In den vergangenen 40 Jahren hat Kensington immer wieder neue Innovationen entwickelt, um unseren Kunden die besten Lösungen für IT-Produktivität und Sicherheit zu bieten. Gleichzeitig haben Unternehmen im IT-Bereich gravierende Veränderungen in der Art und Weise vorgenommen, wie sie ihre Unternehmensidentitäten und -werte schützen. Als Branche haben wir einige wichtige Lektionen über die Natur von Cyberangriffen gelernt. Cyberangriffe sind:
- Hoch motiviert (z.B. monetärer Gewinn)
- Äußerst effizient (z. B. automatisierte Exploits gegen viele Ziele)
- Hochgradig zerstörerisch (z.B. Ransomware)
- Weitgehend vermeidbar (z.B. Phishing ist zwar langsam, aber es funktioniert trotzdem!)
Die bedauerliche Realität ist, dass viele unserer Internet-Identitäten (d.h. private oder berufliche Accounts) das Ziel eines (in der Regel erfolglosen) Cyberangriffs waren. Vielleicht haben Sie zum Beispiel eine überraschende Nachricht mit einer verdächtigen URL von einem Facebook-Freund erhalten, auf die später ein "Sorry, mein Konto wurde gehackt" folgt. Die Folgen eines erfolgreichen Cyberangriffs können erheblich größere Auswirkungen auf den Arbeitsplatz haben. Sie reichen von einem kleinen Überweisungsbetrug, der intern ohne Offenlegung abgewickelt werden kann, bis hin zu einem Ransomware-Angriff, der für Schlagzeilen sorgt, die IT-Infrastruktur lahmlegt und den Geschäftsbetrieb vollständig zum Erliegen bringt.
In dem Facebook-Beispiel ist es äußerst unwahrscheinlich, dass Ihr Freund von einem Angreifer ausgesucht wurde. Es ist viel wahrscheinlicher, dass der Angreifer versucht hat, eine beliebige Anzahl von Konten zu kompromittieren. Handelt es sich bei Ihrem Freund jedoch um einen Prominenten, einen Politiker oder eine Führungskraft aus der Wirtschaft, könnte sein Facebook-Konto gezielt von einem Team raffinierter Angreifer ins Visier genommen worden sein, das beschließt, unentdeckt zu bleiben und die Kommunikation zu überwachen.
Die gleichen Bedrohungen bestehen auch in der Unternehmenswelt. Je größer und komplexer eine IT-Umgebung wird, desto größer sind auch die potenziellen Angriffsmöglichkeiten für eine erfolgreiche Cyberattacke. Ein Angreifer kann versuchen, eine Vielzahl von besonders gefährdeten Identitäten zu kompromittieren (z.B. IT-Administratoren, Helpdesk, Entwickler, HR, Finanzen), indem er eine Vielzahl von Techniken einsetzt. Wenn es ihnen gelingt, ein Konto zu kompromittieren, das nicht zu einer sofortigen Auszahlung führt, nutzen sie ihre neu kompromittierte Identität, um weitere Angriffe zu planen.
Was bedeutet Zero-Trust?
Im Mai 2021 erließ die US-Regierung die Executive Order des Präsidenten Zur Verbesserung der Cybersicherheit der Nation (EO 14208). Eine der wichtigsten Schlussfolgerungen ist die Einführung einer Zero-Trust-Architektur: "Keinem Nutzer, System, Netzwerk oder Dienst, der außerhalb oder innerhalb des Sicherheitsbereichs operiert, wird vertraut. Stattdessen müssen wir alles und jeden überprüfen, der versucht, Zugang zu erhalten. Das ist ein dramatischer Paradigmenwechsel in der Philosophie, wie wir unsere Infrastruktur, Netzwerke und Daten sichern, von der einmaligen Überprüfung am Perimeter zu einer kontinuierlichen Verifizierung jedes Anwenders, Geräts, jeder Anwendung und jeder Transaktion". Im Kern besagt das Zero-Trust-Modell: "Vertraue nie, überprüfe immer".
Die US-Regierung wird täglich von hochentwickelten Hackern aus politischen und monetären Gründen aktiv ins Visier genommen. Im Interesse der inneren Sicherheit ist auch die US-Regierung äußerst motiviert, zufriedenstellende Kontrollen zum Schutz ihrer Identitäten und Vermögenswerte durchzuführen. Der Druck, aufgrund einer Gesundheitspandemie Mitarbeiter aus der Ferne zu beschäftigen, hat die Regierung dazu gezwungen, ihre bestehenden IT-Umgebungen neu zu bewerten, während Sie leicht verfügbare und ausgereifte Cloud-Dienste einsetzen, die den Zugang und die Produktivität drastisch erhöhen können. Dieses Szenario ist weit verbreitet und kommt bei vielen unserer Kunden vor.
Hier finden Sie einige zusätzliche Anforderungen in Bezug auf zentrales Single Sign-On (SSO) und phishing-resistente Multi-Faktor-Authentifizierung (MFA):
- Die Behörden müssen einen Identitätsanbieter und einen unternehmensweiten SSO-Dienst für die Anwender der Behörde einsetzen, der in Anwendungen und gemeinsame Plattformen integriert werden kann, und sie müssen damit beginnen, andere Identitätssysteme außer Betrieb zu nehmen.
- Die Bundesbehörden müssen Umsetzungspläne zur Integration und Durchsetzung der MFA entwickeln.
- Die Systeme der Behörde müssen von internen Anwendern verlangen, dass sie eine phishing-sichere Methode für den Zugriff auf ihre Konten verwenden.
In der Dokumentation der Federal Zero Trust Strategy heißt es: "MFA schützt im Allgemeinen vor einigen bekannten Methoden, um unbefugten Zugang zu einem Konto zu erhalten, wie z. B. dem Erraten schwacher Passwörter oder der Wiederverwendung von Passwörtern, die aus einer Datenschutzverletzung stammen. Viele Ansätze zur Multi-Faktor-Authentifizierung schützen jedoch nicht vor raffinierten Phishing-Angriffen, die offizielle Anwendungen überzeugend fälschen können und eine dynamische Interaktion mit Anwendern beinhalten. Anwender können dazu verleitet werden, einen einmaligen Code einzugeben oder auf eine Sicherheitsabfrage zu reagieren, die dem Angreifer Zugriff auf das Konto gewährt. Diese Angriffe können vollautomatisch und kostengünstig in großem Umfang durchgeführt werden."
In einem Zero-Trust-Modell reicht es nicht mehr aus, Ihren Anwendern zu erlauben, sich lokal oder über VPN mit dem Unternehmensnetzwerk zu verbinden und mit einer Ein-Faktor-Authentifizierung (z.B. Benutzername und Passwort) auf interne Anwendungen zuzugreifen. Da man davon ausgeht, dass alle Netzwerke nicht vertrauenswürdig sind, müssten diese älteren Anwendungen modernisiert werden (z. B. Enterprise SSO und phishing-resistente MFA), unabhängig davon, von welchem Netzwerk aus sich der Anwender verbindet.
Eine weitere wichtige Überlegung ist, dass einige der beliebtesten MFA-Methoden (z. B. Einmal-Passcodes [OTPS] oder Push-Benachrichtigungen), die unsere Kunden heute einsetzen, immer noch anfällig für raffinierte Phishing-Angriffe sind.
Vorteile von biometrischer und passwortloser Authentifizierung
Trotz des anfänglichen Widerstandes gegen die Einführung biometrischer Verfahren für klassische Unternehmensgeräte haben viele von uns die Bequemlichkeit und Benutzerfreundlichkeit biometrischer Verfahren für ihre Smartphones übernommen. Eines der häufigsten Missverständnisse im Zusammenhang mit biometrischen Daten ist, dass sich ein bösartiger Akteur als Anwender ausgeben könnte, indem er dessen Fingerabdruck nachbaut. Diese Art der Angriffe ist außerordentlich selten, da der Angreifer sie nur durchführen kann, wenn er:
- Im physischen Besitz der biometrischen Daten ist
- Ein biometrisches Merkmal mit einer bekannten Schwachstelle nutzt
Wie Sie sich vorstellen können, ist dieses Szenario um ein Vielfaches schwieriger und kostspieliger für einen Angreifer - vielleicht sogar unmöglich.
