Risikobasierte Authentifizierung: Integrationen für bessere digitale Erlebnisse

In der digitalen Welt kann die Feststellung, ob jemand derjenige ist, für den er sich ausgibt, ein schwieriger Balanceakt sein. Starke Sicherheitsvorkehrungen sind für den Schutz Ihres Unternehmens vor Datenschutzverletzungen unerlässlich, und Sie können die virtuelle Tür zu Ihren Ressourcen nicht einfach öffnen, ohne zu überprüfen, wer anklopft. Wenn Sie den Authentifizierungsprozess jedoch zu umständlich gestalten, führt dies zu frustrierten Endbenutzern, was die Produktivität der Mitarbeiter senken, gute Partner verärgern und Kunden auf der Suche nach einem besseren Benutzererlebnis vergraulen kann.
 

Die Schaffung eines optimalen digitalen Erlebnisses bei gleichzeitiger Gewährleistung der erforderlichen Unternehmenssicherheit ist oft eine Frage der risikobasierten Authentifizierung: Das Konzept der dynamischen Beurteilung des Risikos einer bestimmten Interaktion basierend auf einer Vielzahl von Faktoren und der entsprechenden Anpassung des Authentifizierungsprozesses. Die risikobasierte Authentifizierung kann genau die richtige Balance zwischen starkem Schutz und reibungslosem Benutzererlebnis bieten, und die leistungsstarken Integrationen von Ping ermöglichen es Ihrem Unternehmen, die optimalen Authentifizierungsverfahren für Ihre Geschäftsanforderungen zu wählen.

Bevor wir uns damit befassen, wie Sie mit spezifischen Ping-Integrationen eine sichere und benutzerfreundliche Authentifizierung implementieren können, lassen Sie uns mit einem kurzen Überblick beginnen. Die risikobasierte Authentifizierung ist im Wesentlichen eine Untergruppe der Multifaktor-Authentifizierung, bei der ein Benutzer aufgefordert wird, einen zusätzlichen Authentifizierungsfaktor anzugeben, wenn eine Zugriffsanfrage nicht den vordefinierten Sicherheitsparametern entspricht. Sie beurteilt in Echtzeit die potenzielle Gefahr eines bestimmten Vorgangs auf der Grundlage folgender Faktoren:

• Dem aktuellen Authentifizierungsstatus des Benutzers 

• Dem mit der jeweiligen Ressource verbundenen Risiko 

• Dem Kontext der Anfrage

Durch die Bewertung, ob angemessene Sicherheitsanforderungen für jede einzelne Transaktion erfüllt wurden, und die Hochstufung der Authentifizierung, wenn dies nicht der Fall ist, wird eine zusätzliche Sicherheitsebene hinzugefügt, ohne unnötige Reibungspunkte in den Prozess einzubringen. Sie sind in der Lage, eine Risikostufe zu definieren, die Sie bereit sind zu akzeptieren, um Reibungspunkte zu minimieren, basierend auf der Ressource, auf die zugegriffen wird, und wenn das Risiko zu hoch ist, können Sie eine stärkere Authentifizierung einführen.

Die risikobasierte Step-up-MFA wird durch untypisches Verhalten oder einen ungewöhnlichen Kontext ausgelöst. Erst wenn die Kontextinformationen, die über den ersten Authentifizierungsfaktor erhoben werden, auf etwas Ungewöhnliches schließen lassen, wird vor dem Zugriff ein zweiter Authentifizierungsfaktor verlangt.

Die risikobasierte Authentifizierung umfasst die kontextbezogene Authentifizierung, die Verwendung von logikbasierten Mechanismen wie Geolokalisierung und Geräteerkennung, um zu bestimmen, ob bei einem Benutzer ein zusätzlicher Faktor erforderlich ist. Sie kann reibungslose Erfahrungen wie die passwortlose Authentifizierung ermöglichen, die nachweislich dazu beiträgt, die gewünschte Balance von starker Unternehmenssicherheit und großartiger Benutzererfahrung zu erzielen.

Und das ist es, was Ihre Benutzer wollen. Ihre Mitarbeiter wünschen sich eine einfache und einheitliche Anmeldeerfahrung mit einem sicheren und optimierten Zugriff auf Ressourcen, der ihnen eine höhere Produktivität ermöglicht. Dies ist besonders wichtig im heutigen Remote-Arbeitsumfeld, in dem mehr Mitarbeiter als je zuvor Zugriff benötigen, während sie im Home-Office oder an anderen entfernten Standorten arbeiten. Und Ihre Kunden erwarten zunehmend, dass Sie ihnen eine nahtlose und sichere Erfahrung bieten:

• 67% der Kunden geben an, dass sie höhere CX-Standards haben als je zuvor

• 66% der Unternehmen sagen, dass ihre Kunden mehr Sicherheit und Datenschutz fordern

• 40% der Kunden würden bereits nach einer schlechten Erfahrung von einer Marke zu einer anderen wechseln

Wie können Sie also erkennen, ob eine Benutzerinteraktion potenziell riskant ist und daher eine hochgestufte Authentifizierung erfordert? Grundsätzlich gibt es vier Kategorien von Risikosignalen: Gerätereputation, Benutzerverhalten, Netzwerkrisiko und Verhaltensbiometrie.

1. Gerätereputation. Gerätereputation ist genau das, wonach es sich anhört: Die Bestimmung des Risikos des Geräts, das während des Authentifizierungsprozesses verwendet wird, durch Betrachtung seiner Historie und von Faktoren wie der Frage, ob das Gerät in bekannte betrügerische Aktivitäten verwickelt war. Crowd-basierte Konsortien setzen Benutzer mit Geräten in Beziehung, um Betrugsringe zu definieren und einzelne Cyberkriminelle zu identifizieren, die mehrere Konten angreifen, und erstellen dann Regeln auf Grundlage dieser Profile.

Quelle: TransUnion

2. Benutzerverhalten. Gestohlene oder kompromittierte Anmeldedaten stellen eine große Bedrohung für die Sicherheit und den Datenschutz dar. Wenn sich ein Benutzer lateral im Netzwerk bewegt, können Sie Bedrohungen ermitteln, indem Sie eine Basislinie des Benutzerverhaltens erstellen und Echtzeitrisiken hinzufügen, wenn der Benutzer von diesem Verhalten abweicht.

 

3. Netzwerkrisiko. Neben dem Benutzer und dem Gerät gibt es einen dritten potenziellen Schwachpunkt in dem für den Zugriff verwendeten Netzwerk. Eine Methode zur Risikominderung besteht darin, risikobehaftetes Verhalten anhand von Netzwerk-Inputs zu ermitteln, die Risikobewertung auf der Grundlage des Web-Traffics vorzunehmen und diesen dann mit einem Benutzer in Bezug zu setzen, um eine Risikobewertung zu erhalten. Dadurch erhalten Sie ein besseres Verständnis dafür, wie „normaler“ Traffic aussieht, und Sie können dies überprüfen, um zu bestimmen, ob eine starke Authentifizierung erforderlich ist.

 

4. Verhaltensbiometrie. Dieser innovative Ansatz zur risikobasierten Authentifizierung vergleicht die physischen Bewegungen eines Benutzers – Tipprhythmus, Tastaturmuster, Stärke des Tastendrucks, Mausbewegungen usw. – mit seinem Standardprofil, um das Risiko zu bestimmen. Er funktioniert auch für mobile Geräte und berücksichtigt Faktoren wie die Frage, ob der Benutzer das Gerät im gleichen Winkel hält, mit dem gleichen Druck auf das Display drückt und auf die gleiche Weise wischt.

Ping hat sich mit einer Reihe von Lösungsanbietern zusammengetan, um Risikosignale in den Authentifizierungs-Workflow sowohl für Mitarbeiter als auch für Kunden zu integrieren. Durch Senden eines API-Aufrufs von PingFederate an die Lösung können wir das Gerät, das Verhalten oder die biometrischen Daten des aktuellen Benutzers mit der Basislinie dieses Benutzers vergleichen und bestimmen, was die Richtlinie tun soll: genehmigen, die Authentifizierung hochstufen, die Anfrage verweigern oder etwas anderes tun.

Dieses gemeinsam mit LexisNexis Risk Solutions (ehemals ThreatMetrix) entwickelte Integrationskit ermöglicht eine einfache, leicht zu konfigurierende Risikobewertung bei jeder Authentifizierung. Administratoren können Richtlinien definieren, um die Risikobereitschaft des Benutzers und des Geräts zu bestimmen und innerhalb von Millisekunden zu entscheiden, ob Sie die Authentifizierung auf einen zweiten Faktor wie PingID erweitern müssen.

Das Digital Identity Network basiert auf den Erkenntnissen aus mehr als 30 Milliarden globalen Transaktionen pro Jahr, darunter Anmeldungen, Zahlungen und die Einrichtung neuer Konten. Es ermöglicht Ihnen, innerhalb von Millisekunden zwischen einem vertrauenswürdigen Kunden und einer Cyberbedrohung zu unterscheiden, wobei eine mehrschichtige Analyse zum Einsatz kommt, die dem Benutzer völlig verborgen bleibt.

Erfahren Sie mehr und laden Sie das Digital Identity Network Integration Kit herunter.

