随着大流行期间网络钓鱼和帐户接管的增加,基于风险的身份验证(RBA)的重要性凸显出来。它可以成为保护公司资产的一项关键技术,尤其是在远程工作变得越来越常规的情况下。什么是基于风险的身份验证?基于风险的身份验证(RBA),也称为自适应身份验证,侧重于检查“信号”,包括地理位置、用户行为、击键模式和连接类型等因素。简单来说,就是根据用户当前的情况,动态调整认证要求。例如,当用户尝试从以前未关联的地理位置或IP地址进行身份验证时,可能会面临额外的身份验证要求。不断变化的RBA市场自Experian于2013年收购41stParameter以来,认证领域出现了许多企业并购:Equifax收购了Kount;Lexis/NexisRiskSolutions收购了ThreatMetrix;Transunion收购了Iovation;QuestSoftware收购了OneLogin;Vasco更名为OneSpanRSA将FraudManager拆分为Outseer;EasySolutions现在是Appgate的一部分;PingIdentity收购SecureTouch;在这一切活动的背后,RBA已经分裂成“两个半”的主要市场:交易/防欺诈和企业认证。另一“一半”可以被认为是一些供应商正在使用的无密码品牌。虽然最后一个用例不是完全自适应/升级身份验证,但结合一系列身份验证因素的概念可能有助于推动RBA的普遍采用。值得注意的是,其中一些合并案件还涉及主要征信机构。它显示了RBA从不稳定的信息安全技术转变为主流的速度有多快。身份验证趋势推动RBA采用多因素身份验证成为常态谷歌去年10月强制要求其自己的帐户进行多因素身份验证(MFA),并且已经从网络钓鱼和帐户泄露事件的迅速减少中获得了回报。这也有助于提高RBA的采用率,因为您需要在推出RBA之前准备好MFA。另外两项受到更多关注的核心技术包括FIDOv2和OpenIDConnect标准。它们都取得了长足的进步,现在大多数都被所有五种端点操作系统(Windows、MacOS、Linux、Android和iOS)所接受和实施。欧盟《通用数据保护法案》(GDPR)和其他关于“安全工具如何使用生物识别数据、存储在何处以及如何遍历身份验证基础设施”的类似法规加剧了对生物识别数据使用的担忧。问题越来越多。美国国税局最近宣布不再使用涉及面部识别的第三方验证就是一个很好的例子。使用RBA有助于控制您的安全设备如何使用这些生物识别技术。威胁越来越复杂澳大利亚央行将继续在应对最新的复杂威胁方面发挥作用,例如分期付款的日益普及。EMV3-DSecure采用率不断提高支付提供商继续开发EMV3-DSecure(3DS)标准,该标准结合了RBA方法来打击交易欺诈。一些RBA供应商已经开始将该标准整合到他们的工具集中。支付和信贷提供商——包括万事达卡的NuData安全业务——现在可以访问包含数十亿笔交易的庞大语料库,他们可以将这些交易用作欺诈的早期预警,以应对不断升级的挑战。此RBA产品列表中的主要供应商包括:AppgateRBA;思科/Duo安全;企业认证;iProov;Lexis/Nexis风险解决方案;Okta(提供自己的和Auth0产品线);登录;OneSpan智能自适应验证;Outseer欺诈经理;PingID(提供一系列产品);银堡;ThalesSafenet可信访问;该领域的其他供应商包括Iovation、Kount、IBMSecurity的VerityAccess、HID的全球风险管理(GlobalRiskManagement)、SecureAuth和TransmitSecurity等。RBA定价大多数RBA供应商对定价含糊不清。目前RBA有两个主要市场:一个方案用于交易或欺诈检测业务,另一个方案是终端用户的传统认证业务。不过,有三个例外:Duo、Ping和Okta。Duo有一个直观的定价页面,以清晰和信息丰富的方式列出各种定价级别和每个级别可用的功能;Ping的定价也很透明;Okta自己的产品和Auth0产品线都有明确的定价页面。许多提供商为最先进的产品提供免费试用,有些(例如Duo和Auth0)甚至提供永久免费程序。缺点是免费程序通常功能有限。RBA产品对比1.AppgateRBAMedinaCapital于2017年收购了EasySolutions,EasySolutions成为新的安全基础设施公司Cyxtera的一部分。2020年1月,Cyxtera将其网络安全部门(包括RBASolutions)拆分为一家新公司AppGate。该供应商在其RBA中添加了行为生物识别技术,这是其自己的基于质询-响应的一次性软密码令牌身份验证应用程序,并改进了机器学习功能。