Sicherheitsbedrohungen werden immer raffinierter und Online-Betrug greift mehr und mehr um sich. Wie können Sie Ihr Geschäft vor Cyberkriminellen bei möglichst geringen Auswirkungen auf Ihre Customer Journey schützen?
Die genaue Untersuchung einer Website oder Anwendung ist nur die halbe Miete. wenn es darum geht, Risiken zu erkennen. Nachdem die potenziellen Probleme oder Schwachstellen gefunden sind, müssen Lösungen erarbeitet und umgesetzt werden.
Dieser Artikel befasst sich mit einigen Strategien zur Eindämmung der gängigen Risiken, denen moderne Anwendungen ausgesetzt sind, und zur Abwehr künftiger vergleichbarer Gefahren.
Security Orchestration, Automation, and Response (SOAR) ermöglicht Ihnen und Ihrem Sicherheitsteam, die Reaktionen auf Sicherheitsereignisse zu automatisieren, indem es den Datenfluss zwischen Sicherheits- und Produktivitätstools verwaltet. Bei der Betrugserkennung führt es beispielsweise eine Echtzeitanalyse der einzelnen Sitzungen unter Verwendung biometrischer Verhaltensdaten und Fingerabdrücke von Geräten durch, um betrügerische Transaktionen zu erkennen und zu blockieren.
Sie können die aus betrügerischen Aktivitäten gewonnenen Erkenntnisse für die Orchestrierung reibungsloser Customer Journeys nutzen und gleichzeitig Ihr Unternehmen schützen. PingOne DaVinci bietet eine Drag-and-Drop-Lösung an, mit der das Betrugsrisiko gemindert und andere wichtige Identitätsprobleme gelöst werden können.
Obgleich einige der Maßnahmen unbemerkt erfolgen, ist es bei Anomalien durch bestimmte Verhaltensweisen oder abweichende Datenmuster oft hilfreich, durch Warnmeldungen informiert zu werden, um manuell reagieren zu können. Die moderne Erkennung von Anomalien nutzt häufig die Fortschritte des maschinellen Lernens, um Abweichungen innerhalb der umfangreichen, komplexen und sich ständig weiterentwickelnden Datensätze zu entdecken, mit denen Unternehmen heute umgehen müssen.
Eine weitere Möglichkeit besteht darin, die direkten Angriffsflächen Ihres Servers zu reduzieren. Ein Reverse Proxy ist ein Server, der Anfragen vom Ursprungsserver an den Client abfängt und so die direkte Kommunikation der Clients mit dem Ursprungsserver vermeidet. Auf diese Weise fungiert ein Reverse-Proxy als Schutzebene gegen Angriffe, da die IP-Adressen des Ursprungsservers nicht öffentlich zugänglich gemacht werden müssen.
Wenn PingAccess im Rahmen eines Gateway-Modells eingesetzt wird, ist ein leistungsstarker Reverse Proxy integriert, der Single Sign-on (SSO) für eine beliebige Anzahl von Webanwendungen und APIs von einer beliebigen Anzahl von Ursprungsservern ermöglicht.
Geofencing kann den Datenzugriff ausgehend vom geschätzten geografischen Standort eines Geräts einschränken. Sie können die Einstellungen zum Beispiel so wählen, dass sich das Benutzergerät innerhalb eines angemessenen Radius um seinen Bürostandort befinden muss.
Ein Workflow zur Sitzungsgenehmigung durch den Manager löst eine Benachrichtigung an den Manager der Identität aus, die mit der Authentifizierungsanfrage verbunden ist. Sie können diesen Workflow implementieren, um eine menschliche Komponente bei der Autorisierung neuer Sitzungen zu erzwingen. Damit steigt zwar die Reibung in der User Journey, bei kapitalstarken Sitzungen kann es jedoch als angemessener Kompromiss dienen.
Wenn ein Gerät eines bestimmten Benutzers kompromittiert wurde, haben die Sicherheitsteams nur die Möglichkeit, die Sitzungen dieses betroffenen Geräts zu beenden. Die Teams können außerdem die Benutzer sperren, wenn die Schwachstelle über die Sitzung hinaus bestehen bleibt. Wenn das kompromittierte Passwort zudem ein Risiko darstellt, können bereits erzwungene Passwortrücksetzung mit strengen Regeln, die eine ausreichende Entropie gewährleisten, den Benutzer wieder ausreichend absichern.
Zum Schutz sensibler Dateien sollten Sie mit einer Dateiverschlüsselung arbeiten. Sie können auch noch einen Schritt weiter gehen und die gesamte Festplatte verschlüsseln. Beim Verschlüsseln werden Daten mathematisch so aufbereitet, dass nur Benutzer mit einem Passwort den wahren Inhalt einer Datei einsehen können. Wenn die Daten im Ruhezustand verschlüsselt sind, sehen sie für die meisten Menschen wie zufällige Daten aus. Anhand forensischer Untersuchungen lässt sich dann zwar feststellen, dass verschlüsselte Daten vorhanden sind, aber es ist unwahrscheinlich, dass sie geknackt werden, wenn sie durch ein Passwort mit ausreichend hoher Entropie geschützt werden.
Durch ein Sitzungs-Timeout nach einer gewissen Zeit der Inaktivität kann das Risiko von unbeaufsichtigten oder vergessenen Sitzungen verringert werden. Dies wird wahrscheinlich die Reibung für diejenigen Benutzer erhöhen, die aufgrund von Multitasking nicht kontinuierlich in der Anwendung aktiv bleiben. Auch Sitzungs-Timeouts bieten nur begrenzten Schutz, wenn der Benutzer das Gerät verlässt.
Ein ausgewogenes Verhältnis zwischen Datensicherheit und Einhaltung von Vorschriften herzustellen, ist komplex und riskant. Die Plattformen für die dynamische Autorisierung von Ping Identity, nämlich PingOne Authorize für SaaS- und PingAuthorize für On-Premises-Anwendungen, zentralisieren die kontextbezogenen Zugriffskontrollen und abstrahieren die Komplexität, während sie gleichzeitig eine komfortable User Journey ermöglichen.
Eine richtlinienbasierte, zentralisierte Sicherheitsschicht für den Zugriff auf APIs und die Autorisierung sorgt dafür, dass nur berechtigte Benutzer über APIs auf bestimmte Ressourcen zugreifen dürfen. Die ideale Lösung für den API-Zugriff und die Autorisierung verwendet offene Standards, um ein Höchstmaß an Flexibilität und Portabilität zu gewährleisten.
Zugriffsregeln ermöglichen Ihnen, den Zugriff auf und die Modifikationen an Ihren Anwendungen und Ressourcen auf der Grundlage von Benutzereigenschaften, Zeitangaben, geografischem Standort, Quell-IP-Adresse, OAuth-Zugriffstoken-Bereich oder anderen Parametern zu genehmigen oder zu verweigern. Darüber hinaus können Listen sicherer Adressen erstellt werden, um den Zugriff in bestimmten Gruppen zuzulassen (z. B. eine Liste von Quell-IP-Adressen), während alle anderen standardmäßig abgewiesen werden. Eine umfassende Lösung, eine so genannte Richtlinie, bietet das Erstellen von einzelnen und gruppierten mehrfach verwendbaren Regelsätzen.
Besonders weit verbreitet sind die Regeln zur Ratenbeschränkung. Diese Regeln können einen Client daran hindern, eine Anwendung oder eine bestimmte Aktion über einen bestimmten Zeitraum mit zu vielen Anfragen zu überlasten.
Bei der Multi-Faktor-Authentifizierung (MFA) müssen sich Benutzer durch Angabe von mindestens zwei von drei Faktoren authentifizieren: Etwas, das sie kennen, etwas, das sie haben und etwas, das sie sind. So sind ein Passwort und ein zeitlich gebundener Einmalpasscode (TOTP) beispielsweise etwas, das sie kennen bzw. besitzen.
Ein Ansatz für die „MFA überall“ zur Authentifizierung schützt zwar vor den meisten Angriffen, kann aber bei Sitzungen mit geringem Risiko zu unnötig starker Reibung führen. Wenn es Ihren Anforderungen entspricht, können Sie sich auch für einen Zugriff entscheiden, bei dem die MFA nur für Transaktionen mit höherem Wert angefordert wird. Die MFA-Richtlinien von Ping beurteilen unter Einbeziehung von Sitzungsrisiko und Kontext, ob für die Sitzung ein zweiter Faktor nötig ist.
Obwohl viele Websites und Anwendungen Passwörter ganz allgemein als primäre, wenn nicht sogar einzige Authentifizierungsmethode nutzen, stellen sie eine der größten Sicherheitsbedrohungen für moderne Unternehmen dar und verursachen zusätzliche Reibung für Benutzer. Heute werden viele verschiedene passwortlose Login-Lösungen eingesetzt, um unterschiedlichste Anwendungsfällen und gesetzlichen Anforderungen zu bedienen. Viele Unternehmen entscheiden sich für Fast Identity Online (FIDO), einen offenen Standard für die passwortlose Anmeldung, der sich mit einem MFA-Ansatz kombinieren lässt.
Eines der vielen Probleme mit Passwörtern ist die Vergabe des Anfangspasswortes.. Bei einer passwortbasierten Anwendung müssen Sie häufig ein Anfangspasswort für neue Benutzer konfigurieren. Wenn eine passwortlose Anmeldung nicht möglich ist, sollte ein Zufallspasswort generiert und dem neuen Benutzer ohne menschliches Eingreifen übermittelt werden. Darüber hinaus sollte es eine Frist für die Erstanmeldung sowie eine erzwungene Rücksetzung des Passworts geben, um die Gültigkeitsdauer des Anfangspasswortes zu begrenzen.
Zuguterletzt sollten Sie mithilfe einer Identitätsprüfung verifizieren, da
ss Ihr Kunde auch wirklich die Person ist, für die er sich ausgibt. Cloud-Dienste wie PingOne Verify lassen sich in Ihre mobile Anwendung einbetten, die eine fortschrittliche Technologie für die Live-Gesichtserkennung mit einem amtlichen Ausweisdokument kombinieren, damit Sie die Identität Ihrer Kunden direkt überprüfen können.
Wenn Sie sich für eine Strategie zur Eindämmung von Risiken entscheiden, sollten Sie zuvor ein Bedrohungsmodell erstellen, indem Sie genau untersuchen, was Sie vor wem schützen wollen. Nehmen Sie die gesamte User Journey unter die Lupe, nicht nur den Moment der Anmeldung. Präventionen erzeugen nicht zwangsläufig zusätzliche Reibung in der User Journey, wenn Sie gut durchdacht sind. Sobald Sie Ihre Risiken eingehend geprüft haben, können Sie Ihre Strategie zur Risikominderung umsetzen.
Ein intelligenter flächendeckender MFA-Ansatz kann die meisten Angriffe abwehren und ist ein guter Ausgangspunkt. Im Anschluss daran könnten Sie einen risikobasierten, kontextabhängigen, adaptiven Ansatz wählen, der die Reibung für den Benutzer verringert.
Sicherheitsmaßnahmen sind am effektivsten, wenn sie in Ebenen angewendet werden. Wägen Sie für Ihren speziellen Anwendungsfall eventuelle Kompromisse bei Sicherheit bzw. Benutzerfreundlichkeit gegeneinander ab, und ergänzen Sie anschließend nach Bedarf weitere in diesem Artikel erläuterte Ansätze.
Ressourcen zu diesem Thema
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern