Quan sát về tình báo đe dọa và xác minh danh tính | Một cuộc phỏng vấn Matt Welch

Khi các tổ chức chuyển đổi kỹ thuật số để mở rộng quyền truy cập vào các dịch vụ trực tuyến, thách thức chuyển từ việc cho phép truy cập sang bảo vệ mọi người khỏi tội phạm mạng. Các tác nhân đe dọa liên tục phát triển, sử dụng các công cụ và kỹ thuật cấp doanh nghiệp theo những cách tinh vi hơn bao giờ hết để phá vỡ các hệ thống bảo mật bảo vệ chúng.

Thật không may, nhiều tổ chức mắc phải một sai lầm nghiêm trọng Giới thiệu an ninh mạng: họ đổ tài nguyên vào các phương pháp bảo mật hàng hóa, liên tục phản ứng với các vi phạm và thông tin đăng nhập bị xâm phạm thay vì chứng minh trong tương lai thông qua các biện pháp phòng ngừa.

Hôm nay chúng tôi đang nói chuyện với Matt Welch, Trưởng phòng Tình báo Mối đe dọa của iProov. Matt có một lịch sử sâu rộng Giới thiệu lãnh đạo và tư vấn cho các bộ phận Tình báo Mối đe dọa toàn cầu, sau 16 năm phục vụ trong Lực lượng Vũ trang Canada. Bây giờ, tại iProov, Matt nghiên cứu bối cảnh mối đe dọa sinh trắc học đang phát triển và các tác nhân đe dọa đằng sau chúng, đồng thời phát triển các khuôn khổ để chống lại các loại mối đe dọa.

Chúng tôi đã ngồi lại với Matt để hiểu rõ hơn Giới thiệu tình trạng vĩ mô của an ninh mạng trong quý I/2023.

Hiểu về sự phát triển của mối đe dọa trong Q1

Q: Matt, bạn đã thấy những xu hướng và sự phát triển nào trong an ninh mạng trong năm nay?

A: Đã có sự thay đổi về chiến thuật được quan sát thấy từ một tác nhân đe dọa năng suất cao, nhóm được Crowdstrike gọi là Scattered Spider . Điều thú vị là chúng đang chuyển trọng tâm sang lừa đảo – đặc biệt là email lừa đảo và tên miền lừa đảo. Lừa đảo là một hình thức đe dọa phổ biến và đã tồn tại từ lâu – nhằm mục đích dụ dỗ cá nhân tiết lộ thông tin cá nhân của họ – nhưng nó vẫn cực kỳ hiệu quả đối với các tổ chức phụ thuộc vào thông tin xác thực để bảo mật thông tin. Bạn có thể đọc thêm về xu hướng này trong báo cáo mới nhất của crowdstrike tại đây.

Điểm mấu chốt ở đây là các tác nhân đe dọa nhận ra rằng thông tin xác thực vẫn là mục tiêu dễ đạt được. Thông thường, chúng thậm chí không cần lừa đảo; các tác nhân đe dọa có thể dễ dàng lấy được thông tin xác thực bị xâm phạm, vì nhiều thông tin đã nằm rải rác trên dark net. Sau đó, chúng có thể sử dụng các cuộc tấn công nhồi thông tin xác thực để xem những tài khoản nào khác mà chúng có thể truy cập bằng thông tin này.

Kết luận ở đây là vì nhiều tổ chức hiện đang sử dụng giao thức xác thực đa yếu tố, các loại xác thực khác – “thứ bạn sở hữu” và “thứ bạn biết” – sẽ tự nhiên bị chỉ trích sau khi thông tin xác thực bị đánh cắp. Nếu một tổ chức sử dụng xác thực đa yếu tố (MFA) và các tác nhân đe dọa đang thu thập thông tin xác thực thông qua lừa đảo, theo logic, các yếu tố xác thực khác sẽ bị tấn công tiếp theo.

Đó là một phần lý do tại sao công nghệ sinh trắc học trở nên thiết yếu: mặc dù bạn có thể thu thập và chia sẻ thông tin đăng nhập bị xâm phạm một cách dễ dàng, bạn không thể nắm bắt và sử dụng sự hiện diện thực sự của khuôn mặt trực tiếp của ai đó. Vì vậy, tin tốt là "một cái gì đó bạn là" có thể cực kỳ khó phá vỡ, không giống như "một cái gì đó bạn biết" hoặc "sở hữu".

