基于风险的身份验证(RBA)也称为自适应身份验证,是一种在不强制用户使用两因素身份验证(2FA)的情况下提高网站账户安全性的方法。随着网络钓鱼和帐户接管肆虐盛行的背景下,这项技术变得越来越重要。
什么是基于风险的身份验证?
RBA就是检查"信号",当用户登录或客户在线购买商品时,这些供应商也近乎实时地进行各种观察,并创建请求访问系统的个人或设备的风险配置文件。该配置文件基于因素或信号,包括IP地理位置、用户行为、击键模式和连接类型。这些因素可能会根据具体的威胁因素而变化,这可能需要对风险状况进行持续管理。
不断变化的基于风险的认证市场
自2013年益博睿收购41st Parameter以来,身份认证领域发生了多起并购事件:
- Equifax收购Kount
- Lexis/Nexis Risk Solutions收购ThreatMetrix
- Transunion收购Iovation
- Quest Software收购OneLogin(现在拥有OneIdentity)
- Vasco更名为OneSpan
- RSA 将 Fraud Manager 拆分为 Outseer
- Easy Solutions现在是Appgate的一部分
- