随着网络钓鱼和帐户接管在大流行的趋势下愈演愈烈,基于风险的身份验证(RBA)的重要性开始凸显。它可以成为保护公司资产的关键技术,尤其是在远程工作日渐走向常规的情况下。
什么是基于风险的身份验证?
基于风险的身份验证(RBA),也称为自适应身份验证,它的重点在于检查“信号”,包括地理位置、用户行为、击键模式和连接类型等因素。简单来说,它是基于用户当前的情况,动态地调整身份验证需求。例如,当用户试图从一个以前没有关联的地理位置或IP地址进行身份验证时,可能会面临额外的身份验证要求。
不断变化的RBA市场
自2013年Experian收购41st Parameter以来,身份验证领域已经发生了很多企业并购案例:
Equifax收购Kount;
Lexis/Nexis Risk Solutions收购ThreatMetrix;
Transunion收购Iovation;
Quest Software收购OneLogin;
Vasco更名为OneSpan;
RSA将Fraud Manager拆分为Outseer;
Easy Solutions现在是Appgate的一部分;
Ping Identity收购SecureTouch;
在所有这些活动的背后,RBA已经分裂为“两个半”主要市场:交易/欺诈防御和企业身份验证。另外那“一半”可以被认为是一些供应商正在使用的无密码品牌。虽然最后一个用例不是完全的自适应/递升式身份验证,但结合一系列身份验证因素的概念有助于推动RBA的全面普及。
值得注意的是,其中一些合并案例还涉及主要的信用局。这表明RBA从一种不稳定的信息安全技术发展成为主流的速度有多快。
推动RBA采用的身份验证趋势
多因素身份验证成为常态
去年10月,谷歌在其自己的账户中强制实施了多因素身份验证(MFA),并且已经收获了网络钓鱼和账户泄露迅速减少的战果。这也有助于推动实现更高的RBA采用率,因为在推出RBA之前,您需要将MFA实施到位。
其他两项受到更多关注的核心技术包括,FIDOv2和OpenID Connect标准。它们都取得了长足的进步,且现在大多数都已被所有五个端点操作系统(Windows、MacOS、Linux、Android和iOS)所接受和实施。
对使用生物特征数据的担忧
得益于欧盟《通用数据保护法案》(GDPR)及其他同类规定的陆续出台,有关“安全工具如何利用生物特征数据、这些数据的存储位置,以及它如何遍历身份验证基础设施”等问题的敏感度越来越高。最近,美国国税局宣布不再使用涉及面部识别的第三方验证,便是最好的例子。使用RBA有助于控制您的安全设备使用这些生物识别特征的方式。
威胁正变得更加复杂
RBA将继续在对抗最新的复杂威胁(例如分期付款的日益普及)方面发挥作用。
EMV 3-D Secure采用率日益增多
支付供应商仍在继续开发EMV 3-D Secure(3DS)标准,该标准结合了RBA方法来打击交易欺诈。一些RBA供应商已经开始将该标准纳入他们的工具集中。支付和信贷供应商——包括万事达卡的NuData安全业务——现在可以访问涉及数十亿笔交易的庞大语料库,他们可以将其用作欺诈的早期预警,以应对升级挑战。
RBA产品
此次榜单中的关键供应商包括:
Appgate RBA;
Cisco/Duo Security;
Entersekt身份验证;
iProov;
Lexis/Nexis风险解决方案;
Okta(提供自身和Auth0产品线);
OneLogin;
OneSpan智能自适应验证;
Outseer欺诈管理器;
PingID(提供一系列产品);
Silverfort;
Thales Safenet可信访问;
该领域的其他供应商,包括Iovation、Kount、IBM Security的验证访问(Verity Access)、HID的全球风险管理(Global Risk Management)、SecureAuth和Transmit Security等等。
RBA定价
大多数RBA供应商对定价都含糊其辞。目前,RBA有两大主要市场:一种方案用于交易或欺诈检测业务,另一种方案为传统的按最终用户身份验证业务。
不过也有三个例外:Duo、Ping和Okta。Duo拥有直观的定价页面,以清晰且信息丰富的方式列出了各种定价级别以及每个级别的可用功能;Ping的定价也是透明化的;Okta自身产品及Auth0产品线都有明确的定价页面。
许多供应商都开通了针对最高级产品的免费试用渠道,有些供应商(如Duo和Auth0)甚至提供了永久免费项目,缺点是免费项目一般功能有限。
RBA产品对比
1. Appgate RBA
Medina Capital于2017年收购了Easy Solutions,后者成为新的安全基础设施公司Cyxtera的一部分。2020年1月,Cyxtera将包括RBA解决方案在内的网络安全部门拆分为一家新公司AppGate。该供应商为其RBA增加了行为生物识别技术,自己的基于挑战响应的一次性软密码令牌身份验证应用程序,以及改进的机器学习功能。未来,AppGate还计划为DetectTA和DetectID开发基于Web的管理控制台;提供整个套件中用户活动的单一窗格;将自己基于网络的现有行为生物识别技术扩展到移动应用SDK。
该公司有交易定价,并表示每年约有600万次登录的中型组织将支付10,000美元的固定费用,额外交易需支付附加费。他们没有自己的身份提供商,但通过SAML和Radius连接支持 Active Directory、Google、Salesforce、SugarCRM等。
2. Cisco/Duo Security
自从几年前被Cisco收购以来,Duo一直在不断增强其身份验证产品,并拥有功能齐全的身份验证工具集合。
虽然Duo Security身份验证功能的范围是细粒度和深入的,但管理RBA流程和策略并没有达到应有的水平。例如,您可以跟踪用户位置、设备硬件指纹、行为因素、正在运行的应用程序等等。但是,根据这些不同的信号制定最佳行动可能仍存在一些不足。此外,任何生物特征数据都被加密并存储在端点安全隔区(secure enclave)中。
Duo支持多种身份提供商,包括Okta、Google和Active Directory。它还支持FIDOv2标准和设备,是OpenID共享信号工作组的主要参与者。正如上所述,Duo的定价是透明且清晰的,应该成为仍然隐藏其费用结构的供应商的榜样。该公司每月处理数十亿笔交易。
3. Entersekt身份验证
Entersekt总部位于南非开普敦,在过去十年中主要提供金融服务交易安全。它最近已将业务扩展到劳动力用户身份验证市场。Entersekt没有自己的身份提供商,但通过SAML和OAuth支持其他身份提供商。它与端点安全可信硬件一起存储私有加密密钥,并检测手机上安装的越狱和有害应用程序。
Entersekt对包括位置、指纹硬件和NuData安全交易语料库在内的风险信号进行评分,以建立每笔交易的风险概况。它支持FIDO设备和标准。Entersekt提供交易定价和按用户定价两种定价模型。
4. iProov
iProov是另一个拥有十年历史的安全供应商,它为开发人员提供软件开发工具包(SDK),而非“交钥匙”(turn-key)应用程序套件。iProov不会存储私人数据,只会在短时间内检查用户的初始登录。客户可以为此临时数据存储的生命周期指定12小时到一个月的范围。
iProov支持身份提供商,包括ID.me、Ping Identity和Jumio.com。它提供交易定价和按用户定价两种模式。iProov曾在伦敦圣潘克拉斯火车站参与了一项有趣的试验,乘客只需扫描面部即可登上欧洲之星列车。
5. Lexis/Nexis风险解决方案
该公司于2018年收购了ThreatMetrix,此后建立了复杂的RBA业务,提供一系列移动SDK和基于Java的工具,现在几乎每家大型银行和大多数大型保险公司都在使用这些工具。 Lexis/Nexis风险解决方案使用其庞大的语料库(该公司每小时处理超过85亿台设备的超过2.7亿笔交易)来检测交易欺诈并为身份验证提供信号。
它提供三种不同级别的端点识别:基于cookie的ExactID、基于Java的SmartID以及使用加密签名的StrongID系统,其中私钥存储在手机或桌面的安全隔区中。它支持最新的EMV 3DS协议。Lexis/Nexis提供交易定价模式。
6. Okta
Okta提供两条产品线:首先是Auth0的自适应多因素身份验证(MFA)。Auth0 拥有完善的风险信号集,包括“不可能的行程”(从相距很远的位置连续发生多次登录)、已知的恶意IP地址、机器人检测,以及通过其独立的攻击保护和凭据防护(Credential Guard)服务进行的密码泄露检测,适用于企业级计划。它的定价是透明的,有永久免费计划和每月23美元起两种定价模式(不是基于每个用户,而是基于交易)。任何RBA/MFA功能仅在企业级计划中提供,需额外付费。
Okta自己的产品线包括其MFA工具和针对7,000种不同产品的大量身份验证策略,以及针对不同编程语言和框架的大量API参考。Okta的风险生态系统API通过从新的第三方解决方案(包括机器人检测和Web应用程序防火墙提供商Fastly、HUMAN、F5 Networks和PerimeterX)处获取外部风险信号,来增强其内置风险评分系统。Okta的FastPass无密码产品适用于其单点登录产品。
该公司还有一个透明的定价页面,提供RBA的普通用户计划,起价为5美元/用户/月。自适应MFA定价为6美元/用户/月。企业级计划的交易定价方案起价为36,000美元/年。
7. OneLogin
OneLogin现在是One Identity解决方案的访问管理组件。OneLogin RBA功能由其Vigilance AI动态风险引擎提供,该引擎对每次身份验证尝试进行评分,并分配适当的操作和登录流程。该产品还提供动态智能因素身份验证,并检查受损凭证,以防止用户使用已暴露或重复密码。
