Menggunakan penyedia ID pihak ketiga tanpa kehilangan kepercayaan nol

KOMENTAR

Identitas adalah hal yang lucu. Dengan semua perubahan yang Anda alami sebagai pribadi sepanjang hidup Anda, mengetahui siapa Anda sebenarnya bisa menjadi teka -teki seumur hidup.

Ini tidak terlalu berbeda dalam cybersecurity. Bisnis perlu memastikan bahwa orang -orang yang mereka katakan. Kecuali dalam keamanan siber, taruhannya jauh lebih tinggi. Penelitian dari Verizon menunjukkan bahwa 80% pelanggaran data berasal dari penyerang yang menebak atau mencuri Kata sandi lemah. Dan sementara rasa sakit karena tidak tahu diri Anda sakit, Rasa sakit karena tidak tahu siapa yang berjalan ke sistem Anda sangat menghancurkan. Pada tahun 2024, Perusahaan di seluruh dunia kehilangan denda hampir $ 4,4 miliar untuk pelanggaran data.

Mengingat risikonya, tidak mengherankan bahwa admin cybersecurity menghabiskan banyak waktu untuk memikirkannya Manajemen Identitas dan Akses (IAM). Solusi identitas yang dikembangkan di rumah biasanya tidak memiliki skala ekonomi dan peristiwa global data yang diperlukan untuk IAM yang aman, dan di antara alternatif terbaik adalah alat yang disediakan oleh penyedia identitas pihak ketiga (IDPs), yang memiliki heuristik agregat, analisis peristiwa, dan analitik canggih yang bertahan terhadap sebagian besar serangan. Hari ini, hampir 70% organisasi telah menerapkan a Single Sign-On (SSO) solusi atau rencanakan untuk.

Namun, pengungsi masih memiliki risiko residual, sebagian besar terutama risiko akses backdoor. Ini dapat terwujud dalam dua cara. Yang pertama adalah menambahkan akun yang seharusnya tidak ada, dan yang kedua menyamar sebagai akun yang sah. Sekarang, tidak mungkin bahwa seorang “programmer go nakal” tidak akan melakukan ini (sebagian besar pengungsi memiliki kontrol di tempat untuk mencegah hal seperti itu)-risiko sebenarnya adalah baik itu Kredensial yang sah digunakan untuk membajak sesi dan mendapatkan akses atau, lebih buruk lagi, bahwa perusahaan dipaksa oleh pihak berwenang untuk membuat pintu belakang.

Terkait:Mengapa privasi data tidak sama dengan keamanan data

Ini bukan hanya cerita menakutkan yang disuruh menjaga sysadmin di malam hari. Pada 2015, The FBI menuntut pintu belakang ke iPhonedan baru -baru ini Pemerintah Inggris diam -diam memerintahkan Apple untuk membangun pintu belakang Itu akan memberikan akses ke data iCloud terenkripsi. Dalam enam bulan terakhir saja, Google Serviced 322 Permintaan Hukum Diplomatik dan 236.000 Permintaan Informasi. Jika perintah pengadilan tertutup menambahkan “karyawan” ke database Anda atau menyamar sebagai pengguna istimewa, seluruh IAM Anda tidak dapat melakukan apa pun.

Gagasan menyerahkan fungsi ini kepada pihak ketiga Anda tidak dapat mengontrol lalat di hadapan standar emas dalam cybersecurity: nol kepercayaan. Tapi saya ingin memiliki kue dan memakannya juga. Jadi bagaimana saya bisa mendapatkan manfaat dari fitur keamanan dan heuristik pengungsi tanpa menyerahkan kunci?

Terkait:Tarif dapat mendorong peningkatan serangan siber global

Yah, saya punya ide.

Dalam aliran IAM khas Anda, seseorang mencoba masuk ke layanan Anda, permintaan diteruskan ke penyedia IDP, dan orang itu masuk seperti biasa (termasuk dengan 2FA) dan menerima go/no-go kembali. GO/NO-GO itu akan mencakup heuristik canggih yang akan menangkap banyak serangan identitas yang khas.

Dan di situlah konsep saya, otentikasi faktor ekstra, masuk.

Yang ingin saya lakukan adalah menambahkan faktor yang tidak dikendalikan oleh IDP, khususnya passkey yang disimpan oleh Anda. Aliran otentikasi normal terjadi, tetapi ketika go/no-go kembali dari IDP, Anda mengirim prompt untuk otentikasi faktor ekstra. Jika pengguna mengembalikan passkey yang terdaftar, kami dapat memverifikasi bahwa orang itu sah dan memberikan akses ke sistem. Ini terjadi di luar Loop IDP, jadi mereka bahkan tidak sadar bahwa itu terjadi, menghilangkan dua risiko besar yang kita bahas di atas.

Anda dapat melakukan ini dalam beberapa cara menggunakan komponen sumber terbuka yang aman – tetapi untuk implementasi kami, kami mengumpulkan auth0 OpenFGA (untuk manajemen izin), ory Ular naga (sebagai server oauth), ory Kratos (Untuk otentikasi/manajemen pengguna), dan mengemasnya ke dalam set ju ju (Mereka seperti operator Kubernetes) untuk digunakan siapa saja. Ini memungkinkan kami untuk menjadi tuan rumah sendiri SSO kami sendiri, yang mengarahkan kembali ke IDP pihak ketiga, sebelum kembali kepada kami untuk verifikasi passkey terakhir.

Terkait:Industri meminta kejelasan tentang aturan keamanan siber HIPAA yang diusulkan

Sederhana, cepat, dan memiliki beberapa manfaat keamanan. Pertama, Anda mendapatkan semua perlindungan dari IDP pihak ketiga yang bekerja untuk sebagian besar upaya serangan. Kedua, Anda mendapatkan lapisan otentikasi dan kontrol akses tambahan di luar IAM tradisional – membuat operasi Anda lebih sulit untuk retak. Dan ketiga, Anda bisa menjadi tuan rumah sumber kebenaran akhir dan memiliki suara akhir dalam otorisasi akses – tidak ada lagi menyerahkan seluruh keputusan otorisasi kepada pihak ketiga, sehingga menghilangkan risiko backdoor IDP.

Dan itu berarti ketenangan pikiran bagi manajer keamanan siber dan orang -orang keamanan seperti saya. Saya akan tahu orang -orang adalah siapa mereka mengatakan mereka – bahkan jika mereka masih berusaha mencari tahu teka -teki seumur hidup itu sendiri.