未来,AppGate还计划为DetectTA和DetectID开发基于web的管理控制台;为整个套件的用户活动提供单一管理平台;并将其现有的基于网络的行为生物识别技术扩展到移动应用程序SDK。该公司有交易定价,并表示每年约有600万次登录的中型组织将支付10,000美元的固定费用,并对额外交易收取附加费。他们没有自己的身份提供者,但通过SAML和Radius连接支持ActiveDirectory、Google、Salesforce、SugarCRM等。2.Cisco/DuoSecurity自从几年前被Cisco收购以来,Duo不断增强其身份验证产品并拥有功能齐全的身份验证工具集合。虽然DuoSecurity的身份验证功能范围精细且深入,但管理RBA流程和策略并不尽如人意。例如,您可以跟踪用户位置、设备硬件指纹、行为因素、正在运行的应用程序等。然而,基于这些不同的信号制定最佳行动可能仍然存在一些缺点。此外,任何生物识别数据都经过加密并存储在端点安全区域中。Duo支持各种身份提供商,包括Okta、Google和ActiveDirectory。它还支持FIDOv2标准和设备,并且是OpenID共享信号工作组的主要参与者。如上所述,Duo的定价透明明了,应该为仍然隐藏其费用结构的提供商树立榜样。该公司每月处理数十亿笔交易。3、Entersekt认证Entersekt总部位于南非开普敦,过去十年主要提供金融服务交易安全。它最近已扩展到劳动力用户身份验证市场。Entersekt没有自己的身份提供者,但通过SAML和OAuth支持其他身份提供者。它存储私有加密密钥以及端点安全可信硬件,并检测手机上安装的越狱和不需要的应用程序。Entersekt对风险信号进行评分,包括位置、指纹硬件和NuData安全交易语料库,为每笔交易建立风险概况。它支持FIDO设备和标准。Entersekt提供两种定价模式,交易定价和每用户定价。4.iProoviProov是另一家拥有十年历史的安全供应商,它为开发人员提供软件开发工具包(SDK)而不是“交钥匙”应用程序套件。iProov不存储私人数据,仅在短时间内检查用户的初始登录。客户可以指定此临时数据存储的生命周期,范围从12小时到1个月不等。iProov支持包括ID.me、PingIdentity和Jumio.com在内的身份提供商。它提供交易定价和每用户定价。iProov在??伦敦圣潘克拉斯车站参与了一项有趣的试验,乘客只需扫描面部即可登上欧洲之星列车。5.Lexis/NexisRiskSolutions于2018年收购了ThreatMetrix,此后建立了成熟的RBA业务,提供一系列移动SDK和基于Java的工具,现在几乎所有主要银行和大多数主要保险公司都在使用这些工具。Lexis/NexisRiskSolutions使用其庞大的语料库(该公司每小时在超过85亿台设备上处理超过2.7亿笔交易)来检测交易欺诈并提供身份验证信号。它提供三种不同级别的端点识别:基于cookie的ExactID、基于Java的SmartID和使用加密签名的StrongID系统,其中私钥存储在手机或台式机的安全隔间中。它支持最新的EMV3DS协议。Lexis/Nexis提供交易定价模型。6.OktaOkta提供两条产品线:第一条是Auth0的AdaptiveMulti-FactorAuthentication(MFA)。Auth0有一套完善的风险信号,包括“不可能的旅行”(从相隔很远的位置连续发生多次登录)、已知的恶意IP地址、机器人检测,以及通过其独立的攻击保护和CredentialGuard(密码泄露检测由CredentialGuard服务,可在企业级计划中使用。它的定价是透明的,有一个永远免费的计划和两种定价模式,起价为每月23美元(不是基于每个用户,而是基于交易)。任何RBA/MFA功能仅在企业计划中提供,需额外付费。Okta自己的产品线包括其MFA工具和针对7,000种不同产品的广泛身份验证策略,以及针对不同编程语言和框架的大量API参考。Okta的风险生态系统API通过从新的第三方解决方案(包括机器人检测和Web应用程序防火墙提供商Fastly、HUMAN、F5Networks和PerimeterX)获取外部风险信号来增强其内置风险评分系统。Okta的FastPass无密码产品与其单点登录产品配合使用。该公司还有一个透明的定价页面,提供RBA的常规用户计划,起价为5美元/用户/月。自适应MFA的价格为6美元/用户/月。Enterprise计划的交易定价计划起价为每年36,000美元。7.OneLoginOneLogin现在是OneIdentity解决方案的访问管理组件。OneLoginRBA功能由其VigilanceAI动态风险引擎提供支持,该引擎对每次身份验证尝试进行评分并分配适当的操作和登录流程。