Vấn đề với các phương pháp Xác thực dựa trên thông tin Xác thực và nhấn mạnh sai chỗ "thứ bạn sở hữu"

Hỏi: Vì vậy, Matt, thông tin đăng nhập đang bị đe dọa từ sự tập trung mới vào lừa đảo. Có thể nói gì Giới thiệu các yếu tố Xác thực khác?

Một: Có, các tác nhân đe dọa hiện đang tập trung vào thông tin đăng nhập. Nhưng khi ngày càng có nhiều tổ chức triển khai Xác thực đa yếu tố (MFA), họ sẽ hướng mắt sang các yếu tố khác được sử dụng để bảo mật MFA.

Nhưng một điểm lớn hơn ở đây là các giao thức MFA được bảo mật bằng các yếu tố "thứ bạn sở hữu", chẳng hạn như mật mã một lần (OTP), không phải là Giải pháp lâu dài. Tội phạm mạng đã đánh bại các công nghệ xác minh truyền thống này, dẫn đến việc hàng hóa hóa những gì từng được coi là tùy chọn an toàn (ví dụ: bạn có thể đọc thêm Giới thiệu rủi ro của OTP tại đây).

OTP là một bước tiến từ mật khẩu và thường cung cấp mức độ bảo mật cao hơn so với Xác thực dựa trên thông tin Xác thực. Tuy nhiên, các yếu tố dựa trên sở hữu ngày càng nhạy cảm và vẫn có thể bị đánh cắp hoặc bị chặn. Nó không phải là viên đạn bạc.

Nói rộng hơn, tôi có thể nói rằng sự phụ thuộc quá mức vào cả Xác thực dựa trên thông tin Xác thực và sở hữu đã dẫn đến một vòng luẩn quẩn trong đó các tổ chức bị mắc kẹt trong trạng thái phản ứng và phát hiện các mối đe dọa hơn là phòng ngừa, tạo ra một "ngành" gánh nặng hành chính trong bảo mật thông tin.

Sự phân đôi loại điều khiển: Phòng ngừa so với Phát hiện

Câu hỏi: Matt, có thể làm gì để chống lại các mối đe dọa đối với hệ thống Xác thực?

Một: Nói chung, các tổ chức quá tập trung vào những gì làm tổn thương họ ngay bây giờ - họ liên tục dập tắt đám cháy do mật khẩu yếu và Xác thực dựa trên sở hữu, vì vậy các chuyên gia bảo mật thông tin quá bận rộn (hoặc không có tất cả thông tin họ cần) để nhận ra có một cách tốt hơn nhiều.

Công nghệ sinh trắc học cung cấp một cách tiếp cận tốt hơn để bảo mật. Có một hiệu quả độc đáo trong việc áp dụng một sản phẩm trưởng thành và đáng tin cậy đảm bảo danh tính thực sự của người dùng từ xa.

An ninh mạng có thể được chia thành các biện pháp kiểm soát phòng ngừa và thám tử. An ninh mạng có truyền thống tập trung vào các biện pháp kiểm soát thám tử, vốn cực kỳ tốn kém.

Hãy nghĩ Giới thiệu nó như thế này: đó là sự khác biệt giữa việc trả tiền cho ai đó đi bộ xung quanh tòa nhà của bạn để xem có ai đột nhập không, so với việc chỉ đơn giản là khóa cửa. Trong sự tương tự này, sinh trắc học là khóa - ngăn chặn phần lớn các vấn đề của bạn ở giai đoạn sớm nhất. Theo nghĩa đó, công nghệ iProov là biện pháp phòng ngừa cuối cùng.

