یکی از فناوریهای بسیار کاربردی که نقش مهمی در حفاظت از داراییهای سازمانی بهویژه پس از شیوع ویروس کرونا، افزایش دورکاری و تشدید حملات فیشینگ دارد، احراز هویت مبتنی بر ریسک یا RBA (به انگلیسی:Risk-Based Authentication) یا احراز هویت تطبیقپذیر است.
احراز هویت مبتنی بر ریسک چیست؟
RBA سیگنالهایی را که به صورت تقریباً لحظهای با حرکت کاربر در مراحل ورود به حساب کاربری یا در هنگام سایر فعالیتهای آنلاین مثل خرید مشاهده میشوند به صورت پیوسته بررسی میکند. RBA ابتدا یک پروفایل ریسک از شخص یا دستگاهی که درخواست دسترسی به سیستم را صادر کرده، ایجاد میکند. این پروفایل بر اساس فاکتورها یا سیگنالهایی مثل آیپی، رفتار کاربر، الگوی استفاده از کلیدهای صفحه کلید و نوع اتصال و سایر ویژگیهایی که ممکن است بر اساس شرایط مختلف عوامل تهدید تغییر کنند ساخته میشود. رسیدگی به این امر مستلزم مدیریت پیوسته پروفایلهای ریسک است.
بازار متغیر احراز هویت مبتنی بر ریسک
پس از اکتساب شرکت 41st Parameter توسط Experian در سال 2013 میلادی، ادغامها و اکتسابهای شرکتی بسیار زیادی رخ دادند. RBA همچنین به دو بخش پیشگیری از جعل/اجرای تراکنش و راهکارهای احراز هویت سازمانی تقسیم شده است. بازار جانبی دیگری تحت عنوان راهکارهای بدون کلمه عبور هم در این زمینه وجود دارد. البته این بخش جزو انواع احراز هویت کاملاً تطبیقپذیر نیست اما ترکیب یکسری از عوامل احراز هویت به پذیرش گستردهتر فناوریهای RBA کمک زیادی میکند.
لازم به ذکر است که بعضی از این اکتسابها شامل شرکتهای بسیار معتبر هستند. بنابراین فناوری کمتر شناخته شده RBA با سرعت چشمگیری به یک حوزه بسیار کاربردی تبدیل شده است.
گرایشات جدیدی که منجر به افزایش پذیرش RBA شدهاند
فراگیری راهکارهای احراز هویت چند مرحلهای
به تازگی شرکت گوگل احراز هویت چند مرحلهای را برای حسابهای کاربرانش فعال کرده است. با توجه به تشدید ناگهانی حملات فیشینگ و تصاحب حسابهای کاربری، استفاده از این راهکارها هم به صورت چشمگیری افزایش یافته است. این مسئله نیز منجر به روند صعودی میزان پذیرش راهکارهای RBA شده است چون استفاده از چنین راهکارهایی در گرو راهکارهای احراز هویت چند مرحلهای است. همچنین شاهد افزایش چشمگیر میزان پذیرش فناوریهای استانداردهای OpenID Connect و FIDOv2 هستیم. این فناوریها مسیری طولانی را پیموده و در حال حاضر در همه سیستمعاملهای مهم و برجسته جهان (ویندوز، MacOS، لینوکس، اندروید و iOS) به خوبی پیادهسازی و تعبیه شدهاند.
نگرانیهای موجود در زمینه استفاده از دادههای بیومتریک
پس از تصویب مقررات عمومی حفاظت از دادههای اتحادیه اروپا و سایر قوانین امنیتی مشابه در سطح جهان، حساسیت درباره نحوه استفاده از دادههای بیومتریک، محل ذخیره آنها و چگونگی نقل و انتقالشان در زیرساختهای احراز هویت بیشتر شده است. نمونه برجستهای از اقدامات ممنوعه در این زمینه واکنشهایی هستند که بهتازگی در قبال استفاده از نرمافزار تشخیص چهره توسط سازمان خدمات درآمدهای داخلی آمریکا شاهد آنها بودیم. وجود RBA به کنترل هر چه بیشتر کاربران بر شیوه استفاده از این عوامل بیومتریک توسط دستگاههای امنیتی کمک میکند.