该产品还提供动态智能因素身份验证并检查是否有泄露的凭据,以防止用户使用暴露或重复的密码。OneLogin不存储任何生物识别数据,并支持设备上的硬件指纹识别。支持FIDO2/WebAuthn标准作为额外的MFA(包括使用Yubico密钥、FaceID和WindowsHello)并将它们存储在安全端点隔间中。OneLogin可以同步自己的IDP和GoogleWorkspace、AD、AzureAD、LDAP等。普通用户的定价从2美元到6美元/人/月不等。8.OneSpanIntelligentAdaptiveValidationVasco更名为OneSpan,并将RBA添加到其解决方案组合中。该提供商主要专注于金融服务,并不断扩大其金融科技整合和合作伙伴关系的组合。OneSpanIntelligentAdaptiveValidation支持规则范围界定(开始和结束日期),并拥有一套非常全面的产品化和捆绑的固定规则模板。其移动应用SDK支持移动应用的应用屏蔽(防篡改)和收集设备上下文变量进行风险评分。尽管如此,该解决方案并没有一个明确的、内置的、基于威胁情报的设备ID热点列表;机器学习不是明确可配置的,这落后于其他供应商;第三方MFA身份验证器、用户自助服务或开箱即用的产品化支持没有威胁情报集成;该解决方案未提供的最小仪表板、共享设备和用户信誉服务;解决方案可能非常适合Vasco/OneSpanMFA软件和硬件身份验证组织,这些组织在服务器方面已有投资,或者非常适合在更全面的解决方案中寻找基本功能的注重价值的组织。OneSpan尚未透露定价。9.OutseerFraudManagerRSA通过剥离其欺诈和风险情报业务部门成立了Outseer,以服务于全球客户和合作伙伴社区。Outseer通过新构建的产品组合提供所有旧产品:Outseer3-DSecure:(以前称为RSA自适应身份验证)电子商务)无卡和数字支付验证的黄金标准,符合最新的EMV3-D安全标准;OutseerFraudAction:(以前称为RSAFraudAction)提供与钓鱼网站、流氓应用程序和欺诈性社交媒体页面相关的快速检测、清除和数据洞察;这些屡获殊荣的产品一起作为支付验证、账户泄露欺诈检测和欺诈调查的基准,同时为世界知名的商家、发卡银行和支付提供商提供无忧的客户体验。未来,Outseer将继续创新支付验证产品,紧跟EMV3-DSecure2.x支付标准,将新技术融入支付和商业生态。10.PingOne系列产品PingOne是一系列认证产品,可用于各种配置以支持RBA进行工作流认证和交易。该公司去年收购了SecureTouch,并将其重新命名为PingOneFraud,这是一款着眼于行为分析并识别受损设备和其他可疑信号的产品。PingID产品集中的其他工具包括:PingOneRisk,其评估各种信号的风险管理引擎;PingOneVerify,自带认证工具;和PingOneAuthorize,它的主要RBA工具,用户可以在其中设置身份验证规则和策略;PingOneDaVinci是其最新的身份编排工具,可用于使用类似Visio的流程图创建自动化例程。PingID为用户提供所有组件的30天免费试用计划。它还有一个完整但令人困惑的定价页面。11.SilverfortSilverfort通过搭载Ping、Okta和AzureAD等现有身份提供商,采用不同的RBA方法。它有一个全面的风险引擎,可以检测信号,包括行为变化和外部风险指标,例如网络安全管理工具发出的信号。它不使用任何软件代理来查找潜在威胁和身份验证问题,如果您担心基于物联网的危害,或者无法轻松监控和保护基于网络的设备,这一点至关重要。它具有基于用户的定价。12.ThalesSafenetTrustedAccessSafeNetTrustedAccess是一种基于云的访问管理解决方案,它结合了单点登录的便利性和精细的访问安全性,使组织能够简化和安全地访问Web和云应用程序访问。每次用户登录云应用程序时,SafeNetTrustedAccess都会验证用户的身份,评估应应用的访问策略,然后通过智能单点登录采用适当级别的身份验证。通过更好地控制和了解其云生态系统,SafeNetTrustedAccess可帮助组织防止数据泄露、安全地迁移到云并简化合规性。它是FIDO的早期部署,通过SAML支持自己的身份提供者和其他身份提供者。它与NuDataSecurity合作开发交易智能。Safenet的基本价格为3.50美元/人/月,其中包括所有MFA和RBA选项以及各种访问管理功能。本文翻译自:https://img.ydisp.cn/news/20220724/mirrtdtloln
