隨著網(wǎng)絡(luò)釣魚(yú)和帳戶接管在大流行的趨勢(shì)下愈演愈烈，基于風(fēng)險(xiǎn)的身份驗(yàn)證(RBA)的重要性開(kāi)始凸顯。它可以成為保護(hù)公司資產(chǎn)的關(guān)鍵技術(shù)，尤其是在遠(yuǎn)程工作日漸走向常規(guī)的情況下。

什么是基于風(fēng)險(xiǎn)的身份驗(yàn)證?

基于風(fēng)險(xiǎn)的身份驗(yàn)證(RBA)，也稱為自適應(yīng)身份驗(yàn)證，它的重點(diǎn)在于檢查“信號(hào)”，包括地理位置、用戶行為、擊鍵模式和連接類型等因素。簡(jiǎn)單來(lái)說(shuō)，它是基于用戶當(dāng)前的情況，動(dòng)態(tài)地調(diào)整身份驗(yàn)證需求。例如，當(dāng)用戶試圖從一個(gè)以前沒(méi)有關(guān)聯(lián)的地理位置或IP地址進(jìn)行身份驗(yàn)證時(shí)，可能會(huì)面臨額外的身份驗(yàn)證要求。

不斷變化的RBA市場(chǎng)

自2013年Experian收購(gòu)41st Parameter以來(lái)，身份驗(yàn)證領(lǐng)域已經(jīng)發(fā)生了很多企業(yè)并購(gòu)案例：

• Equifax收購(gòu)Kount;
• Lexis/Nexis Risk Solutions收購(gòu)ThreatMetrix;
• Transunion收購(gòu)Iovation;
• Quest Software收購(gòu)OneLogin;
• Vasco更名為OneSpan;
• RSA將Fraud Manager拆分為Outseer;
• Easy Solutions現(xiàn)在是Appgate的一部分;
• Ping Identity收購(gòu)SecureTouch;

在所有這些活動(dòng)的背后，RBA已經(jīng)分裂為“兩個(gè)半”主要市場(chǎng)：交易/欺詐防御和企業(yè)身份驗(yàn)證。另外那“一半”可以被認(rèn)為是一些供應(yīng)商正在使用的無(wú)密碼品牌。雖然最后一個(gè)用例不是完全的自適應(yīng)/遞升式身份驗(yàn)證，但結(jié)合一系列身份驗(yàn)證因素的概念有助于推動(dòng)RBA的全面普及。

值得注意的是，其中一些合并案例還涉及主要的信用局。這表明RBA從一種不穩(wěn)定的信息安全技術(shù)發(fā)展成為主流的速度有多快。

推動(dòng)RBA采用的身份驗(yàn)證趨勢(shì)

多因素身份驗(yàn)證成為常態(tài)

去年10月，谷歌在其自己的賬戶中強(qiáng)制實(shí)施了多因素身份驗(yàn)證(MFA)，并且已經(jīng)收獲了網(wǎng)絡(luò)釣魚(yú)和賬戶泄露迅速減少的戰(zhàn)果。這也有助于推動(dòng)實(shí)現(xiàn)更高的RBA采用率，因?yàn)樵谕瞥鯮BA之前，您需要將MFA實(shí)施到位。

其他兩項(xiàng)受到更多關(guān)注的核心技術(shù)包括，F(xiàn)IDOv2和OpenID Connect標(biāo)準(zhǔn)。它們都取得了長(zhǎng)足的進(jìn)步，且現(xiàn)在大多數(shù)都已被所有五個(gè)端點(diǎn)操作系統(tǒng)(Windows、MacOS、Linux、Android和iOS)所接受和實(shí)施。

