根據(jù)一項新的研究，越來越多的企業(yè)開始在設備上啟用生物特征認證來驗證訪問請求。

很多組織機構(gòu)在為應用程序和其他 IT 資源建立和加強訪問策略時，不再把網(wǎng)絡邊界作為信任指標。越來越多的企業(yè)開始實施一種身份驗證解決方案——無論用戶位置如何，每次嘗試訪問都要進行用戶身份驗證和設備安全檢查。數(shù)據(jù)顯示，企業(yè)越來越傾向于生物識別類型的身份驗證。

從本地 IT 基礎設施到云托管應用程序和服務的轉(zhuǎn)變，再加上自帶設備 (BYOD) 政策和漫游員工的增加，所有這些變化在過去 10 年里給企業(yè) IT 安全團隊帶來了重大挑戰(zhàn)。

應對這些挑戰(zhàn)的早期嘗試包括使用 VPN、網(wǎng)絡訪問控制 (NAC) 和移動設備管理 (MDM)，確保員工遠程使用的設備在進入企業(yè)內(nèi)部網(wǎng)絡之前是安全的。然而，惡意行為者也升級了自己的技術(shù)，企業(yè)網(wǎng)絡內(nèi)的惡意橫向移動是現(xiàn)在很多安全漏洞的常見要素。

這意味著在網(wǎng)絡邊界進行設備安全檢查，并允許那些連接到系統(tǒng)的人員無限制地訪問所有資源已經(jīng)不足以抵擋惡意攻擊了。設備在已經(jīng)進入網(wǎng)絡的情況下也可能會受到攻擊，證書也可能以各種方式被盜。

驗證用戶和設備

多因素認證 (MFA) 解決方案供應商 Duo Security(現(xiàn)在屬于 Cisco)的CISO顧問主管 Wendy Nather 表示：

同時，Nather 說道企業(yè)應該盡早、經(jīng)常性地進行檢查，而且如果在每次訪問請求的時候都進行檢查，則更有可能發(fā)現(xiàn)以前不知道的東西。

Duo 將此稱為 “零信任網(wǎng)絡安全原則”，其靈感來自于之前的去邊界化努力，如 2004 年的 Jericho 論壇、2014 年谷歌發(fā)布的 BeyondCorp 企業(yè)網(wǎng)絡安全方法以及 Gartner 的持續(xù)適應性風險和信任評估模型 (Continuous Adaptive Risk and Trust Assessment, CARTA)。

當然，企業(yè)網(wǎng)絡邊界不會很快就消失，也不需要消失。發(fā)生的變化是安全策略和訪問控制正重新聚焦于用戶和設備標識，無論這些用戶和他們訪問的設備在哪里：在云上還是在本地、遠程還是內(nèi)部。這也影響了認證方式以及組織機構(gòu)首選的驗證方法和設備。

生物識別認證正在崛起

在今天發(fā)布的2019 Duo信任訪問報告 (2019 Duo Trusted Access Report) 顯示，用于訪問商業(yè)應用程序的移動設備中，有 77% 配置了生物識別技術(shù)。超過三分之二的用戶使用基于移動設備推送的傳統(tǒng)驗證方法，例如通過電話和短信等進行身份驗證。該公司的數(shù)據(jù)顯示，在 Duo 的客戶中，通過短信發(fā)送身份驗證碼的方法只占到 2.8%。然而短信仍是在很多在線服務中廣泛使用的雙因素身份驗證方法。

Duo 的分析基于 5 億用戶的每月訪問請求，這些請求來自 2400 萬臺商業(yè)設備涵蓋了了超過 100 萬個企業(yè)應用程序和資源，包括內(nèi)部應用程序和云端應用程序。這些匿名數(shù)據(jù)涵蓋了所有領域內(nèi)的 15,000 多個組織機構(gòu)。

Duo 還發(fā)現(xiàn)，企業(yè)員工使用 iOS 設備的數(shù)量同比增長7%，使用Android設備的數(shù)量增長了 2%。Windows 仍然是企業(yè)設備上最常見的操作系統(tǒng)，占 47%。但其總體使用量實際上比去年下降了8%。好消息是，Windows 10 的使用率持續(xù)上升，目前占 Duo 觀察到的所有 Windows 終端設備的三分之二。

iOS、Android 和 Windows 10 的共同點在于，它們都支持某種形式的基于生物特征的身份驗證：蘋果設備有 Touch ID 和 Face ID, Android 有指紋傳感器，Windows 10 有 Windows Hello。

經(jīng)過驗證的訪問請求可以加速零日響應

為每個身份驗證請求驗證設備標識和安全性，還有助于 IT 安全團隊對已知的漏洞做出響應，并迫使用戶更快進行安全更新。其中一個例子是谷歌 Chrome 的一個零日漏洞，該漏洞于 3 月底公布，發(fā)現(xiàn)正在被利用。

在該漏洞被公布的當天，Duo 發(fā)現(xiàn)其產(chǎn)品使用過時的瀏覽器策略設置高達 79%，這導致身份驗證嘗試被拒絕的次數(shù)比正常情況高出 30 倍。這意味著 IT 安全團隊利用這個策略設置來響應安全威脅的速度要比通過網(wǎng)絡訪問控制更快。

根據(jù) Duo 的數(shù)據(jù)，用戶設備上最常過時的瀏覽器是 Microsoft Edge (73%)，其次是 Mozilla Firefox (35%)、Safari (23%) 和 Chrome (15%)。就操作系統(tǒng)而言，運行 Android 的設備最常被淘汰 (58%)，而 iOS 設備為 38%。

使用生物識別技術(shù)作為一種雙因素認證和用戶身份驗證的方式不僅被企業(yè)所采用，某些行業(yè)的監(jiān)管機構(gòu)也在推廣生物認證方式。作為修訂后的支付服務指令 (Payment Services Directive, PSD2) 的一部分，在線支付的新安全和認證要求將于 9 月在歐洲生效。該指令要求金融機構(gòu)將需要通過雙因素身份驗證進行在線交易，例如通過一個手機上支持生物識別驗證的應用程序。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文