پیشرفت تهدیدات سایبری
RBA همچنان نقش مهمی برای مبارزه با تهدیدات پیشرفته جدید از جمله سوءاستفاده روزافزون از تراکنشهای پرداخت اقساطی، خواهد داشت.
افزایش میزان استفاده از استاندارد EMV 3-D Secure
شرکتهای ارایهدهنده راهکارهای اجرای تراکنش همچنان به توسعه استاندارد EMV 3-D Secure که از روشهای RBA برای مقابله با جعل تراکنشها استفاده میکند ادامه میدهند. تعدادی از فروشندگان راهکارهای RBA شروع به تعبیه این استاندارد در مجموعه ابزارهای خودشان کردهاند. در حال حاضر شرکتهای فروشنده راهکارهای پرداخت و اعتباری (مثل بخش امنیت NuData شرکت مسترکارت) به اطلاعات میلیاردها تراکنش دسترسی دارند. آنها میتوانند از چنین اطلاعاتی به عنوان اولین نشانههای جعل و تقلب استفاده کنند و در صورت مشاهده یکسری سیگنال خاص، چالشهای ویژهای را برای تأیید هویت کاربر فعال نمایند.
محصولات احراز هویت مبتنی بر ریسک
با فروشندگان راهکارها و محصولات زیر گفتگو کردیم:
- Appgate RBA
- Cisco/Duo Security
- Entersekt Authentication
- iProov
- Lexis/Nexis Risk Solutions
- Okta
- OneLogin by One Identity/Quest
- OneSpan Intelligent Adaptive Authentication
- Outseer Fraud Manager
- PingID, which offers a series of products
- Silverfort
- Thales Safenet Trusted Access
سایر فروشندگان راهکارهای این حوزه از جمله Iovation، Kount، Verity Access از IBM Security، Global Risk Management از HID، SecureAuth و Transmit Security به درخواستهای مکرر ما برای گفتگو پاسخ ندادند.
قیمت راهکارهای RBA
به طور کلی دو مدل قیمتگذاری برای راهکارهای RBA وجود دارد:
- یک طرح که برای حوزههای تشخیص جعل یا تراکنش مورد استفاده قرار میگیرد.
- بخش دیگر برای حوزهای به اسم نیروی انسانی (مثل راهکارهای احراز هویت سنتی که به ازای هر کاربر انجام میشدند).
Duo، Ping و Okta در این زمینه مستثنی هستند. Duo که دارای بهترین صفحه قیمتگذاری میباشد ردههای مختلف قیمتی و امکانات هر رده را به صورت شفاف و آموزشی توضیح داده است. Ping نیز به تازگی مدل قیمتگذاری خودش را عمومی کرده و Okta صفحات قیمتگذاری مخصوصی برای واحدهای تجاری Okta و Auth0 خود دارد. ارایهدهندگان راهکارهای این حوزه معمولاً یک دوره آزمایشی رایگان مثل Duo و Auth0 که دارای طرحهای رایگان ابدی هستند برای محصولات مهم خودشان دارند. البته این طرح شامل امکانات محدودی است که پشتیبانی از RBA جزو آنها نمیباشد.
Appgate RBA
در اکتبر 2021 میلادی شرکت Appgate خط تولید نرمافزارهای RBA را از شرکت Easy Solutions خریداری نموده و APIهایی کاملتر و قابلیتهای احراز هویت مبتنی بر خصوصیات بیومتریک پیشرفته که امکان تصمیمگیری فوری را فراهم میکنند به محصولات این شرکت اضافه نمود. این محصول در زمانهایی که نیاز به اعتبارسنجی ورود کاربر و سپس حذف دادهها وجود دارد، اطلاعات بیومتریک را به صورت موقتی بر روی یک سرور آپاچی ذخیره میکند.