對(duì)使用生物特征數(shù)據(jù)的擔(dān)憂

得益于歐盟《通用數(shù)據(jù)保護(hù)法案》(GDPR)及其他同類規(guī)定的陸續(xù)出臺(tái)，有關(guān)“安全工具如何利用生物特征數(shù)據(jù)、這些數(shù)據(jù)的存儲(chǔ)位置，以及它如何遍歷身份驗(yàn)證基礎(chǔ)設(shè)施”等問(wèn)題的敏感度越來(lái)越高。最近，美國(guó)國(guó)稅局宣布不再使用涉及面部識(shí)別的第三方驗(yàn)證，便是最好的例子。使用RBA有助于控制您的安全設(shè)備使用這些生物識(shí)別特征的方式。

威脅正變得更加復(fù)雜

RBA將繼續(xù)在對(duì)抗最新的復(fù)雜威脅(例如分期付款的日益普及)方面發(fā)揮作用。

EMV 3-D Secure采用率日益增多

支付供應(yīng)商仍在繼續(xù)開(kāi)發(fā)EMV 3-D Secure(3DS)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)結(jié)合了RBA方法來(lái)打擊交易欺詐。一些RBA供應(yīng)商已經(jīng)開(kāi)始將該標(biāo)準(zhǔn)納入他們的工具集中。支付和信貸供應(yīng)商——包括萬(wàn)事達(dá)卡的NuData安全業(yè)務(wù)——現(xiàn)在可以訪問(wèn)涉及數(shù)十億筆交易的龐大語(yǔ)料庫(kù)，他們可以將其用作欺詐的早期預(yù)警，以應(yīng)對(duì)升級(jí)挑戰(zhàn)。

RBA產(chǎn)品

此次榜單中的關(guān)鍵供應(yīng)商包括：

• Appgate RBA;
• Cisco/Duo Security;
• Entersekt身份驗(yàn)證;
• iProov;
• Lexis/Nexis風(fēng)險(xiǎn)解決方案;
• Okta(提供自身和Auth0產(chǎn)品線);
• OneLogin;
• OneSpan智能自適應(yīng)驗(yàn)證;
• Outseer欺詐管理器;
• PingID(提供一系列產(chǎn)品);
• Silverfort;
• Thales Safenet可信訪問(wèn);

該領(lǐng)域的其他供應(yīng)商，包括Iovation、Kount、IBM Security的驗(yàn)證訪問(wèn)(Verity Access)、HID的全球風(fēng)險(xiǎn)管理(Global Risk Management)、SecureAuth和Transmit Security等等。

RBA定價(jià)

大多數(shù)RBA供應(yīng)商對(duì)定價(jià)都含糊其辭。目前，RBA有兩大主要市場(chǎng)：一種方案用于交易或欺詐檢測(cè)業(yè)務(wù)，另一種方案為傳統(tǒng)的按最終用戶身份驗(yàn)證業(yè)務(wù)。

不過(guò)也有三個(gè)例外：Duo、Ping和Okta。Duo擁有直觀的定價(jià)頁(yè)面，以清晰且信息豐富的方式列出了各種定價(jià)級(jí)別以及每個(gè)級(jí)別的可用功能;Ping的定價(jià)也是透明化的;Okta自身產(chǎn)品及Auth0產(chǎn)品線都有明確的定價(jià)頁(yè)面。

許多供應(yīng)商都開(kāi)通了針對(duì)最高級(jí)產(chǎn)品的免費(fèi)試用渠道，有些供應(yīng)商(如Duo和Auth0)甚至提供了永久免費(fèi)項(xiàng)目，缺點(diǎn)是免費(fèi)項(xiàng)目一般功能有限。

