随着网络钓鱼和帐户接管在大流行的趋势下愈演愈烈,基于风险的身份验证(RBA)它的重要性开始突出。它可以成为保护公司资产的关键技术,特别是在远程工作日益传统的情况下。
基于风险的身份验证是什么?
基于风险的身份验证(RBA),也被称为自适应身份验证,其重点是检查信号,包括地理位置、用户行为、键模式和连接类型。简单地说,它动态地调整了基于用户当前情况的身份验证需求。例如,当用户试图从以前不相关的地理位置或IP地址验证时,可能会面临额外的身份验证要求。
不断变化的RBA市场
自2013年Experian收购41st Parameter自身份验证领域以来,企业并购案例较多:
- Equifax收购Kount;
- Lexis/Nexis Risk Solutions收购ThreatMetrix;
- Transunion收购Iovation;
- Quest Software收购OneLogin;
- Vasco更名为OneSpan;
- RSA将Fraud Manager拆分为Outseer;
- Easy Solutions现在是Appgate的一部分;
- Ping Identity收购SecureTouch;
在所有这些活动的背后,RBA已分为两半主要市场:交易/欺诈防御和企业身份验证。此外,一半可视为一些供应商正在使用的无密码品牌。虽然最后一个用例不是完全自适应/提升身份验证,但结合一系列身份验证因素的概念有助于促进RBA全面普及。
值得注意的是,一些合并案件也涉及主要的信用局。这表明,RBA从不稳定的信息安全技术发展到主流有多快。
推动RBA采用身份验证趋势
多因素身份验证已成为常态
去年10月,谷歌强制在自己的账户中实施多因素身份验证(MFA),并获得了网络钓鱼和账户泄露迅速减少的结果。这也有助于促进更高的实现RBA由于推出,采用率RBA以前,你需要将MFA实施到位。
其他两项核心技术更受关注,FIDOv2和OpenID Connect标准。它们都取得了很大的进步,现在大部分都是五个端点操作系统(Windows、MacOS、Linux、Android和iOS)接受和实施。
担心生物特征数据的使用
由于欧盟《通用数据保护法》(GDPR)以及其他类似的规定,如何使用生物特征数据、这些数据的存储位置以及如何通过身份验证基础设施越来越敏感。最近,美国国家税务局宣布不再使用涉及面部识别的第三方验证,这就是最好的例子。RBA使用这些生物识别特征有助于控制您的安全设备。
威胁正变得更加复杂
RBA将继续在对抗最新的复杂威胁(例如分期付款的日益普及)方面发挥作用。
EMV 3-D Secure利用率日益提高
支付供应商仍在继续开发EMV 3-D Secure(3DS)标准,标准结合RBA打击交易欺诈的方法。RBA供应商已经开始将标准集中在他们的工具中。支付和信贷供应商——包括万事达卡NuData安全业务-现在可以访问涉及数十亿交易的庞大语料库,可以作为欺诈的早期预警来应对升级挑战。
RBA产品
列表中的关键供应商包括:
- Appgate RBA;
- Cisco/Duo Security;
- Entersekt身份验证;
- iProov;
- Lexis/Nexis风险解决方案;
- Okta(提供自我和Auth0产品线);
- OneLogin;
- OneSpan智能自适应验证;
- Outseer欺诈管理器;
- PingID(提供一系列产品);
- Silverfort;
- Thales Safenet可信访问;
该领域的其他供应商,包括Iovation、Kount、IBM Security的验证访问(Verity Access)、HID全球风险管理(Global Risk Management)、SecureAuth和Transmit Security等等。
RBA定价
大多数RBA供应商对定价含糊不清。RBA有两个主要市场:一个是交易或欺诈测试业务,另一个是传统的根据最终用户身份验证业务。
但也有三个例外:Duo、Ping和Okta。Duo具有直观的定价页面,以清晰、信息丰富的方式列出别的可用功能,具有直观的定价页面;Ping定价也是透明的;Okta自身产品及Auth0产品线都有明确的定价页面。
许多供应商为最高级别的产品开免费试用渠道,一些供应商(如Duo和Auth0)甚至提供永久免费项目,缺点是免费项目一般功能有限。
RBA产品对比
1. Appgate RBA
Medina Capital于2017年收购了Easy Solutions,后者成为新的安全基础设施公司Cyxtera部分。2020年1月,Cyxtera将包括RBA网络安全部门分为新公司,包括解决方案AppGate。供应商为此RBA增加了行为生物识别技术、基于挑战响应的一次性软密码令牌身份验证应用程序和改进的机器学习功能。AppGate还计划为DetectTA和DetectID开发基于Web的管理控制台;提供整个套件中用户活动的单一窗格;将自己基于网络的现有行为生物识别技术扩展到移动应用SDK。
