Badge’in cihazdan bağımsız MFA’sı kimlik güvenliğinde devrim yaratıyor

Kimlikler karanlık ağda en çok satanlar arasında yer alıyor; sağlık ve finans kayıtları, izlenebilirlik eksikliği ve kimlikleri korumaya yönelik genellikle hacklenebilir cihaza bağlı MFA tekniklerini içeren eski yaklaşımlar nedeniyle en değerliler arasında yer alıyor. Cihaz kimlik doğrulamasını zorlayan mevcut yaklaşımlar bu zorluğun üstesinden gelemiyor.

Kimlik doğrulama teknikleri, güven dayanağı olarak yalnızca cihazlara dayandığında, saldırganların istismar etmek için ticari becerilerini geliştirmeye devam edecekleri genişleyen boşluklar bırakıyorlar. Erişimin kimliğini doğrulamak için belirli cihazlara güvenmek, her kullanıcının işini bitirmek için deneyimlemesi gereken daha büyük sürtüşmeleri de beraberinde getirir. Saldırganlar, kimlik avı ve ortadaki rakip (AITM) saldırılarıyla birlikte kimlik doğrulama yorgunluk tekniklerini kullanıyor ve bunların tümü bir cihaz kurtarma sürecini ele geçirmeyi hedefliyor.

Kurucu ortak Tina Srivastava, “Rozet’i kurduğumuzda misyonumuz, kaybolabilecek veya çalınabilecek bir donanım cihazına güvenmek yerine dijital kimlikler için güven dayanağını insana taşıyarak kimlik doğrulamadaki en zor sorunlardan birini çözmekti” dedi. ile ilgili Rozetyakın tarihli bir röportaj sırasında VentureBeat’e söyledi.

“Kimlik doğrulama sürecindeki sırları ortadan kaldırıyoruz. Hem biyometri gibi insan kimliği hem de özel anahtar, Badge ile tamamen ortadan kaldırılıyor,” diye devam etti Srivastava.

Donanıma bağımlı MFA: Zorlayıcı bir saldırı hedefi

Siber suç çeteleri, sendikaları ve ulus devlet saldırganları, SIM değiştirme, AITM ve Living off the Land (LOTL) saldırı teknikleri ve teknolojilerinden oluşan cephaneliklerini genişletmeye devam ediyor. Sonuç: Sağlık hizmetleri, üretim, finansal hizmetler, fintech ve diğerleri de dahil olmak üzere dünyanın en riskli sektörleri kimlik tabanlı saldırılara karşı giderek daha savunmasız hale geliyor.

“Düşmanlar, çalınan kimliklerin kullanımını en üst düzeye çıkarmaya devam ediyor ve ‘karadan geçinerek’ savunucuların ağ görünürlüğünü en aza indirmeye çalışıyor ve bu nedenle, düşmanın yoğun bir şekilde incelendiğini bildiği uç noktadaki potansiyel göstergeleri veya uyarıları azaltıyor. Bu taktik, tehdit avcılarının düşman faaliyetlerini tipik kullanıcı ve sistem yöneticisi faaliyetlerinden ayırt etme yeteneğini engelliyor, “diye yazıyor CrowdStrike yakın zamanda piyasaya sürülenlerde 2024 Tehdit Avcılığı Raporu.

2024’te sağlık kuşatma altında. Daha da kötüsü, MFA’nın sektörde ara sıra uygulanması ve MFA’ya yönelik cihaza bağımlı yaklaşımların suç çeteleri ve ulus devlet saldırganları tarafından kırılması daha kolay hale geliyor. Gartner’ın son raporuna göre, “Çok faktörlü kimlik doğrulama (MFA) sağlam bir savunma hattı sağlayabilir, ancak çoğu zaman dengesiz bir şekilde uygulanıyor ve MFA uygulamalarına yönelik başarılı saldırılar artıyor.” Hesap Devralma Riskleri Nasıl Azaltılır.