OneLogin不存储任何生物特征数据,并支持设备上的硬件指纹识别。支持FIDO2/WebAuthn标准作为附加MFA(包括使用Yubico密钥、FaceID和Windows Hello),并将其存储在安全端点隔区中。OneLogin可以同步自己的IDP以及Google Workspace、AD、Azure AD、LDAP等。普通用户的定价范围为2至6美元/位/月。
8. OneSpan智能自适应验证
Vasco将其名称更改为OneSpan,并在其解决方案组合中添加了RBA。该供应商主要专注于金融服务,并且正在不断扩展其金融科技集成和合作伙伴关系组合。
OneSpan智能自适应验证可以进行规则范围界定(开始和结束日期),并具有一套非常全面的,产品化的和捆绑的罐装规则模板集。其移动应用程序SDK支持移动应用程序的应用程序屏蔽(防篡改)以及收集设备上下文变量以进行风险评分。不过,该解决方案没有明确的,内置的,基于威胁情报的设备ID热点列表;机器学习不是显式可配置的,而在其他供应商之后;对于第三方MFA身份验证器,没有威胁情报集成,用户自助服务或开箱即用的产品化支持;只有很少的仪表板,该解决方案不提供共享的设备和用户信誉服务;该解决方案可能非常适合已在Vasco / OneSpan MFA软件和硬件身份验证器上进行了现有投资的组织,或者是注重价值,在更全面的解决方案上寻求基本功能的组织。OneSpan目前暂未透露定价。
9. Outseer欺诈管理器
RSA通过拆分其欺诈与风险情报事业部,成立了Outseer,为全球客户和合作伙伴社区提供服务。Outseer正在通过新构建的产品组合提供所有传统产品:
Outseer Fraud Manager:(原名RSA Adaptive Authentication)利用基于风险的账户监控决策为所有数字渠道的客户提供保护;
Outseer 3-D Secure:(原名RSA Adaptive Authentication for eCommerce)无卡支付和数字支付验证的黄金标准,符合最新的EMV 3-D Secure标准;
Outseer FraudAction:(原名RSA FraudAction)提供与钓鱼网站、流氓应用程序和欺诈性社交媒体页面有关的快速检测、清除和数据洞察力
这些屡获殊荣的产品共同作为支付验证、账户泄露欺诈检测和欺诈调查的基准,同时为全球知名商户、发行银行和支付提供商带来无碍的客户体验。未来,Outseer将继续革新支付验证产品,紧随EMV 3-D Secure 2.x支付标准,并在支付和商业生态系统中整合新技术。
10. PingOne系列产品
PingOne是一系列身份验证产品,可用于各种配置,以支持RBA进行工作流身份验证和交易。该公司去年收购了SecureTouch并将其更名为PingOne Fraud,该产品着眼于行为分析并识别受损设备和其他可疑信号。PingID产品集中的其他工具包括:
PingOne Risk是它的风险管理引擎,可以评估各种信号;
PingOne Verify是它自己的身份验证工具;
PingOne Authorize是其主要的RBA工具,用户可以在其中设置身份验证规则和策略;
PingOne DaVinci是其最新的身份编排工具,可用于使用类似Visio的流程图创建自动化例程。
PingID为用户提供所有组件的30天免费试用计划。它还有一个完整但令人困惑的定价页面。
11. Silverfort
Silverfort通过搭载Ping、Okta和Azure AD等现有身份提供商,对RBA采取了不同的方法。它有一个全面的风险引擎,可以检测包括行为变化和外部风险指标(例如您的网络安全管理工具释放的信号)在内的信号。它不使用任何软件代理来找出潜在的威胁和身份验证问题,如果您担心基于物联网的妥协,或无法轻松监控及保护基于网络的设备,这一点将十分关键。它具有基于用户的定价。
12. Thales Safenet可信访问
SafeNet可信访问是一种基于云的访问管理解决方案,它将单点登录的便利性与细粒度的访问安全性相结合,使组织能够简化和保护对Web和云应用程序的访问。每次用户登录到云应用程序时,SafeNet可信访问都会验证用户的身份,评估应该适用何种访问策略,然后通过智能单点登录采用适当级别的身份验证。通过对其云生态系统更好的控制和可见性,SafeNet可信访问可帮助组织防止数据泄露,安全地迁移到云并简化监管合规。
它是FIDO的早期部署,通过SAML支持自己的身份提供商和其他身份提供商。它已与NuData Security合作开发交易智能。Safenet的基本价格为3.50美元/位/月,其中包括所有MFA和RBA选项以及各种访问管理功能。
本文翻译自:https://www.csoonline.com/article/3651354/12-risk-based-authentication-tools-compared.html如若转载,请注明原文地址