גישה לחשבונות אחרים אינן עובדות טוב יותר.

מה העתיד?

לדברי גריסן והאנג, מערכות ביומטריות לא יישארו בשלב האופציונאלי, אלא ישלטו על כל מערכות מערכות האבטחה בנושאים של "אבטחה מול נוחות", בעתיד הקרוב.

הטכנולוגיה הולכת וגוברת מדויקת והופכת להיות קלה יותר להתקנה ביישומי אינטרנט וניידים מגוונים. אלגוריתמים חדשים פועלים ליישום טלמטריה נוספת להגדלת פרופילי ההתנהגות כמו כיוון התקנים על מגוון רחב של מכשירים.

איחוד בין SIEM (מידע אבטחה וניהול אירועים) לבין תחומי השוק UEBA (ניתוח התנהגות משתמשים ויישויות) הוא העתיד לצמיחה בכל היבט של עסקים, כפי שאנו יכולים לראות במקרה של ספקי SIEM, רכישת Splunk של כספידה. הם מתכננים אפיקים נוספים שיספקו חוויה יעילה יותר ללקוחותיהם ביישומי ה- SIEM שלהם, ויוסיפו את ההיסטוריה הארוכה של הנתונים הקיימים. הצורות השונות של ניתוח התנהגות מוכיחות כתוספת חובה להפחתת בעיית האבטחה ולניצחון במלחמה הקרה ארוכת הטווח נגד הרמאים.

סיכום

בסופו של דבר אנו יכולים לומר כי העתיד מביא הרבה זמנים קשים עבור רמאים, מכיוון שהם עתידים להפיל את ההתקפה המשולבת של אימות ידע וניתוח התנהגות בהליכי אבטחה. בשנת 2016 הצהירה סגנית מזכירת האוצר, שרה בלום רסקין, "עיצוב מערכות מתפתח כדי להתמודד עם אתגר האימות שמציגות סיסמאות גנובות או נפגעות בקלות. הדור הבא של אימות זהות מקוון נראה לשלב את מה שלקוחות יודעים ויש להם, עם מה שהם עושים , או ביומטריה התנהגותית. "