RBA產(chǎn)品對(duì)比

1. Appgate RBA

Medina Capital于2017年收購(gòu)了Easy Solutions，后者成為新的安全基礎(chǔ)設(shè)施公司Cyxtera的一部分。2020年1月，Cyxtera將包括RBA解決方案在內(nèi)的網(wǎng)絡(luò)安全部門(mén)拆分為一家新公司AppGate。該供應(yīng)商為其RBA增加了行為生物識(shí)別技術(shù)，自己的基于挑戰(zhàn)響應(yīng)的一次性軟密碼令牌身份驗(yàn)證應(yīng)用程序，以及改進(jìn)的機(jī)器學(xué)習(xí)功能。未來(lái)，AppGate還計(jì)劃為DetectTA和DetectID開(kāi)發(fā)基于Web的管理控制臺(tái);提供整個(gè)套件中用戶活動(dòng)的單一窗格;將自己基于網(wǎng)絡(luò)的現(xiàn)有行為生物識(shí)別技術(shù)擴(kuò)展到移動(dòng)應(yīng)用SDK。

該公司有交易定價(jià)，并表示每年約有600萬(wàn)次登錄的中型組織將支付10,000美元的固定費(fèi)用，額外交易需支付附加費(fèi)。他們沒(méi)有自己的身份提供商，但通過(guò)SAML和Radius連接支持 Active Directory、Google、Salesforce、SugarCRM等。

2. Cisco/Duo Security

自從幾年前被Cisco收購(gòu)以來(lái)，Duo一直在不斷增強(qiáng)其身份驗(yàn)證產(chǎn)品，并擁有功能齊全的身份驗(yàn)證工具集合。

雖然Duo Security身份驗(yàn)證功能的范圍是細(xì)粒度和深入的，但管理RBA流程和策略并沒(méi)有達(dá)到應(yīng)有的水平。例如，您可以跟蹤用戶位置、設(shè)備硬件指紋、行為因素、正在運(yùn)行的應(yīng)用程序等等。但是，根據(jù)這些不同的信號(hào)制定最佳行動(dòng)可能仍存在一些不足。此外，任何生物特征數(shù)據(jù)都被加密并存儲(chǔ)在端點(diǎn)安全隔區(qū)(secure enclave)中。

Duo支持多種身份提供商，包括Okta、Google和Active Directory。它還支持FIDOv2標(biāo)準(zhǔn)和設(shè)備，是OpenID共享信號(hào)工作組的主要參與者。正如上所述，Duo的定價(jià)是透明且清晰的，應(yīng)該成為仍然隱藏其費(fèi)用結(jié)構(gòu)的供應(yīng)商的榜樣。該公司每月處理數(shù)十億筆交易。

3. Entersekt身份驗(yàn)證

Entersekt總部位于南非開(kāi)普敦，在過(guò)去十年中主要提供金融服務(wù)交易安全。它最近已將業(yè)務(wù)擴(kuò)展到勞動(dòng)力用戶身份驗(yàn)證市場(chǎng)。Entersekt沒(méi)有自己的身份提供商，但通過(guò)SAML和OAuth支持其他身份提供商。它與端點(diǎn)安全可信硬件一起存儲(chǔ)私有加密密鑰，并檢測(cè)手機(jī)上安裝的越獄和有害應(yīng)用程序。

Entersekt對(duì)包括位置、指紋硬件和NuData安全交易語(yǔ)料庫(kù)在內(nèi)的風(fēng)險(xiǎn)信號(hào)進(jìn)行評(píng)分，以建立每筆交易的風(fēng)險(xiǎn)概況。它支持FIDO設(shè)備和標(biāo)準(zhǔn)。Entersekt提供交易定價(jià)和按用戶定價(jià)兩種定價(jià)模型。

4. iProov

iProov是另一個(gè)擁有十年歷史的安全供應(yīng)商，它為開(kāi)發(fā)人員提供軟件開(kāi)發(fā)工具包(SDK)，而非“交鑰匙”(turn-key)應(yīng)用程序套件。iProov不會(huì)存儲(chǔ)私人數(shù)據(jù)，只會(huì)在短時(shí)間內(nèi)檢查用戶的初始登錄?？蛻艨梢詾榇伺R時(shí)數(shù)據(jù)存儲(chǔ)的生命周期指定12小時(shí)到一個(gè)月的范圍。

iProov支持身份提供商，包括ID.me、Ping Identity和Jumio.com。它提供交易定價(jià)和按用戶定價(jià)兩種模式。iProov曾在倫敦圣潘克拉斯火車(chē)站參與了一項(xiàng)有趣的試驗(yàn)，乘客只需掃描面部即可登上歐洲之星列車(chē)。

5. Lexis/Nexis風(fēng)險(xiǎn)解決方案

該公司于2018年收購(gòu)了ThreatMetrix，此后建立了復(fù)雜的RBA業(yè)務(wù)，提供一系列移動(dòng)SDK和基于Java的工具，現(xiàn)在幾乎每家大型銀行和大多數(shù)大型保險(xiǎn)公司都在使用這些工具。 Lexis/Nexis風(fēng)險(xiǎn)解決方案使用其龐大的語(yǔ)料庫(kù)(該公司每小時(shí)處理超過(guò)85億臺(tái)設(shè)備的超過(guò)2.7億筆交易)來(lái)檢測(cè)交易欺詐并為身份驗(yàn)證提供信號(hào)。

它提供三種不同級(jí)別的端點(diǎn)識(shí)別：基于cookie的ExactID、基于Java的SmartID以及使用加密簽名的StrongID系統(tǒng)，其中私鑰存儲(chǔ)在手機(jī)或桌面的安全隔區(qū)中。它支持最新的EMV 3DS協(xié)議。Lexis/Nexis提供交易定價(jià)模式。

6. Okta

Okta提供兩條產(chǎn)品線：首先是Auth0的自適應(yīng)多因素身份驗(yàn)證(MFA)。Auth0 擁有完善的風(fēng)險(xiǎn)信號(hào)集，包括“不可能的行程”(從相距很遠(yuǎn)的位置連續(xù)發(fā)生多次登錄)、已知的惡意IP地址、機(jī)器人檢測(cè)，以及通過(guò)其獨(dú)立的攻擊保護(hù)和憑據(jù)防護(hù)(Credential Guard)服務(wù)進(jìn)行的密碼泄露檢測(cè)，適用于企業(yè)級(jí)計(jì)劃。它的定價(jià)是透明的，有永久免費(fèi)計(jì)劃和每月23美元起兩種定價(jià)模式(不是基于每個(gè)用戶，而是基于交易)。任何RBA/MFA功能僅在企業(yè)級(jí)計(jì)劃中提供，需額外付費(fèi)。

Okta自己的產(chǎn)品線包括其MFA工具和針對(duì)7,000種不同產(chǎn)品的大量身份驗(yàn)證策略，以及針對(duì)不同編程語(yǔ)言和框架的大量API參考。Okta的風(fēng)險(xiǎn)生態(tài)系統(tǒng)API通過(guò)從新的第三方解決方案(包括機(jī)器人檢測(cè)和Web應(yīng)用程序防火墻提供商Fastly、HUMAN、F5 Networks和PerimeterX)處獲取外部風(fēng)險(xiǎn)信號(hào)，來(lái)增強(qiáng)其內(nèi)置風(fēng)險(xiǎn)評(píng)分系統(tǒng)。Okta的FastPass無(wú)密碼產(chǎn)品適用于其單點(diǎn)登錄產(chǎn)品。

該公司還有一個(gè)透明的定價(jià)頁(yè)面，提供RBA的普通用戶計(jì)劃，起價(jià)為5美元/用戶/月。自適應(yīng)MFA定價(jià)為6美元/用戶/月。企業(yè)級(jí)計(jì)劃的交易定價(jià)方案起價(jià)為36,000美元/年。

7. OneLogin

OneLogin現(xiàn)在是One Identity解決方案的訪問(wèn)管理組件。OneLogin RBA功能由其Vigilance AI動(dòng)態(tài)風(fēng)險(xiǎn)引擎提供，該引擎對(duì)每次身份驗(yàn)證嘗試進(jìn)行評(píng)分，并分配適當(dāng)?shù)牟僮骱偷卿浟鞒獭Ｔ摦a(chǎn)品還提供動(dòng)態(tài)智能因素身份驗(yàn)證，并檢查受損憑證，以防止用戶使用已暴露或重復(fù)密碼。

OneLogin不存儲(chǔ)任何生物特征數(shù)據(jù)，并支持設(shè)備上的硬件指紋識(shí)別。支持FIDO2/WebAuthn標(biāo)準(zhǔn)作為附加MFA(包括使用Yubico密鑰、FaceID和Windows Hello)，并將其存儲(chǔ)在安全端點(diǎn)隔區(qū)中。OneLogin可以同步自己的IDP以及Google Workspace、AD、Azure AD、LDAP等。普通用戶的定價(jià)范圍為2至6美元/位/月。

8. OneSpan智能自適應(yīng)驗(yàn)證

Vasco將其名稱更改為OneSpan，并在其解決方案組合中添加了RBA。該供應(yīng)商主要專注于金融服務(wù)，并且正在不斷擴(kuò)展其金融科技集成和合作伙伴關(guān)系組合。

OneSpan智能自適應(yīng)驗(yàn)證可以進(jìn)行規(guī)則范圍界定(開(kāi)始和結(jié)束日期)，并具有一套非常全面的，產(chǎn)品化的和捆綁的罐裝規(guī)則模板集。其移動(dòng)應(yīng)用程序SDK支持移動(dòng)應(yīng)用程序的應(yīng)用程序屏蔽(防篡改)以及收集設(shè)備上下文變量以進(jìn)行風(fēng)險(xiǎn)評(píng)分。不過(guò)，該解決方案沒(méi)有明確的，內(nèi)置的，基于威脅情報(bào)的設(shè)備ID熱點(diǎn)列表;機(jī)器學(xué)習(xí)不是顯式可配置的，而在其他供應(yīng)商之后;對(duì)于第三方MFA身份驗(yàn)證器，沒(méi)有威脅情報(bào)集成，用戶自助服務(wù)或開(kāi)箱即用的產(chǎn)品化支持;只有很少的儀表板，該解決方案不提供共享的設(shè)備和用戶信譽(yù)服務(wù);該解決方案可能非常適合已在Vasco / OneSpan MFA軟件和硬件身份驗(yàn)證器上進(jìn)行了現(xiàn)有投資的組織，或者是注重價(jià)值，在更全面的解決方案上尋求基本功能的組織。OneSpan目前暫未透露定價(jià)。

9. Outseer欺詐管理器

RSA通過(guò)拆分其欺詐與風(fēng)險(xiǎn)情報(bào)事業(yè)部，成立了Outseer，為全球客戶和合作伙伴社區(qū)提供服務(wù)。Outseer正在通過(guò)新構(gòu)建的產(chǎn)品組合提供所有傳統(tǒng)產(chǎn)品：

Outseer Fraud Manager：(原名RSA Adaptive Authentication)利用基于風(fēng)險(xiǎn)的賬戶監(jiān)控決策為所有數(shù)字渠道的客戶提供保護(hù);

Outseer 3-D Secure：(原名RSA Adaptive Authentication for eCommerce)無(wú)卡支付和數(shù)字支付驗(yàn)證的黃金標(biāo)準(zhǔn)，符合最新的EMV 3-D Secure標(biāo)準(zhǔn);

Outseer FraudAction：(原名RSA FraudAction)提供與釣魚(yú)網(wǎng)站、流氓應(yīng)用程序和欺詐性社交媒體頁(yè)面有關(guān)的快速檢測(cè)、清除和數(shù)據(jù)洞察力;

這些屢獲殊榮的產(chǎn)品共同作為支付驗(yàn)證、賬戶泄露欺詐檢測(cè)和欺詐調(diào)查的基準(zhǔn)，同時(shí)為全球知名商戶、發(fā)行銀行和支付提供商帶來(lái)無(wú)礙的客戶體驗(yàn)。未來(lái)，Outseer將繼續(xù)革新支付驗(yàn)證產(chǎn)品，緊隨EMV 3-D Secure 2.x支付標(biāo)準(zhǔn)，并在支付和商業(yè)生態(tài)系統(tǒng)中整合新技術(shù)。

10. PingOne系列產(chǎn)品

PingOne是一系列身份驗(yàn)證產(chǎn)品，可用于各種配置，以支持RBA進(jìn)行工作流身份驗(yàn)證和交易。該公司去年收購(gòu)了SecureTouch并將其更名為PingOne Fraud，該產(chǎn)品著眼于行為分析并識(shí)別受損設(shè)備和其他可疑信號(hào)。PingID產(chǎn)品集中的其他工具包括：

PingOne Risk是它的風(fēng)險(xiǎn)管理引擎，可以評(píng)估各種信號(hào);

PingOne Verify是它自己的身份驗(yàn)證工具;

PingOne Authorize是其主要的RBA工具，用戶可以在其中設(shè)置身份驗(yàn)證規(guī)則和策略;

PingOne DaVinci是其最新的身份編排工具，可用于使用類似Visio的流程圖創(chuàng)建自動(dòng)化例程。

PingID為用戶提供所有組件的30天免費(fèi)試用計(jì)劃。它還有一個(gè)完整但令人困惑的定價(jià)頁(yè)面。

11. Silverfort

Silverfort通過(guò)搭載Ping、Okta和Azure AD等現(xiàn)有身份提供商，對(duì)RBA采取了不同的方法。它有一個(gè)全面的風(fēng)險(xiǎn)引擎，可以檢測(cè)包括行為變化和外部風(fēng)險(xiǎn)指標(biāo)(例如您的網(wǎng)絡(luò)安全管理工具釋放的信號(hào))在內(nèi)的信號(hào)。它不使用任何軟件代理來(lái)找出潛在的威脅和身份驗(yàn)證問(wèn)題，如果您擔(dān)心基于物聯(lián)網(wǎng)的妥協(xié)，或無(wú)法輕松監(jiān)控及保護(hù)基于網(wǎng)絡(luò)的設(shè)備，這一點(diǎn)將十分關(guān)鍵。它具有基于用戶的定價(jià)。

12. Thales Safenet可信訪問(wèn)

SafeNet可信訪問(wèn)是一種基于云的訪問(wèn)管理解決方案，它將單點(diǎn)登錄的便利性與細(xì)粒度的訪問(wèn)安全性相結(jié)合，使組織能夠簡(jiǎn)化和保護(hù)對(duì)Web和云應(yīng)用程序的訪問(wèn)。每次用戶登錄到云應(yīng)用程序時(shí)，SafeNet可信訪問(wèn)都會(huì)驗(yàn)證用戶的身份，評(píng)估應(yīng)該適用何種訪問(wèn)策略，然后通過(guò)智能單點(diǎn)登錄采用適當(dāng)級(jí)別的身份驗(yàn)證。通過(guò)對(duì)其云生態(tài)系統(tǒng)更好的控制和可見(jiàn)性，SafeNet可信訪問(wèn)可幫助組織防止數(shù)據(jù)泄露，安全地遷移到云并簡(jiǎn)化監(jiān)管合規(guī)。

它是FIDO的早期部署，通過(guò)SAML支持自己的身份提供商和其他身份提供商。它已與NuData Security合作開(kāi)發(fā)交易智能。Safenet的基本價(jià)格為3.50美元/位/月，其中包括所有MFA和RBA選項(xiàng)以及各種訪問(wèn)管理功能。

本文翻譯自：https://www.csoonline.com/article/3651354/12-risk-based-authentication-tools-compared.html如若轉(zhuǎn)載，請(qǐng)注明原文地址