Zusätzlich zum Schutz von anfänglichen Authentifizierungen mit der kontextbezogenen Risikobewertung von TransUnion kann ein Unternehmen jetzt durch die neue Integration mit PingAccess eine fein abgestimmte Autorisierung durchführen. Schützen Sie die Eingangstür mit einer Richtlinie (die PingFederate Integration) und verwenden Sie eine stärkere Richtlinie für die Kasse (die PingAccess Integration).

Der Vorteil dieses Ansatzes ist, dass Sie die Risikorichtlinie gezielt auf die wertvollsten Vermögenswerte in Ihrem Unternehmen anwenden können. Wenden Sie Reibung in Form eines zweiten Faktors nur an, wenn das Risiko hoch und die Ressource wertvoll ist. Dies ist beispielsweise der Fall, wenn ein Mitarbeiter auf eine Buchhaltungssoftware zugreift oder wenn ein Kunde Geld transferiert oder auf Gesundheitsdaten zugreift.

Erfahren Sie mehr und laden Sie das TransUnion Integration Kit herunter oder sehen Sie sich die TransUnion/iovation Demo an.

Preempt überwacht und lernt kontinuierlich das Verhalten aller Benutzer, Servicekonten und Geräte, um riskante Aktivitäten und potenzielle Bedrohungen zu erkennen und zu verhindern. Dies umfasst die Erkennung und Abwehr von kompromittierten Anmeldedaten, Angreifern, die sich als Geräte oder Servicekonten ausgeben, Ransomware, Angriffen mit lateralen Bewegungen, Cyberkriminellen und mehr.

Die Integration von Preempt und Ping ermöglicht es einem Unternehmen, eine Basislinie für das Verhalten eines Benutzers zu erstellen und eine Zwei-Faktor-Authentifizierung zu veranlassen, sobald ein Benutzer von dieser Basislinie abweicht. Sogar mitten in einer Sitzung kann Preempt feststellen, ob die laterale Bewegung des Benutzers anomal ist und einen PingID-Zweitfaktor veranlassen.

Erfahren Sie mehr und laden Sie das Preempt Intelligence Integration Kit herunter.

Die Cortex XDR-Plattform von Palo Alto Networks sammelt Netzwerksignale und analysiert diese Signale mithilfe von maschinellem Lernen und künstlicher Intelligenz, um die Wahrscheinlichkeit zu bestimmen, dass dieser Netzwerk-Traffic riskant ist. Durch die Zusammenstellung von Daten aus allen Netzwerkquellen verfügt Cortex XDR über einen unglaublichen Datenpool, mit dem sich feststellen lässt, ob der Netzwerk-Traffic anomal oder riskant ist.

Um diese Daten noch leistungsfähiger zu machen, kann Cortex XDR auch PingFederate-Protokolle heranziehen, um Benutzerauthentifizierungsdaten zur Analyse in den Datenpool zu integrieren. Diese Verbindung zwischen Benutzerauthentifizierungsverhalten und Netzwerk-Traffic gibt einen viel tieferen Einblick in das Risikolevel. Integrationen zwischen NGFW und GlobalProtect von Palo Alto Networks sowie PingID for MFA vervollständigen das Bild, indem sie die Authentifizierung verstärken, wenn Cortex XDR ein höheres Risikolevel anzeigt.

Erfahren Sie hier mehr über Cortex XDR oder die Integrationen.

Die Integration von Ping Identity und BehavioSec bietet eine risikobasierte Authentifizierungslösung, die auf verhaltensbiometrischen Merkmalen basiert. PingFederate erfasst die verhaltensbiometrischen Signale des Benutzers und sendet diese Informationen dann an BehavioSense, um sie mit der Basislinie des Benutzers zu vergleichen. Weichen die Muster von der Basislinie ab, kann die PingFederate-Richtlinie entweder die Authentifizierung verweigern oder die Authentifizierung auf PingID hochstufen.

Erfahren Sie mehr und laden Sie das Integrationskit hier herunter.

AXN Manage von ID DataWeb bietet einen Austausch, der Risikobewertungen von verschiedenen Anbietern, einschließlich LexisNexis, zusammenfassen kann. So kann ein Unternehmen das Risiko für seine spezifischen Bedürfnisse abwägen, ohne sich an einen einzigen Anbieter zu binden. Mit dem Integrationskit von Ping kann ein Unternehmen auf einfache Weise eine Richtlinie definieren, um diese aggregierte Risikobewertung zu lesen und eine erweiterte risikobasierte Authentifizierung bereitzustellen.

Erfahren Sie mehr und laden Sie das Integrationskit hier herunter.

Risikobasierte Authentifizierung ist der Schlüssel zu einem ausgewogenen Verhältnis zwischen starken Sicherheitsvorkehrungen und reibungslosem Benutzererlebnis. Mit einem mehrstufigen Authentifizierungsansatz können Sie die Art von digitalen Erlebnissen schaffen, die sich Ihre Benutzer wünschen.