Sağlık ve İnsan Hizmetleri’nin yakın tarihli bir kontrolü HHS İhlal Portalı 2024 yılından bu yana 45 milyondan fazla hasta kaydının ele geçirildiğini ortaya koyuyor. Hastaneler, klinikler ve tedavi merkezleri de dahil olmak üzere sağlık hizmeti sağlayıcıları yalnızca bu yıl 365 ihlal yaşadı ve bunların %86’sı ağlara yönelik BT tabanlı bir saldırıyla başladı.

Gartner’ın son raporuna göre, “Çok faktörlü kimlik doğrulama (MFA) sağlam bir savunma hattı sağlayabilir, ancak çoğu zaman dengesiz bir şekilde uygulanıyor ve MFA uygulamalarına yönelik başarılı saldırılar artıyor.” Hesap Devralma Riskleri Nasıl Azaltılır.

Cihazdan bağımsız MFA ihtiyacı

Srivastava, “Rozet ile cihaz bağımlılığı ortadan kalktı; insanlar yalnızca bir cihaz veya belirteçten ziyade kendi güven köklerine sahipler” diyor. Bu yaklaşımın yalnızca kimlik tabanlı güvenliği güçlendirmekle kalmayıp, aynı zamanda saldırganların sıklıkla hedef aldığı geri dönüş kimlik doğrulama süreçlerine olan ihtiyacı ortadan kaldırarak kullanıcı deneyimlerini de iyileştirdiğini açıkladı.

Badge’in cihazdan bağımsız MFA’sı, kullanıcıların herhangi bir cihaza bir kez kaydolmasına ve donanım belirteçleri veya depolanan biyometri olmadan tüm cihazlarında sorunsuz bir şekilde kimlik doğrulaması yapmasına olanak tanır. Kaynak: Rozet A.Ş.

Şirketin kuruluşundan bu yana kendisi ve ekibi, müşterilerinin donanıma bağlı kimlik doğrulama teknikleriyle gördüğü artan boşlukları kapatmak için sağlık, finans ve imalat sektörlerinde hızla ilerledi. Badge, sağlık ve finans alanlarında istikrarlı bir şekilde benimseniyor; firmalar ön saflardaki çalışanlarının bir kez kaydolmasını ve ardından tekrar kaydolmaya gerek kalmadan herhangi bir iş istasyonunda veya cihazda kimlik doğrulaması yapmasını istiyor.

Rozetin etkisi ve ortaklıkları

Badge, kuruluşlar genelinde cihazdan bağımsız MFA sağlama becerilerine dayalı olarak büyüyen bir iş ortağı tabanının ilgisini çekiyor. Ortaklıklar ve entegrasyonlar arasında Microsoft, Okta, PingIdentity, Radiant Logic, ForgeRock ve en son olarak Cisco DuoBir ortaklık için Badge’i arayan kişi.

“Rozet, yalnızca uygulamalar ve cihazlar arasındaki erişimi kolaylaştırmakla kalmıyor, aynı zamanda kimlik avı saldırıları veya kimlik bilgilerinin açığa çıkması riskini de önemli ölçüde azaltarak, onu güvenli ortamların bütünlüğünü korumak için vazgeçilmez bir araç haline getiriyor. Badge, bu önemli güvenlik ve kullanıcı deneyimi avantajını Duo kullanıcılarına sunmak için Cisco Duo ile ortaklık yapmaktan heyecan duyuyor,” dedi Srivastava VentureBeat’e.

Srivastava, Cisco Duo ile entegrasyonun yeni kimlik ve kimlik doğrulama kullanım durumlarının kilidini açtığını, aynı zamanda sürtünmeyi azalttığını ve doğrulanabilir kimlik bilgileri (VC’ler) kullanarak sorunsuz şifresiz kayıt olanağı sağladığını söylüyor.