Appgate راهکارهای RBA نیروی انسانی را جهت تکمیل محصول RBA مخصوص تراکنشهای شرکتی Easy Solutions اضافه کرده است. در حال حاضر اگرچه Appgate یکی از اعضای اتحادیه FIDO محسوب میشود ولی همچنان قابلیت پشتیبانی از محصولات آن را اضافه نکرده است. این شرکت دارای سیستم قیمتگذاری تراکنش مشخصی بوده و اعلام نموده که سازمانی با اندازه متوسط و حدود 6 میلیون بار لاگین در سال کارمزد ثابت 10 هزار دلار را به همراه اضافه بها جهت تراکنشهای بیشتر از آن پرداخت میکند. این شرکت راهکار احراز هویت ندارد اما از طریق اتصالات SAML و Radius از اکتیو دایرکتوری، گوگل، سیلزفورس، SugarCRM و غیره پشتیبانی مینماید.
Cisco/Duo Security
شرکت Duo پس از اینکه توسط شرکت سیسکو خریداری شد تلاشهای بسیار زیادی در راستای ارتقای محصولات احراز هویت خود نموده و در حال حاضر مجموعه کاملی از ابزارهای احراز هویت را در اختیار دارد. بعضی از این راهکارها در رده محصولات Access این شرکت موجود هستند اما برای دسترسی به مجموعه کامل ابزارهای Duo باید ابتدا طرح Beyond را فراهم کنید.
اگرچه مجموعه امکانات احراز هویت شرکت Duo مرحلهای و وسیع هستند اما مدیریت فرایندها و سیاستهای RBA چندان قوی نمیباشند. برای مثال میتوانید موقعیت مکانی کاربر، اثر انگشت سختافزاری دستگاه، عاملهای رفتاری، نرمافزارهای در حال اجرا و غیره را پیگیری کنید. در مجموع سرهم کردن بهترین ترکیب از این سیگنالهای مختلف به کمی تلاش نیاز دارد. همه دادههای بیومتریک رمزنگاری شده و در یک فضای امن بر روی نقاط پایانی ذخیره میشوند.
Duo از انواع راهکارهای تشخیص هویت از جمله اوکتا، گوگل و اکتیودایرکتوری و همچنین از دستگاهها و استانداردهای FIDOv2 پشتیبانی کرده و یکی از بازیگران مهم در عرصه کارگروه سیگنالهای مشترک OpenID محسوب میشود. همانگونه که پیش از این اشاره شد، مدل قیمتگذاری Duo شفاف و مفید است و بهتر است شرکتهایی که ساختار کارمزدشان را مخفی میکنند از چنین شرکتی الگو بگیرند. این شرکت ماهانه میلیاردها تراکنش را پردازش میکند.
احراز هویت Entersekt
Entersekt مستقر در کیپ تاون آفریقای جنوبی است و در دهه اخیر معمولاً مشغول ارایه راهکارهای امنیت تراکنش بوده است. این شرکت به تازگی وارد بازار احراز هویت کاربران شده است. Entersekt ابزار احراز هویت اختصاصی ندارد اما از طریق SAML و OAuth از سایر راهکارها پشتیبانی میکند. این ابزار هم از یک محیط حفاظت شده امن بر روی نقاط پایانی جهت ذخیره کلیدهای احراز هویت استفاده کرده و قابلیت تشخیص نرمافزارهای مخرب نصب شده بر روی گوشیهای هوشمند و قفل شکنی آنها را دارد.
Entersekt از سیگنالهای ریسک از جمله موقعیت مکانی، سختافزارهایی که از آنها انگشتنگاری شده و مجموعه دادههای تراکنشها که از شرکت NuData Security به دست آمدهاند جهت ایجاد یک پروفایل ریسک برای هر تراکنش استفاده میکند. این راهکار از استانداردها و دستگاههای FIDO هم پشتیبانی میکند. Entersekt هم مدل قیمتگذاری به ازای هر کاربر و هم به ازای هر تراکنش را دارد.
iProov
iProov یکی از شرکتهای قدیمی در حوزه امنیت سایبری است که کیتهای توسعه نرمافزار را برای توسعهدهندگان ارایه میدهد. شبکههای این شرکت روزانه صدها هزار تراکنش را مدیریت میکنند. iProov هیچ اطلاعات خصوصی را ذخیره نمیکند مگر دادههای مورد نیاز برای بررسی ورود اولیه کاربر به سیستم؛ این دادهها برای یک بازه زمانی کوتاه ذخیره میشوند. مشتریان این شرکت میتوانند بازه زمانی 12 ساعته تا یک ماهه را جهت ذخیره این دادهها انتخاب کنند.
iProov از راهکارهای احراز هویت مثل ID.me، Ping Identity و Jumio.com پشتیبانی میکند. این شرکت از مدلهای قیمتگذاری هم به ازای هر کاربر و هم به ازای هر تراکنش پیروی میکند. iProov در یک طرح آزمایشی جالب در راهآهن لندن شرکت نمود. در این طرح مسافران برای سوار شدن به قطارهای شرکت یورواستار فقط باید چهره خودشان را اسکن میکردند.
