lundi, 22 avril 2024

Cisco se tourne vers l’authentification basée sur les risques pour rendre pratiques MFA et Zero Trust

L’authentification multifacteur (MFA) peut être nécessaire pour effectuer une confiance zéro afin de bloquer les utilisateurs non autorisés d’informations sensibles, mais elle est également exceptionnellement gênante. Très souvent, les forces MFA comptaient sur les employés pour sauter à travers des cerceaux avec des mots de passe et des codes d’accès à usage unique avant de pouvoir se connecter aux applications dont ils avaient besoin.

De toutes nouvelles méthodes d’authentification basées sur les risques telles que celles lancées aujourd’hui par Cisco Duo visent à pallier les inconvénients de l’authentification multifacteur en fournissant une procédure de connexion personnalisée à chaque utilisateur privé.

Cisco Duo peut ajuster les exigences d’authentification des utilisateurs en temps réel en fonction de la menace contextuelle. L’option utilise un moteur d’analyse des menaces basé sur l’apprentissage automatique (ML) pour évaluer dynamiquement les risques en fonction des « signaux » de l’utilisateur tels que l’emplacement, le comportement, la posture de sécurité de l’appareil, le réseau Wi-Fi et l’utilisation de modèles d’attaque reconnus.

Le concept est de permettre aux utilisateurs à faible danger de se connecter avec un processus d’authentification simple qui peut répondre aux exigences d’un environnement absolument sans confiance, tout en offrant aux utilisateurs à haut risque des actions supplémentaires sous la forme de codes d’accès à usage unique ou des données de connexion biométriques pour réduire les risques de violation.

Rendre absolument aucune confiance pratique avec l’authentification adaptative

La déclaration intervient alors que les contraintes de MFA finissent par être très claires. Par exemple, en 2015, le rapport Cyber ​​Signals de Microsoft a révélé que seulement 22 % des identités Azure Active Directory utilisent MFA, plutôt que de choisir uniquement pour valider avec un nom d’utilisateur et un mot de passe.

L’une des raisons pour lesquelles l’adoption de la MFA par les utilisateurs est faible est qu’elle utilise une mauvaise expérience utilisateur. Si une organisation bombarde les utilisateurs avec de nombreuses étapes à suivre pour chaque gadget et application, cela peut rapidement devenir écrasant, en particulier au quotidien.

L’authentification basée sur les risques vise à traiter ce problème en gardant le processus de journalisation aussi léger que possible, à moins qu’il y ait des éléments contextuels qui justifient un processus de connexion plus substantiel. En termes simples, il offre un moyen plus utile d’exécuter une confiance zéro que la MFA traditionnelle.

« Les trois principaux principes de non-confiance sont : ne jamais supposer la confiance, toujours confirmer et imposer le moindre privilège », a déclaré Jackie Castelli, directrice du marketing produit pour Cisco Secure. « L’authentification basée sur les risques (RBA) permet une exécution conviviale des concepts de « ne jamais assumer la confiance » et de « toujours valider ». »

Cisco Duo va maintenant évaluer le danger et ajuster les exigences d’authentification en fonction sur le niveau de risque, plutôt que de demander aux utilisateurs de se réauthentifier chaque fois qu’ils demandent à accéder à une ressource, a déclaré Castelli. De même, il peut également demander des secrets de sécurité FIDO2 résistants au phishing ou une connexion biométrique si la connexion est à haut risque.

« Pour le dire simplement, RBA satisfait l’approche de confiance zéro de la vérification de confiance constante en évaluant le niveau de risque pour chaque accès à l’effort de manière fluide pour les utilisateurs », a déclaré Castelli. « Des niveaux d’authentification plus élevés ne sont demandés que lorsqu’il y a une augmentation de la menace évaluée. basé sur le marché de l’authentification, que les scientifiques évaluaient à 3,23 milliards de dollars en 2020 et prévoient d’atteindre 9,41 milliards de dollars d’ici 2026, alors que de plus en plus d’entreprises cherchent à rendre l’authentification MFA facile à utiliser et à exécuter une confiance zéro.

Okta est l’un des principaux fournisseurs qui explorent l’authentification basée sur les risques (également connue sous le nom d’authentification adaptative).

Okta utilise une MFA adaptative qui attribue un score de risque aux efforts de connexion en fonction d’indices contextuels tels que la zone, le gadget et l’adresse IP pour décider d’ajouter des étapes d’authentification supplémentaires telles que la connexion biométrique et les empreintes digitales ou des codes d’accès à usage unique.

Okta a révélé un bénéfice de 481 millions de dollars au troisième trimestre de l’exercice 2023.

Une autre société qui expérimente l’authentification adaptative est Microsoft, qui vient de lever 52,7 milliards de dollars de bénéfices et fournit des contrôles d’accès conditionnels basé sur l’utilisateur, le gadget, l’emplacement et les données de menace en temps réel basées sur les habitudes de l’utilisateur. Les connexions à haut risque peuvent déclencher des étapes MFA supplémentaires, des contraintes d’accès ou des réinitialisations de mot de passe pour imposer une confiance zéro.

Cependant, Castelli affirme que l’authentification basée sur les risques de Cisco est distincte de celle des autres fournisseurs en raison de l’accent mis sur la confidentialité personnelle des utilisateurs et son utilisation particulière des signaux de comportement.

« il respecte la vie privée des utilisateurs », a déclaré Castelli. « Les signaux utilisés pour évaluer le danger ne collectent ni ne stockent d’informations personnelles. Il évalue avec précision une gamme large et ingénieuse de signaux. Certains de ces signaux tels que les empreintes digitales WI-FI sont en instance de brevet. Certains autres signaux tels que les modèles d’attaque proviennent de Cisco. L’expérience et l’expertise de Talos en matière de renseignements sur les dangers. »

L’objectif de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir une compréhension de la technologie d’entreprise transformatrice et de négocier. Découvrez nos Rundowns.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici