Federal kurumlar ve siber yetkililer kimlik avına karşı dayanıklı teknolojilerle kimliği ve erişim kimlik doğrulamasını modernize etmek ve benimsemek için yıllarca süren bir çabayı ilerletmeye çalışıyor.
Federal yetkililer, avantajları tartışmak ve ticari olarak mevcut kimlik doğrulama sürümlerini federal ortamlara dahil etmek için Pazartesi günü endüstri yöneticileriyle bir araya geldi. Konuşmalar bir rehber tarafından yönlendirildi. erken 2022 yetki tüm federal kurumların desteklemesi ve benimsemesi için kimlik avına dayanıklı çok faktörlü kimlik doğrulama önce Ekim 2024.
Federal CIO Clare Martorana etkinlikte “Çevrimiçi ortamda kim olduğumuzu nasıl kanıtladığımız, olumlu, sezgisel ve güvenilir bir dijital deneyim sağlamanın temel taşlarından biridir” dedi. Beyaz Saray okuması.
Ulusal Güvenlik Konseyi, Siber Güvenlik ve Altyapı Güvenliği Ajansı, Ulusal Siber Direktör Ofisi ve Yönetim ve Bütçe Ofisi yetkilileri, federal hükümetin siber güvenlik politikalarının hükümet ve kritik altyapı genelinde modern MFA’nın benimsenmesini nasıl daha iyi destekleyebileceğini araştırdı.
“Çevrimiçi ortamda güvende kalmak için bir paroladan daha fazlasına ihtiyacınız var ve işte burada MFA devreye girerek verilerinizin kötü niyetli siber aktörlere karşı daha iyi korunmasını sağlıyor.” CISA İcra Direktörü Brandon Wales söyledi. “CISA sürekli olarak kuruluşları MFA’yı uygulamaya çağırdı tüm kullanıcılar için kritik verilere erişimin daha zor olduğundan emin olmak için.”
Tehdit aktörleri, metin veya e-posta tabanlı tek seferlik geçiş kodlarına dayanan MFA’dan düzenli olarak kaçtığından, MFA’nın kimlik avına dayanıklı sürümleri kilit önemdedir. Kimlik avına dayanıklı MFA, geçiş anahtarları, biyometrikler gibi kriptografik tekniklere dayanır. WebAuthn özelliği ve FIDO2 standardı.
Kimlik avına dayanıklı MFA’nın benimsenmesini genişletmek için toplu baskı ve yaklaşmakta olan son tarih, hükümetin teknolojinin ticari olarak mevcut daha yeni sürümlerini gözden geçirirken yetişmesi gerektiğinin altını çiziyor.
“Federal hükümet içinde MFA’ya yönelik baskı yeni değil. Ancak, MFA’nın kamu sektörü kuruluşları tarafından benimsenmesi ve kullanılması, özel sektör muadillerinin gerisinde kalmıştır.” R Street Institute’ta siber güvenlik ve ortaya çıkan tehditler direktörü Brandon Pugh, e-posta yoluyla söyledi.
“MFA tam bir siber güvenlik çözümü değil ama onun önemli ve etkili bir unsuru. Federal hükümet, endüstri alanlarında zaten mevcut olan en iyi uygulamaları ve çözümleri öğrenmeli ve dikkate almalıdır,” dedi Pugh.
Eski sistemler, devlet kurumlarının yeni teknolojileri benimsemesinin önünde bir engel olmaya devam ediyor, ancak MFA, katı kimlik doğrulama gereksinimlerini karşılayan daha erişilebilir protokolleri içerecek şekilde gelişti.
“Aslında en çok zaman alacak olan eski şeyler ve bunlar çok yıllı projeler” dedi. Chester Wisniewski, Sophos’ta uygulamalı araştırmaların CTO’su. “12 ila 18 ay içinde bunların çoğu yapılmalı ve eğer yapılmazsa sorulacak çok soru olmalı.”
Wisniewski’ye göre iyi haber: “Hükümetin zorunlu kıldığı MFA, kimlik hırsızlığına neredeyse %100 dayanıklıdır, çünkü bir şeyi teslim etmeniz için öylece kandırılamazsınız.”
Wisniewski, kötü haber şu ki, bu kimlik avı sorununu çözse de kimlik sorununu tamamen çözmez çünkü tanımlama bilgileri web uygulamaları için hala çalınabilir, dedi Wisniewski.
Siber ve Gelişmekte Olan Teknolojiler için Ulusal Güvenlik Danışman Yardımcısı Anne Neuberger, MFA’yı kişisel bir öncelik olarak nitelendirerek olayı kapattı.
Neuberger, “Müşterilerin MFA’yı benimsemesi ve güvenli bir şekilde iş yapması için hükümet politikalarının sizin becerinize koyduğu engeller varsa, bunları bilmek istiyoruz” dedi. “Hassas verileri korumak açıkça kritik ve bu bizim ortak sorumluluğumuz.”