Lexis/Nexis Risk Solutions
این شرکت در سال 2018 میلادی شرکت ThreatMetrix را اکتساب کرد و از آن زمان تاکنون موفق به تشکیل راهکارهای پیشرفته RBA تجاری شده و یک مجموعه کیت توسعه نرمافزار مخصوص دستگاههای همراه و همچنین ابزارهای مبتنی بر جاوا طراحی و عرضه کرده که امروزه از آنها در همه بانکهای بزرگ و بسیاری از شرکتهای بیمه مهم استفاده میشود. Lexis/Nexis Risk Solutions از مجموعه دادههای عظیمی که در اختیار دارد (این شرکت هر ساعت بیش از 270 میلیون تراکنش را روی بیش از 8 و نیم میلیارد دستگاه پردازش میکند) برای تشخیص جعل تراکنش و تأمین سیگنالهای لازم جهت اعتبارسنجی هویت استفاده میکند.
راهکارهای تشخیص نقاط پایانی این شرکت دارای سه سطح زیر هستند:
- ExactID بر اساس کوکیها؛
- SmartID بر اساس جاوا
- StrongIDکه با استفاده از امضاهای رمزنگاری کار میکند که کلید خصوصی آنها روی فضایی امن در کامپیوتر یا گوشی ذخیره میشود.
همچنین راهکارهای این شرکت از پروتکلهای EMV 3DS پشتیبانی میکنند. Lexis/Nexis مدل قیمتگذاری مبتنی بر تراکنش دارد.
Okta
Okta دارای دو خط محصول است. اولین خط راهکار احراز هویت چند مرحلهای تطبیقپذیر Auth0 است. Auth0 دارای مجموعهای قوی از سیگنالهای ریسک از جمله «سفر غیرممکن» (وقتی که ورود به سیستم در فاصله زمانی کوتاه و از مکانهایی که فاصله جغرافیایی زیادی دارند صورت میگیرد)، آیپیهای بد شناخته شده، تشخیص ربات، تشخیص رمزهای لو رفته و خدمات حفاظت از اعتبارنامههای کاربری که در رده سازمانی محصولات این شرکت وجود دارند، است. مدل قیمتگذاری این شرکت هم کاملاً شفاف بوده و علاوه بر طرحهایی که قیمت آنها از 23 دلار شروع شده است، یک طرح رایگان همیشگی هم دارد (این طرحها بر اساس تعداد تراکنشها قیمتگذاری میشوند نه تعداد کاربر). امکانات RBA/MFA فقط برای طرح Enterprise و با پرداخت هزینه بیشتر در دسترس هستند.
مجموعه محصولات Okta شامل ابزار احراز هویت چند مرحلهای خود این شرکت و مجموعهای بزرگ از سیاستهای احراز هویت برای بیش از 7 هزار محصول مختلف و یک مجموعه عظیم از مراجع API برای فریمورکها و زبانهای برنامهنویسی مختلف هستند. Risk Ecosystem API شرکت Okta سیستم امتیازدهی مبتنی بر ریسک این شرکت را با تحلیل سیگنالهای ریسک خارجی به دست آمده از راهکارهای شخص ثالث جدید از جمله راهکارهای شرکتهای ارایهدهنده فایروال برنامههای تحت وب و تشخیص ربات مثل Fastly، HUMAN، F5 Networks و PerimeterX تکمیل میکند. محصول FastPass شرکت Okta با محصول احراز هویت یکپارچه این شرکت کار میکند.
