Die Rolle der dynamischen Autorisierung bei der Betrugsprävention

20.06.2022
-Minuten Lesezeit
Headshot of Adam Rusbridge Ping Identitys Senior Product Manager
Adam Rusbridge
Senior Product Manager

Einführung

Die Pandemie hat viele Unternehmen, unvorbereitet auf die plötzliche Verlagerung von persönlichen Interaktionen zu überwiegend digitalen Vorgängen, zurückgelassen. Von Banken und Einzelhändlern über Lebensmittelgeschäfte bis hin zu Gesundheitsdienstleistern: Unternehmen, die keine Systeme zur Unterstützung des sicheren Benutzerzugriffs von Geräten rund um die Uhr einsetzen, gefährden ihr Geschäft, ihre Mitarbeiter, Partner und Kunden. In der Ponemon-Studie The Real Cost of Online Fraud aus dem Jahr 2021 gaben 61 % der Befragten an, dass ihre Unternehmen nicht über die richtigen Technologien zur Eindämmung von Online-Finanzbetrug verfügen. 

 

Unternehmen, die sich noch in der Anfangsphase ihrer digitalen Transformation befinden, haben Mühe, mit neuen Marktteilnehmern mit besserem Kundenerlebnis Schritt zu halten, und verlieren Marktanteile. Außerdem öffneten sie sich für Angriffe bösartiger Akteure. Unternehmen, die eine rollenbasierte Zugriffskontrolle (RBAC) verwenden, einen grobkörnigen Ansatz, der effektiv war, wenn Benutzer und Systeme vor Ort waren, stellten fest, dass sie einen flexibleren Ansatz benötigten und migrierten zu einer identitätsdefinierten Sicherheitslösung, einer attributbasierten Zugriffskontrolle (ABAC) mit dynamischer Autorisierung. Dieser neue Ansatz kombiniert die zentrale Steuerung mit dem Kontext auf Benutzerebene, um Entscheidungen in Echtzeit zu treffen.

Hi, I'd like to talk to you today about identity defined security.
Many leading global companies have unlocked huge value in identity and access management solutions.
But putting identity at the core of your security architecture, you can reduce the risk of stolen credentials, eliminating the number one threat of breach in the enterprise.
Centralized access control to remove security holes and improve compliance.
Protect your customers and employee identity data from end to end.
And enforce both corporate data access policy and user preferences for data privacy.
Most organizations today still rely on a perimeter based approach to security.
This is made up of both the physical walls of their office and a network firewall.
This made sense when all the users applications and identities were inside this perimeter and the bad guys were on the outside.
But today, users and their devices are mobile.
And many SaaS enterprise applications and services are in the cloud, making a perimeter based approach to security ineffective in securing the enterprise.
To make matters even worse, users authenticate with many passwords giving hackers a much larger surface area for attack.
Well there's a better way, the Ping Identity platform makes identity a security cornerstone with five key capabilities.
First, single sign-on gives all of your users, your employees, customers and partners single-click access to SaaS, cloud, and legacy apps.
SSO from Ping lets you authenticate your users once, no matter where they are with a single set of corporate credentials, eliminating all of those insecure passwords and giving your organization a single authentication authority.
But since most organizations still rely on passwords for their corporate credentials, they're still susceptible to breach.
Multi-factor authentication or MFA allows your enterprise to move beyond passwords with a great user experience.
As users sign on, policy is evaluated using contextual data to determine if step up authentication beyond a password is necessary.
If so, they're prompted for another factor.
This is highly configurable, including one time pass codes via SMS, email or voice or maybe a user is prompted for a fingerprint on their device.
With MFA, hackers are denied access even with a stolen password.
Okay, so now your users are securely authenticated, but not every user should have access to all applications.
The access security capability will give your organization a central policy driven access control layer for all enterprise apps, whether they're in the cloud or on premises.
As users make requests to applications or to API's through a mobile application for instance, contextual data and attributes such as the application page requested, time of the day, network, session status, group, etc.
are used to evaluate authorization policy at the application page or API level and determine whether access is granted or denied.
Another challenge that many organizations face is keeping their customer and employee identity data safe and secure.
Many times identity data is scattered across many unsecure data stores and directories.
The Ping directory consolidates and secures your sensitive identity data at all phases during capture, and transit, at rest, or during reporting and logging.
It does this without sacrificing performance or scale.
In addition, most organizations are required to govern who has access to what data.
For instance, when a partner requests customer data maybe to fill an order, you may need to protect social security numbers or credit card data.
The Ping data governance capability enforces both corporate policy and user privacy preferences for all requested data from partners, various corporate groups or other applications.
Ensuring your organization complies with all relevant industry, geographic, or corporate policies.
The Ping Identity platform makes identity the new perimeter, strengthening corporate security, and ensuring regulatory compliance without sacrificing user experience.
Thank you.

Wie verbessert die dynamische Autorisierung die attributbasierte Zugriffskontrolle (ABAC)?

Die attributbasierte Zugriffskontrolle (ABAC) verbessert die Sicherheit, indem sie bei Autorisierungsentscheidungen mehr als nur die Rolle eines Benutzers berücksichtigt. Der Kontext eines Zugangsantrags gibt einen detaillierteren Einblick in die Situation. Da immer mehr Mitarbeiter von zu Hause aus arbeiten, müssen Unternehmen auf Betrüger achten, die versuchen, mit den gestohlenen Anmeldedaten eines Mitarbeiters in ihr System einzudringen. Durch Hinzufügen von Attributen bei der Autorisierungsentscheidung wird die Aktivität gekennzeichnet, wenn der Anmeldeversuch aus einem anderen Land erfolgt.  

 

Zu den Attributen können gehören:

 

  • Benutzer (z. B. Sicherheitsüberprüfung oder Alter)  

  • Ressource (z. B. Ressourcentyp oder Erstellungsdatum) 

  • Kontext (z. B. Ort oder Tageszeit)

 

Dynamische Autorisierung ist die Echtzeit-Durchsetzung der feinkörnigen Geschäftslogik in Bezug darauf, was Benutzer in welchem Kontext und zu welchem Zweck sehen und tun dürfen.

Wie funktioniert die dynamische Autorisierung?

Die dynamische Autorisierung beginnt damit, dass eine Anwendung, z. B. eine mobile App, dem zentralen Autorisierungssystem Daten zur Verfügung stellt, die die Art der Anfrage identifizieren. Beispiele hierfür sind ein Kunde, der auf sein E-Commerce-Konto zugreifen möchte, oder ein Mitarbeiter der Personalabteilung, der auf vertrauliche Mitarbeiterakten zugreifen möchte. Das zentrale Autorisierungssystem ist dann für die Sammlung der zusätzlichen Daten verantwortlich, die für die entsprechende Autorisierungsentscheidung erforderlich sind. Dazu könnten gehören:

 

  • Abrufen von zusätzlichem Kontext, wie z. B. Organisationsrollen und Benutzerattribute, aus einem Verzeichnisdienst

  • Prüfung von Cloud-basierten Diensten für Geräterisiken

  • Auswertung von Betrugs- und Risikosystemen, um den aktuellen Risikostatus des Nutzers zu ermitteln

Mehr Vertrauen durch richtlinienbasierte Zugriffskontrolle (PBAC)

Die dynamische Autorisierung beruht auf Richtlinien, die über ein einzelnes Attribut wie eine Rolle (z. B. Kunde oder Mitarbeiter der Personalabteilung) hinausgehen und den Kontext durch die Bewertung mehrerer Attribute (z. B. Tageszeit, IP-Adresse oder Art der Ressource) für die Entscheidungsfindung hinzufügen. Die Richtlinien, die ein Unternehmen einführt, leiten den Entscheidungsbaum für die Autorisierung jeder Zugriffsanfrage. Handlungen von hohem Wert, wie z. B. der Zugriff auf sensible Daten oder das Tätigen eines bedeutenden Kaufs, unterliegen anderen Richtlinien als der einfache Besuch einer Einzelhandelswebsite. In Situationen mit geringem Risiko kann die Benutzererfahrung reibungslos bleiben, aber bei Bedarf können Reibungsebenen hinzugefügt werden. Wenn beispielsweise ein Kunde, der eine Einzelhandelswebsite nur selten nutzt, plötzlich versucht, einen Kauf im Wert von 10.000 USD zu tätigen, kann eine verstärkte Authentifizierung mithilfe der Multi-Faktor-Authentifizierung (MFA) erforderlich sein, um sicherzustellen, dass sein Konto nicht von einem Betrüger übernommen wurde.

 

Risikosignale und Risikoträger

Unternehmen stehen immer unter dem Druck, ein Gleichgewicht zwischen Sicherheit und Reibung in der Kundenerfahrung zu finden.  Ein zunehmend attraktiver Ansatz besteht darin, das Nutzererlebnis auf der Grundlage des Vertrauens in den Nutzer anzupassen.

 

Woher wissen Sie, ob Sie einem Nutzer vertrauen können? Unternehmen nutzen in der Regel zahlreiche Datenquellen und Risikosignale, um zu entscheiden, ob der Zugang gewährt werden soll. Im Laufe der Zeit wird eine Vertrauensbeziehung aufgebaut, indem Signale von externen Betrugs- und Risikoanbietern zusammen mit Informationen über den Benutzer, seine Geräte und die Aktionen, die er durchführen möchte, verwendet werden. Datenanreicherung durch Risikoanbieter kann:

 

  • Niedrigere Betrugsraten

  • Verringerung der Anzahl von Fehlalarmen

  • Vermeiden Sie manuelle Überprüfungen und Rückbuchungen

  • Reibungsverluste beseitigen und den Umsatz steigern

Durch einen zentralisierten Ansatz werden die Autorisierungsrichtlinien von Entscheidungen auf Anwendungsebene entkoppelt, sodass die Betrugspräventionsteams konsistent und schneller auf Probleme im gesamten Unternehmen reagieren können. Die Instrumente zur Aufdeckung von Betrug werden ständig weiterentwickelt, und die Betrugspräventionsteams können die besten Risikosignale überprüfen und zu den Richtlinien hinzufügen, sobald sie erkannt werden.

Wie verhindert die dynamische Autorisierung Betrug?

Ein mehrschichtiger Ansatz zur Betrugsprävention ist immer die beste Option, da böswillige Akteure jeden Tag neue Wege finden, um Betrug zu begehen.  

 

 

As more transactions move online, the cost of online fraud is rising, And fraudsters are getting smarter.
Fraud prevention needs to happen throughout the Customer journey, and it needs to be invisible to legitimate users.
If providers, our customers get it wrong, they risk losing trust.
Market share, and millions of dollars.
With the PingOne cloud platform, fraud detection starts at the first interaction and continues through the entire customer journey.
Fraud signals.
Lead into authentication and authorization Decisions to stop fraudsters from creating accounts, logging in, and completing transactions.
Enterprises can orchestrate multiple fraud signals to ensure that they prevent fraud, But don't create friction for real users.
The PingOne Cloud platform provides actionable intelligence throughout the user journey.
Detection begins before registration and continues through authentication by analyzing Dozens of signals to analyze.
Distinguish real users from bots and bad actors.
These signals help identify bot attacks, new account fraud, and account takeover.
The signals evaluate and mitigate fraud in real time, leveraging dynamic authorization to Safeguard transactions and sensitive data as known users sign on, The Penguin Cloud platform assesses risk and steps up authentication when needed.
Enterprises can even leverage identity verification.
I needed to confirm a user's actual identity.
Multiple fraud signals from Ping and beyond can be orchestrated, Stopping fraudsters in their tracks and delivering extraordinary experiences to real Customers.
Detect fraudulent activity as it happens.
Mitigate risk and shut down fraudsters before loss occurs.
Apply learnings and reinforce your defenses, all while legitimate users transact with ease and confidence.

 

 

Betrug kann in jeder Phase der Nutzerreise vorkommen. Die Entwicklung strenger Richtlinien und die Ermittlung von Risikosignalen zur Eindämmung betrügerischer Aktivitäten sind Teil dieses vielschichtigen Ansatzes. Durch proaktives Erkennen verdächtiger Aktivitäten bei der Kontoerstellung, Kontoanmeldung, Profiländerungen, Transaktionsversuchen, Versuchen, auf sensible Daten zuzugreifen, und anderen Schritten in der Benutzerführung kann Betrug verhindert werden.