Biometrische Daten verhindern, dass ein Angreifer seine effizientesten und aus der Ferne ausnutzbaren Techniken einsetzt, z. B. gestohlene Zugangsdaten aus dem Dark Web oder eine Phishing-Seite, die Ihre Zugangsdaten und Ihr MFA-OTP abgreift.
Darüber hinaus verwenden die meisten Unternehmen einen zentralisierten Identitätsanbieter wie Azure Active Directory (AD) oder Okta für ihr SSO und können ihre biometrischen Sicherheitsschlüssel für alle ihre föderierten Websites nutzen. In der folgenden Abbildung ist Azure AD der Identitätsprovider, und Anwender von Azure AD können einen FIDO2-Sicherheitsschlüssel (z.B. VeriMark Guard) oder ein mit Windows Hello kompatibles biometrisches Sicherheitsgerät (z.B. VeriMark, VeriMark IT, VeriMark Desktop) verwenden, um sich bei föderierten Anwendungen zu authentifizieren.
Obwohl wir viele Ihrer Anforderungen in Bezug auf biometrische Daten und Passwörter erfüllen können, sind wir uns bewusst, dass Passwörter in absehbarer Zeit nicht verschwinden werden. Genauso wie Passwort-Manager eine großartige Möglichkeit sind, die Verwendung angreifbarer Passwörter zu schützen, sind biometrische Sicherheitsgeräte eine großartige Möglichkeit, die Verwendung dieser Passwort-Manager zu schützen.
“Trotz des Hypes werden Passwörter nicht einfach verschwinden ... Die Anwendungsbeispiele, in denen FIDO2 in Verbindung mit passwortbasierten Anmeldungen und Zwei-Faktor-Authentifizierung eingesetzt wird, bieten ein optimales Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit. Wir sind gespannt auf die Zukunft der Authentifizierung und freuen uns auf die weitere Entwicklung von FIDO2, Biometrie und Multi-Faktor-Authentifizierung." —Craig Lurey, CTO & Mitbegründer, Keeper Security
Wie Sie Ihre IT-Umgebung mit Kensington schützen können
Kensington hat eine Reihe erstklassiger biometrischer Sicherheitsprodukte auf den Markt gebracht, die Privat- und Unternehmenskunden eine wesentlich höhere Sicherheit bieten. Unsere VeriMark-Produktfamilie basiert auf SentryPoint, einer branchenführenden Suite von Sicherheitsfunktionen für den Fingerabdrucksensor von Synaptics, die mehrere wichtige Marktunterscheidungsmerkmale enthält, die in der folgenden Tabelle zusammengefasst sind.
| Synaptics SentryPoint Sicherheitsfunktion | Beschreibung |
|---|---|
| SecureLink | Ermöglicht starke TLS 1.2 (Verschlüsselung des Kommunikationskanals) / AES-256 (Datenverschlüsselung) auf dem gesamten Weg vom Sensor zum Host. |
| PurePrint Anti-Spoof-Technologie | Unterscheidet und erkennt echte von gefälschten Fingern. |
| Match-in-Sensor | Die Fingerabdruckvorlage wird auf dem Silizium des Fingerabdrucksensors sicher abgeglichen, was die Datenübertragung zum Host durch eine einfache Ja/Nein-Kommunikation einschränkt; das Ergebnis des Abgleichs wird ebenfalls verschlüsselt. |
| Quantum Matcher | Beschleunigter Abgleich-Algorithmus |
| Falsch-Akzeptanzrate (FAR) Falsch-Zurückweisungsrate (FRR) |
Synaptics SentryPoint FAR en FRR |
Wir sind uns der Schwierigkeiten bewusst, die unsere Kunden haben, wenn es darum geht, die geeigneten Sicherheitstools für ihre Umgebung und ihre zahlreichen Anwendungsfälle zu finden. Um etwas Klarheit zu schaffen, geben wir die folgenden Beispiele:
Mitarbeiter vor Ort
Im Gegensatz zu dem jüngsten Vorstoß für das „Home Office " können viele Unternehmen aufgrund der Art ihrer Arbeit einfach keine Remote-Mitarbeiter unterstützen. Das kann daran liegen, dass es sich um ein hochoptimiertes Call Center handelt oder an den strengen gesetzlichen Vorschriften, die im Finanzwesen und in der Verteidigungsindustrie üblich sind.