Ortaklığı duyuran yakın tarihli bir blog yazısında, Badge’ın ortaklıklar ve teknolojiden sorumlu küresel başkanı Kyle Kilcoyne ve Cisco’nun teknoloji ortaklıkları yöneticisi Ginger Leishman şunları söyledi: yazdı, “Rozet, anlaşmazlıkları azaltmaya ve doğrulanmış kimlik bilgilerini (VC’ler) kullanarak sorunsuz, şifresiz kayıt sağlamaya yardımcı olmak için maliyet tasarrufu sağlayan bir çözüm sunuyor. Rozet, ilk Kimlik Doğrulama (IDV) kaydından yararlanır ve buradan kullanıcı, bu kimlik bilgilerine herhangi bir yerden, herhangi bir zamanda, herhangi bir cihazdan erişmek için kimlik doğrulaması yapabilir. Kullanıcının yaşam boyu yolculuğu boyunca tekrarlanan IDV’lere gerek yoktur. Bu, paradan ve kullanıcının hayal kırıklığından tasarruf sağlar.”

Cisco’nun gönderisi şöyle devam ediyor: “Kayıt sürecini basitleştirmenin yanı sıra Duo, Rozeti kullanan sertifikalı bir geçiş anahtarı sağlayıcısı olarak da çalışabilir ve böylece şifresiz Duo’nun yetenekleri.”

Rozetin gelecek vizyonu

“Rozet’u internetin kimlik arka panelinin temeli olarak görüyoruz. Srivastava, “Bu, herkesin dünyadaki her uygulamada kimlik doğrulaması yapmasının yolu olacak” diye tahmin ediyor.

Entegrasyon, Badge’ın büyümesinin anahtarıdır. Bu, Srivastava ve ekibinin, işletmeler arasında hızlı bir şekilde ölçeklenme yeteneklerinin anahtarı olarak gördükleri, üzerinde yoğunlaşmaya devam ettikleri bir alandır. “Rozet, OIDC gibi açık standartlarla takılabilir ve çalıştırılabilir. Yani bir şirkette Okta, Ping, Microsoft Azure AD veya benzeri sistemler kuruluysa, Badge açık standartlarla entegre olabilir,” dedi Srivastava.

Entegrasyonu geniş ölçekte büyümenin bir parçası olarak görmek, şirket kurulduğundan beri bir öncelik olmuştur. Bugün şirket, Oauth2, OpenID Connect, SAML ve FIDO standartlarını destekleyen sıfır kod entegrasyonuna sahiptir.

Srivastava, CISO’ların şirketle iletişim kurmaya devam ettiğini ve hızla büyüyen girişime uzmanlıklarını ve rehberliklerini sunduklarını belirtiyor. Buna yanıt olarak Badge bir CISO Konseyi oluşturdu. “Bize bunun bir parçası olmak isteyen, eşitlik isteyen ve Badge’in gelecek vizyonunun bir parçası olmak isteyen birçok insan geldi. Srivastava, aynı zamanda sektörü ve kimlik ve mahremiyet hakkındaki düşünceyi de şekillendirmek istiyorlar” dedi.

“CISO Konseyimize katılan Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) eski Kıdemli Yönetici Danışmanı Jeremy Grant, PKI’nın büyük bir savunucusudur. Savunma Bakanlığı’nda PKI ve CAC kartlarına yol açan orijinal mevzuatın yazılmasına yardım etti. Açık anahtar şifrelemesine her zaman önem vermiştir ancak Badge’in çözdüğü kullanılabilirlik zorluklarından etkilenmiştir” dedi. Jeremy Grant, Badge CISO Konseyi’ne katılırken şunları söyledi: “Kimliğe yönelik daha kullanıcı odaklı yaklaşımlar geliştirmeye çalışırken, Badge, temel güvenlik ve kullanılabilirlik zorluklarını ele almanın ve bir sonraki sınıra geçmenin umut verici bir yoludur.”

Kimliklerin kuşatma altında olduğu ve saldırganların cihaza bağımlı MFA’yı yenmek için yeni yollar aradığı bir ortamda, Badge’in kullanıcı yorgunluğunu ve riski azaltırken aynı zamanda güven dayanaklarını geniş ölçekte yeniden tanımlamaya yönelik yenilikçi yaklaşımı, kimlik odaklı siber saldırılarla karşı karşıya kalan her işletmeyi daha iyi korumak için gereklidir.