A medida que entramos en una nueva década, es interesante ver cuánto hemos progresado en los últimos 10 años en términos de acceso y gestión de identidad. Cuando comenzó la década de 2010, solo el 38% de las violaciones de datos usaban credenciales robadas; en 2017, esta cifra fue del 81%. A medida que se acelera el ritmo de la digitalización, la garantía de identidad y acceso se ha convertido en un tema crítico y el control más importante para gestionar el riesgo digital.
Desde una base de datos de eBay robada con las credenciales de los empleados en 2014, hasta contraseñas por infracciones de alto nivel de compañías como Google, Yahoo y Hotmail, que salen a la venta en Internet. Web oscura La identidad ha estado en el centro de algunos de los principales incidentes de seguridad en la última década.
Sobre el autor
Jim Ducharme, vicepresidente de productos de identidad y fraude e inteligencia de riesgos de RSA Security.
A medida que nos hemos vuelto más dependientes de las interacciones digitales que dependen de las identidades, se han planteado nuevos desafíos de seguridad sin precedentes. Necesitamos poder confiar en el dispositivo, las redes y el usuario; incluso si a menudo ya no podemos ver quién o qué. La identidad se ha convertido en una debilidad crítica que los hackers explotan. Pero con el mayor enfoque en la identidad, las organizaciones también tienen la oportunidad de lograr un mejor equilibrio entre la seguridad del dispositivo, la innovación y la experiencia de autenticación de autenticación. Un empleado
Ya hemos visto un gran aumento en el robo de identidad, con credenciales para la venta y miles y contraseñas utilizadas para atacar a las empresas de manera maliciosa, pero la próxima década verá una evolución de seguridad de identidad, con estrategias de identidad seguras pero fáciles de usar en el horizonte. Desde el uso de nuevas tecnologías, incluidas las integradas en los teléfonos inteligentes actuales, hasta la eliminación total de la temida contraseña, podemos esperar los próximos diez Los años están transformando el impacto de la identidad en las empresas y los piratas informáticos de varias maneras clave:
1. El robo de credenciales se convierte en una apropiación indebida de credenciales
Seguimos viendo la misma tendencia de seguridad repetirse año tras año: las credenciales comprometidas son el vector de ataque número uno para los actores maliciosos; El mercado de credenciales comerciales robadas se ha convertido en un negocio en auge para los ciberdelincuentes en la última década. Sin embargo, en el futuro, podemos esperar que los hackers comiencen a mover sus ataques desde el mero uso de credenciales robadas disponibles en la web oscura hasta la infiltración de mecanismos. recuperación de contraseña para recopilar y luego restablecer las credenciales de los propios usuarios. En otras palabras, los atacantes tomarán con éxito el control de las identidades de los usuarios y las restaurarán con nuevos nombres de usuario y contraseñas, obteniendo así acceso a los recursos críticos de las organizaciones.
A medida que la superficie de ataque se aleja de simplemente intentar iniciar sesión con credenciales robadas, lo que está en juego será mucho más alto y requerirá un nuevo enfoque de seguridad centrado en monitorear a los empleados para probar que un usuario es lo que dice que es, incluso si aparentemente ha iniciado sesión legítimamente.
2. La autenticación "sin contraseña" está en el horizonte, pero debemos prepararnos para las consecuencias
A medida que las empresas continúen buscando formas de proteger a los usuarios mientras hacen que la seguridad sea lo más transparente e invisible posible, veremos un aumento dramático en aquellos que adoptan innovaciones de seguridad "sin contraseña". Pero si bien se está volviendo bastante común aprovechar la identificación facial o las huellas digitales, la mayoría de las autenticaciones sin contraseña todavía están arraigadas y dependen de la administración de contraseñas y nombres de usuario. Usuario para registrar y recuperar cuentas. Por esta razón, son realmente "menos contraseñas" en lugar de realmente "sin contraseñas". A medida que continúa el camino hacia la verdadera autenticación sin contraseña, las organizaciones también tendrán que pensar en las diversas necesidades de los usuarios en sus organizaciones, dada la dinámica en juego. Por ejemplo, como con cualquier cambio de TI, probablemente habrá una carga inicial y en evolución sobre el soporte del servicio de asistencia; los usuarios que no están obligados a usar una contraseña a diario están casi seguros de olvidar e ignorar las credenciales a un ritmo mayor, por lo que requieren más Asistencia que antes.
3. La autenticación necesitará un toque personal
A medida que avanzamos en el mundo sin una contraseña, las organizaciones de hoy se enfrentan a una gran cantidad de opciones cuando se trata de sus estrategias de autenticación. Gracias a la innovación y la tecnología en constante evolución, los usuarios ahora tienen muchos más recursos que nunca para verificar quiénes dicen que son y acceder a los recursos; notificaciones push, comportamientos, contraseñas de un solo uso, datos biométricos, tokens de hardware y más. Esto puede dificultar que las organizaciones elijan la estrategia de autenticación adecuada. Una cosa es segura: no habrá una solución única para las diversas necesidades de gestión de identidad y acceso en las diferentes organizaciones con una fuerza de trabajo dinámica. Podemos esperar ver organizaciones que tomen decisiones de autenticación mucho más personalizadas, para que puedan encontrar su propio equilibrio entre la seguridad y la experiencia del usuario.
4. Prepárese para el surgimiento de máquinas.
No solo los empleados presentarán nuevos desafíos de identidad en la próxima década: continuaremos interactuando con los dispositivos de nuevas maneras. Es solo cuestión de tiempo antes de que dispositivos inteligentes domésticos como Alexa, Siri, Google Home, bombillas inteligentes y dispositivos de acceso como cerraduras de puertas inteligentes comiencen a pasar Puramente dispositivos de consumo para operar en empresas y negocios. A medida que estas tecnologías de automatización nos ayudan en tareas cada vez más complejas, la necesidad de que estos dispositivos comprendan quién puede controlarlos y para quién actúan en su nombre será mucho más crítica. Por lo tanto, a medida que utilizamos asistencia personal basada en tecnología para partes más críticas de nuestras vidas y negocios, sin duda importará de quién "Siri" y otros dispositivos tomen el control.
¡Bienvenido a 2020!
A medida que la próxima década traiga nuevas tecnologías, nuevas oportunidades y nuevos desafíos, la identidad se convertirá en una prioridad en la conversación sobre ciberseguridad. Con los atacantes desarrollando formas más inteligentes de comprometer las credenciales y a medida que los dispositivos automatizados se extiendan en nuestro mundo corporativo, la identidad se convertirá en una clave y una oportunidad. Las líneas borrosas entre las tecnologías empresariales y de consumo significan que cualquier estrategia de identidad debe ser segura y práctica. El éxito consistirá en encontrar el equilibrio adecuado.