该公司有交易定价,并表示每年约有600万次登录的中型组织将支付1万美元的固定费用,额外的交易将支付额外的费用。他们没有自己的身份提供商,但通过SAML和Radius连接支持 Active Directory、Google、Salesforce、SugarCRM等。
2. Cisco/Duo Security
自几年前开始Cisco收购以来,Duo其身份验证产品不断增强,身份验证工具集合功能齐全。
虽然Duo Security身份验证功能的范围是细粒度和深度,但管理RBA流程和策略没有达到应有的水平。例如,您可以跟踪用户位置、设备硬件指纹、行为因素、正在运行的应用程序等。然而,根据这些不同的信号制定最佳行动可能仍然存在一些不足。此外,任何生物特征数据都被加密并存储在端点安全隔断中(secure enclave)中。
Duo支持各种身份提供商,包括Okta、Google和Active Directory。它还支持FIDOv2标准和设备,是的OpenID共享信号工作组的主要参与者。正如上述,Duo定价是透明和清晰的,应该是仍然隐藏其成本结构的供应商的榜样。该公司每月处理数十亿笔交易。
3. Entersekt身份验证
Entersekt总部位于南非开普敦,近十年来主要提供金融服务交易安全。它最近将业务扩展到劳动力用户身份验证市场。Entersekt没有自己的身份提供商,但通过SAML和OAuth支持其他身份提供商。它与端点安全可靠的硬件一起存储私人加密钥,并检测安装在手机上的越狱和有害应用程序。
Entersekt包括位置、指纹硬件和NuData评分安全交易语料库中的风险信号,以建立每笔交易的风险概况。FIDO设备及标准。Entersekt根据用户定价提供交易定价和定价模型。
4. iProov
iProov它是另一家拥有十年历史的安全供应商,为开发人员提供软件开发工具包(SDK),而不是交钥匙(turn-key)应用程序套件。iProov私人数据不会存储,只会在短时间内检查用户的初始登录。客户可以将临时数据存储的生命周期指定为12小时至1个月。
iProov支持身份提供商,包括ID.me、Ping Identity和Jumio.com。它提供两种模式:交易定价和用户定价。iProov在伦敦圣潘克拉斯火车站参加了一个有趣的实验,乘客只需扫描脸就可以登上欧洲之星列车。
5. Lexis/Nexis风险解决方案
该公司于2018年收购ThreatMetrix,之后建立了复杂的RBA提供一系列移动服务SDK和基于Java现在几乎每个大银行和大多数大型保险公司都在使用这些工具。Lexis/Nexis使用其庞大的语料库进行风险解决方案(该公司每小时处理超过85亿台设备2.71亿笔交易)检测交易欺诈,并为身份验证提供信号。
基于三个不同层次的端点识别:cookie的ExactID、基于Java的SmartID使用加密签名StrongID私钥存储在手机或桌面的安全隔断中。它支持最新的EMV 3DS协议。Lexis/Nexis提供交易定价模式。
6. Okta
Okta提供两条产品线:一是Auth0自适应多因素身份验证(MFA)。Auth0 拥有完善的风险信号集,包括不可能的行程(从远处连续多次登录)、已知的恶意IP地址、机器人检测、独立攻击保护和凭证保护(Credential Guard)服务密码泄漏检测适用于企业计划。它的定价是透明的,有两种定价模式:永久免费计划和每月23美元(不是基于每个用户,而是基于交易)。RBA/MFA仅在企业级计划中提供功能,需要额外支付。
Okta包括自己的产品线MFA7000种不同产品的工具和大量的身份验证策略,以及大量的不同编程语言和框架API参考。Okta风险生态系统API通过新的第三方解决方案(包括机器人检测和Web防火墙提供商应用程序Fastly、HUMAN、F5 Networks和PerimeterX)获取外部风险信号,增强其内置风险评分系统。Okta的FastPass无密码产品适用于单点登录产品。
该公司还提供了一个透明的定价页面RBA起价为5美元/用户/月的普通用户计划。MFA定价为6美元/用户/月。企业级计划的交易定价方案起价为3.6万美元/年。
7. OneLogin
OneLogin现在是One Identity访问管理组件的解决方案。OneLogin RBA功能由其Vigilance AI动态风险引擎为每次身份验证尝试评分,并分配适当的操作和登录过程。该产品还提供动态和智能因素的身份验证,并检查损坏的凭证,以防止用户使用暴露或重复的密码。
OneLogin设备上的硬件指纹识别不存储任何生物特征数据。FIDO2/WebAuthn附加标准MFA(包括使用Yubico密钥、FaceID和Windows Hello),并将其存储在安全端点隔区。OneLogin能同步自己的IDP以及Google Workspace、AD、Azure AD、LDAP等等。普通用户的定价范围为2-6美元/位/月。
8. OneSpan智能自适应验证
Vasco更改名称OneSpan,并添加到解决方案组合中RBA。供应商主要专注于金融服务,并不断扩大其金融技术集成和合作伙伴关系。
OneSpan智能自适应验证可以定义规则范围(开始和结束日期),并有一套非常全面、产品化和捆绑的罐装规则模板集。其移动应用程序SDK支持移动应用程序的应用程序屏蔽(防篡改)和收集设备上下文变量进行风险评分。然而,基于威胁情报的解决方案不明确、内置和设备ID热点列表;机器学习应商之后,机器学习不是显式可配置的;对于第三方MFA身份验证器,无威胁情报集成、用户自助服务或开箱产品支持;只有少数仪表板,解决方案不提供共享设备和用户声誉服务;解决方案可能非常适合Vasco / OneSpan MFA软件和硬件身份验证器上进行了现有投资的组织,或者是注重价值,在更全面的解决方案上寻求基本功能的组织。OneSpan定价尚未披露。
9. Outseer欺诈管理器
RSA通过拆分其欺诈和风险情报事业部,成立了Outseer,为全球客户和合作伙伴社区提供服务。Outseer所有传统产品都是通过新建的产品组合提供的:
Outseer Fraud Manager:(原名RSA Adaptive Authentication)利用基于风险的账户监控决策,保护所有数字渠道的客户;
Outseer 3-D Secure:(原名RSA Adaptive Authentication for eCommerce)无卡支付和数字支付验证的黄金标准符合最新标准EMV 3-D Secure标准;
Outseer FraudAction:(原名RSA FraudAction)提供与钓鱼网站、流氓应用程序和欺诈性社交媒体页面相关的快速检测、清除和数据洞察力;
这些获奖产品共同作为支付验证、账户泄露欺诈检测和欺诈调查的基准,为全球知名商家、发行银行和支付提供商带来无障碍的客户体验。Outseer支付验证产品将继续创新,紧随其后EMV 3-D Secure 2.x新技术集成在支付和商业生态系统中。
10. PingOne系列产品
PingOne它是一系列身份验证产品,可用于支持各种配置RBA验证和交易工作流身份。该公司去年收购了它SecureTouch并更名为PingOne Fraud,该产品专注于行为分析,识别受损设备和其它可疑信号。PingID其他产品集中工具包括:
PingOne Risk它是一种风险管理引擎,可以评估各种信号;
PingOne Verify是自己的身份验证工具;
PingOne Authorize是其主要的RBA用户可以在其中设置身份验证规则和策略;
PingOne DaVinci是其最新的身份编排工具,可用于使用类似Visio创建自动化例程的流程图。
PingID30天免费试用计划为用户提供所有组件。它还有一个完整但令人困惑的定价页面。
11. Silverfort
Silverfort通过搭载Ping、Okta和Azure AD等现有身份提供商,对RBA采用不同的方法。它有一个全面的风险引擎,可以检测信号,包括行为变化和外部风险指标(如您的网络安全管理工具释放的信号)。它不使用任何软件代理来发现潜在的威胁和身份验证问题,如果你担心基于物联网的妥协,或者你不能很容易地监控和保护基于网络的设备,这将是至关重要的。它有基于用户的定价。
12. Thales Safenet可信访问
SafeNet可信访问是一种基于云的访问管理解决方案。它将单点登录的便利性与细粒度访问的安全性相结合,使组织能够简化和保护Web访问云应用程序。每次用户登录云应用程序,SafeNet可信访问都会验证用户的身份,评估应该适用何种访问策略,然后通过智能单点登录采用适当级别的身份验证。通过对其云生态系统更好的控制和可见性,SafeNet可信访问有助于组织防止数据泄露,安全迁移到云中,简化监管合规。
它是FIDO早期部署,通过SAML支持自己的身份提供商和其他身份提供商。NuData Security合作开发交易智能。Safenet基本价格是3.50包括所有美元/位/月MFA和RBA以及各种访问管理功能。
本文翻译自:https://www.csoonline.com/article/3651354/12-risk-based-authentication-tools-compared.html如果转载,请注明原始地址