Ngoài ra, chi phí của một hệ thống năng lực an ninh mạng trưởng thành trong một tổ chức nhất định là thiên văn; các yếu tố như Trung tâm điều hành bảo mật (SOC), nhân sự, ứng phó sự cố, thuê ngoài, API, Tích hợp và nền tảng thông tin Giới thiệu mối đe dọa đều cộng lại. Nhưng chi phí của một Giải pháp sống sinh trắc học có khả năng phục hồi thấp hơn nhiều.

iProov cung cấp Trung tâm điều hành an ninh iProov (iSOC) như một phần của Giải pháp sinh trắc học. Thông qua iSOC, iProov giám sát lưu lượng truy cập trong thời gian thực để phát hiện các mẫu tấn công trên nhiều khu vực địa lý, thiết bị và nền tảng. iSOC cung cấp độ sâu của khả năng hiển thị và bề rộng kiểm soát như thể bạn đang phát triển công nghệ nội bộ của riêng mình, với lợi thế là không có chi phí bổ sung. Tất cả các Giải pháp đều được hỗ trợ, nâng cao và nâng cấp mà không cần thêm thời gian, chi phí hoặc tài nguyên.

Ngoài ra, những kẻ tấn công này biết rằng nhân viên nghỉ làm vào các ngày lễ hoặc nghỉ cuối tuần vào một thời điểm nhất định vào thứ Sáu, vì vậy chúng phối hợp các cuộc tấn công vào thời điểm đó. Đó là lý do tại sao các quy trình tự động lại quan trọng.

Cuối cùng, một quy trình MFA kết hợp công nghệ sinh trắc học phù hợp để đảm bảo sự hiện diện thực sự sẽ lấy đi một lượng lớn nỗi đau và căng thẳng đó bằng cách tập trung vào phòng ngừa.

Suy nghĩ kết luận Giới thiệu xu hướng thông tin Giới thiệu mối đe dọa

Q: Cảm ơn Matt! Bất kỳ suy nghĩ kết thúc?

A: Mọi người phải hiểu rằng rất khó để xác định các cuộc tấn công AI tạo ra như deepfake hoặc gần đây hơn là hoán đổi khuôn mặt - đặc biệt là bằng mắt thường. Đầu ra gian lận có thể trông hoàn toàn giống thật và rất khác so với đầu vào thực tế. Chúng ta không thể chỉ dựa vào con người để phát hiện các cuộc tấn công AI.

Lưu ý: Trong một cuộc khảo sát của iProov, 57% người trả lời trên toàn cầu cho biết họ có thể phân biệt được video thật và video deepfake , tăng so với mức 37% vào năm 2019. Tuy nhiên, IDIAP tiết lộ rằng trên thực tế, chỉ có 24% người tham gia nghiên cứu của họ có thể phát hiện ra video deepfake. Một video deepfake cao cấp thực sự không thể phân biệt được với video thật bằng mắt thường.

Nếu chúng ta xem xét các Giải pháp sinh trắc học khác nhau, chúng có thể cung cấp các mức độ đảm bảo rất khác nhau rằng một Xác thực nhất định là một con người sống và không phải là giả mạo. Vì vậy, giáo dục là cần thiết Giới thiệu các loại sinh động và công nghệ khác nhau có sẵn - sự khác biệt giữa khung đơn, đa khung, thụ động, chủ động, v.v. - và tại sao cần có một Giải pháp quan trọng như vậy.

Câu hỏi " làm sao chúng ta có thể chắc chắn về danh tính của ai đó trực tuyến? " là một chủ đề cực kỳ quan trọng và nghiêm túc, và nó sẽ không biến mất. Xác thực và xác minh yếu có nghĩa là biên giới yếu hơn tại điểm du lịch, tài khoản trực tuyến bị xâm phạm, bảo mật thông tin yếu hơn, v.v. Tôi lo lắng rằng đối với một số người, sinh trắc học vẫn được coi là khoa học viễn tưởng - vì nó có thật, cần thiết và cần thiết hơn bao giờ hết.

Nhắc nhở: báo cáo mới nhất của chúng tôi, “iProov Biometric Threat Intelligence”, là báo cáo đầu tiên thuộc loại này. Bên trong, chúng tôi làm sáng tỏ các mô hình tấn công chính đã chứng kiến. Báo cáo nêu bật các mô hình tấn công sinh trắc học trong quá trình sản xuất chưa từng biết đến trước đây, để các tổ chức có thể đưa ra quyết định sáng suốt về công nghệ nào và mức độ bảo mật nào để triển khai. Đọc báo cáo đầy đủ tại đây.