همچنین این شرکت یک صفحه قیمتگذاری تراکنش دارد که قیمت طرحهای آن از 5 دلار به ازای هر کاربر در هر ماه برای RBA شروع میشود. برای احراز هویت چند مرحلهای تطبیقپذیر 6 دلار به ازای هر کاربر در ماه اضافه میشود و سایر امکانات هم با هزینه اضافه وجود دارند. یک طرح قیمتگذاری برای تراکنشها هم وجود دارد که با هزینه 36 هزار دلار در سال برای طرحهای رده سازمانی شروع میشود.
OneLogin by One Identity/Quest
OneLogin بخش مدیریت دسترسی راهکارهای One Identity را که شرایطی مثل دسترسی با سطح امتیاز بالا و ابزارهای اتصال به اکتیو دایرکتوری را هم شامل میشوند تشکیل میدهد. امکانات OneLogin RBA این شرکت توسط موتور ریسک پویای هوش مصنوعی Vigilance تأمین شدهاند که به هر تلاش برای احرازه ویت یک امتیاز مشخص داده و اقدام و جریان لاگین مناسب را مشخص میکند. این محصول همچنین قابلیت احراز هویت با عامل هوشمند را داشته و اعتبارنامههای افشا شده را شناسایی میکند تا از بکارگیری چندین بار یک رمز یا رمزهایی که در رخنههای قبلی افشا شدهاند پیشگیری کند.
OneLogin هیچ یک از دادههای بیومتریک را ذخیره نمیکند و از قابلیت انگشتنگاری سختافزاری بر روی دستگاه پشتیبانی میکند. از استانداردهای FIDO2/WebAuthn برای احراز هویت چند مرحلهای پشتیبانی میشود و این اطلاعات بر روی بخش امن و حفاظت شدهای از دستگاههای کاربران ذخیره میشوند. OneLogin قابلیت همگامسازی راهکار IDP خودش با ابزارهایی مثل Google Workspace، AD، Azure AD، LDAP و غیره را دارد. محدوده قیمتها برای کاربران مدل نیروی کاری از 2 تا 6 دلار در ماه است و امکان استفاده از مدل قیمتگذاری به ازای هر تراکنش هم جهت محصولات پیشگیری از جعل این شرکت وجود دارد.
احراز هویت تطبیقپذیر هوش OneSpan
از سالها پیش تاکنون محصولات OneSpan راهکارهای RBA را ارایه میدهند و در حال حاضر از هر دو بازار احراز هویت و تراکنش هم پشتیبانی میکنند. توکن سختافزاری Cronto این شرکت یک کانال رمزنگاری شده برای اجرای تراکنشها ایجاد نموده و جزو اولین راهکارهایی بود که از FIDO پشتیبانی میکنند و در آن از روشهای رفتاری هم استفاده شده است. OneSpan یک سیستم امضای دیجیتال اختصاصی و نرمافزار اعتبارسنجی مدارک شناسایی را دارد. راهکارهای این شرکت از انواع روشهای احراز هویت چند مرحلهای و توکنهای مختلف پشتیبانی کرده و دارای قابلیت احراز هویت یکپارچه و RBA با مجموعهای عظیم از سیاستها و قوانین از پیش تنظیم شده هستند.
یکی از محصولات مهم این شرکت نرمافزار آنلاین My Bank است. کاربران میتوانند به صورت آزادانه با این محصول کار کرده و با عملکرد آن آشنا شوند. OneSpan مدل قیمتگذاری محصولاتش را مشخص نکرده است.
Outseer Fraud Manager
Outseer دارای محصولاتی برای تحلیل جعل و کلاهبرداری است. امکان استفاده از این محصولات معمولاً در مؤسسات مالی وجود دارد (بخش SecurID این شرکت یک نسخه RBA مخصوص دارد). محصول این شرکت نسخه تحت ابر و همچنین درون سازمانی دارد و میتواند سیگنالهای مختلف را از سایر محصولات مبتنی بر رفتار و موقعیت مکانی دریافت کند. یکی از ماژولهای جدید این شرکت قابلیت حفاظت در برابر جعل در تراکنشهایی با مدل «حالا بخرید، بعداً پرداخت کنید» را دارد و ابزار دیگر این شرکت نیز از جدیدترین استاندارد EMV 3DS پشتیبانی میکند. Outseer یک سرویس اطلاعاتی موسوم به FraudAction هم دارد.