 

 

Im Rahmen eines mehrschichtigen Ansatzes haben einige Länder zusätzliche Maßnahmen zur Betrugsbekämpfung ergriffen. Im Vereinigten Königreich hilft die landesweite Kampagne Take Five Stop-Challenge-Protect den Menschen, sich vor vermeidbarem Finanzbetrug zu schützen, indem sie über E-Mail-Betrug, Telefonbetrug und Online-Betrug aufgeklärt und auf die Taktiken von Kriminellen aufmerksam gemacht werden, die sich als vertrauenswürdige Organisationen ausgeben. Ein Schwerpunkt der Kampagne ist der Authorized-Push-Payment (APP)-Betrug, bei dem ein Krimineller eine Privatperson oder ein Unternehmen dazu bringt, eine unwiderrufliche Zahlung an ein von ihm kontrolliertes Bankkonto zu senden. Wenn eine Bank, die eine vertrauensvolle Beziehung zu einer schutzbedürftigen Person aufgebaut hat, einen Weg findet, die Benutzererfahrung zu verändern - etwa durch die Frage, ob die Person einen Anruf oder eine E-Mail erhalten hat, in der sie aufgefordert wird, die Transaktion vorzunehmen - wird die Person dazu gebracht, aufzuhören, bevor sie ihr Geld an den Betrüger schickt. 

Zusätzliche Vorteile der dynamischen Autorisierung

Die Vorteile zentralisierter Autorisierungsrichtlinien, die zur Zugriffskontrolle durch Auswertung von Identitätsattributen, Berechtigungen, Zustimmungen und zusätzlichen Kontextinformationen verwendet werden, gehen über die Betrugsprävention hinaus.

 

Einhaltung gesetzlicher Vorschriften und des Datenschutzes

Die dynamische Autorisierung ermöglicht es Unternehmen, durch Attributfilter und Mechanismen zur Durchsetzung der Datenschutzgenehmigung die Vorschriften einzuhalten. Die Einhaltung von DSGVO, CCPA, CDR und anderen Vorschriften bedeutet, dass Kunden die Kontrolle über und den Einblick in ihre Daten haben müssen. Ohne ein zentrales Autorisierungssystem, das eine einheitliche Sicht auf die Benutzer bietet, erschweren isolierte Benutzerdaten die Verwaltung von Einwilligungen.

 

Personalisierung

Wenn Sie Ihre Nutzer verstehen, können Sie Ihre Interaktionen mit ihnen personalisieren. Neben der Personalisierung von Begrüßungen und Angeboten können persönliche Vorlieben auch zur Betrugsprävention genutzt werden. So kann beispielsweise ein Bankkunde, der nie per Telefon Bankgeschäfte tätigt, diese Option in seinem Kontoprofil deaktivieren und so verhindern, dass ein Betrüger eine betrügerische Transaktion per Telefon durchführt. 

 

Sind Sie bereit, dynamische Autorisierung in Ihrem Unternehmen zu implementieren?

Die Landschaft der Lösungsanbieter entwickelt sich ständig weiter und verändert sich. Der richtige Ansatz ist die Kombination von Kontrollen und erstklassigen Risikomodellen. Unternehmen sollten bei ihren Lösungen zur Betrugsprävention auf Flexibilität achten.  

 

PingOne Authorize und PingAuthorize bieten Unternehmen die Möglichkeit, sofort zu reagieren, ohne die Sicherheit oder die Einhaltung von Vorschriften zu beeinträchtigen. Diese Tools bieten zentralisierte Autorisierungsrichtlinien, die den Kontext einer Anfrage auswerten, um intelligente Entscheidungen zu treffen – und das alles, während Sie Ihre Daten, Dienste, Anwendungen und APIs schützen und Ihren Benutzern ein nahtloses Erlebnis bieten.

Diesen Artikel teilen:
Verwandte Ressourcen
Transformation der CIAM-Strategie in ein Profitcenter für Finanzdienstleistungen
03.07.2024
Verwandeln Sie CIAM in ein Profitcenter für Finanzdienstleistungen, um nahtlose und sichere digitale Erlebnisse zu bieten.
Ping Identity im Critical Capabilities-Bericht 2023 positioniert
Dustin Maxey
01.12.2023
Ping Identity wurde in allen vier Nutzungsszenarien des Gartner Critical Capabilities Report 2023 unter den beiden bestplatzierten Anbietern positioniert.

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Ihnen helfen kann, sichere Erlebnisse für Mitarbeiter, Partner und Kunden in einer sich schnell wandelnden digitalen Welt zu bieten.