Für Mitarbeiter im Büro vor Ort haben Sie die Möglichkeit, jedes unserer Produkte zu nutzen. Sie können VeriMark Desktop oder VeriMark IT verwenden, um Mitarbeitern die Registrierung eines Fingerabdrucks für die Verwendung von Windows Hello for Business und anderen FIDO U2F-unterstützten Webanwendungen zu ermöglichen. Wenn ein Anwender sehr mobil ist oder regelmäßig auf verschiedene Workstations mit unterschiedlichen Betriebssystemen zugreift, ist er möglicherweise besser geeignet, VeriMark Guard zu nutzen.
Remote-Mitarbeiter außerhalb des Unternehmens
Bei einer zunehmend dezentralen Belegschaft ist es schwierig, den Überblick über Ihre Mitarbeiter und die Standorte, von denen aus sie sich verbinden, zu behalten. In der Vergangenheit mag es ein rotes Tuch gewesen sein, wenn ein Mitarbeiter, der in Kalifornien ansässig war, plötzlich anfing, sich von New York aus zu authentifizieren, aber Remote Mitarbeiter haben sich an die Flexibilität gewöhnt, von überall aus arbeiten zu können. Für externe Mitarbeiter ist unsere Empfehlung im Grunde dieselbe wie für Mitarbeiter vor Ort. Weitere Überlegungen könnten sein, ob Sie zu 100 % aus der Ferne arbeiten oder "hybrid" (d.h. irgendwann ins Büro zurückkehren) und ob von Ihnen erwartet wird, zwischen verschiedenen Geräten zu jonglieren. In diesem Fall könnte die Portabilität von VeriMark Guard von Vorteil sein.
Gemeinschaftsarbeitsplätze
Obwohl wir uns oft auf " Fachkräfte " konzentrieren, wenn wir neue Sicherheitsmaßnahmen in unserem Unternehmen einführen, sind viele Unternehmen auf gemeinsam genutzte Arbeitsplätze angewiesen, die sowohl geschäftskritisch als auch anfällig für Angriffe sind. Gängige Beispiele sind Stechuhren oder Kassensysteme. Stellen Sie sich das Szenario vor, in dem Mitarbeiter A dem Mitarbeiter B einen Gefallen tut, um zu vermeiden, dass er zu spät zu einer Schicht kommt - was vermeidbar ist.
VeriMark Desktop ist wahrscheinlich die beste Lösung für gemeinsam genutzte Arbeitsplätze, insbesondere wenn der Arbeitsplatz nur für eine kurze Zeit genutzt wird, bevor er dem nächsten Anwender zur Verfügung steht. Sie können auch VeriMark Guard einsetzen, wenn Sie möchten, dass die Mitarbeiter ihre individuellen Sicherheitsschlüssel zu ihrem Kiosk mitbringen. VeriMark Guard ist jedoch die bessere Lösung, wenn der Arbeitsplatz über einen längeren Zeitraum genutzt wird.
Blick in die Zukunft
Einer der wenigen Lichtblicke der Gesundheitspandemie 2020-2021 besteht darin, dass sie Unternehmen dazu ermutigt hat, ihre Anwendungen rasch zu modernisieren und MFA einzuführen, um ihre wachsende Zahl von Remote Mitarbeitern zu unterstützen. Wenn Sie sich nicht an die sich ständig weiterentwickelnden Bedrohungen der Cybersicherheit anpassen, kann dies zu einem Cyberangriff führen, der für Ihr Unternehmen oder Ihre Mission katastrophale Folgen haben könnte.
Erfahren Sie hier mehr über VeriMark und wie Sie das Zero Trust-Konzept realisieren können.