PingID PingOne
PingOne شامل یکسری محصولات هویتی است که امکان استفاده از آنها با پیکربندیهای مختلف وجود دارد. این محصولات هم برای حفاظت از تراکنشها و هم احراز هویت جریان کاری قابل استفاده هستند. در سال 2021 میلاد ی PingOne، SecureTouch را اکتساب کرد و اکنون این محصول را با عنوان PingOne Fraud نامگذاری کرده است.PingOne Fraud از طریق تحلیلهای رفتاری، دستگاههای هک شده و سایر علائم قابل تردید را شناسایی میکند. Ping به مجموعهای وسیع از بیش از 1800 ادغام با پروتکل SAML برای ابزارهای ورود یکپارچه خودش شناخته شده است. سایر محصولات این شرکت شامل موارد زیر هستند:
- PingOne Risk موتور مدیریت ریسک این شرکت است که سیگنالهای مختلف را ارزیابی میکند. PingOne Verify ابزار احراز هویت شناسه این شرکت است؛
- PingOne Authorize ابزار RBA اصلی این شرکت است که در آن میتوانید سیاستها و قوانین احراز هویت را تعیین کنید.
- PingOne DaVinci جدیدترین ابزار این شرکت و یک ابزار هماهنگسازی هویت است که امکان استفاده از آن برای ایجاد فرایندهای اتوماسیون با کمک فلوچارت وجود دارد. چنین ویژگی یک مزیت مهم محسوب میشود چون تنظیم سناریوهای مختلف تشدید ریسک با استفاده از سیاستها و مجموعه قوانین به هم مرتبط و تفسیر آنها میتواند سخت باشد.
PingID برای همه محصولاتش امکان استفاده آزمایشی 30 روزه را فراهم کرده و یک صفحه قیمتگذاری کامل و البته کمی گیج کننده دارد.
Silverfort
Silverfort در زمینه RBA رویکردی متفاوت داشته و از ابزارهای هویتی موجود مثل Ping، Okta و Azure AD استفاده میکند. این شرکت یک موتور ارزیابی ریسک جامع دارد که سیگنالهای مختلف از جمله تغییرات رفتاری و شاخصهای ریسک بیرونی را تشخیص میدهد. ابزارهای این شرکت از هیچ کارگزار نرمافزاری یا واسطهای برای استخراج تهدیدات بالقوه و مشکلات احراز هویت استفاده نمیکنند. این مسئله برای افرادی که نگران تهدیدات مبتنی بر اینترنت اشیا یا تجهیزات شبکه که به راحتی قابل نظارت یا حفاظت نیستند مفید است. یک نمونه از این امکانات، پشتیبانی از FIDO2 برای نقاط پایانی است. این شرکت مدل قیمتگذاری مبتنی بر کاربر را دارد.
Thales Safenet Trusted Access
Thales دو واحد تجاری برای راهکارهای RBA خودش دارد. Safenet Trusted Access این شرکت RBA مخصوص نیروی کار را مدیریت میکند و واحد Gemalto متمرکز بر RBA تراکنشی و بانکداری است. محصول Safenet این شرکت چندین سال است که وارد بازار شده و تبدیل به مجموعهای پیچیده از سیاستها و قوانین مختلف برای ترکیبات متنوع کاربران، سیستم عاملها و برنامههای کاربردی گردیده است. محصولات این شرکت روشهای احراز هویت چند مرحلهای مختلف و توکنهای گوناگون را پوشش داده و مجهز به قابلیت RBA و احراز هویت یکپارچه هستند. Thales جزو اولین شرکتهایی بود که راهکارهای FIDO را پیادهسازی کرد و از طریق پروتکل SAML از راهکار احرازهویت خودش و دیگران پشتیبانی میکند. این شرکت برای دسترسی به اطلاعات تراکنشها با NuData Security همکاری داشته و قیمت پایه محصول Safenet به ازای هر کاربر در هر ماه 3 و نیم دلار است که همه امکانات احراز هویت چند مرحلهای و RBA با قابلیتهای مدیریت دسترسی مختلف را شامل میشود.
برای مطالعه سایر مقالات در حوزه امنیت سایبری اینجا کلیک کنید.
منبع: csoonline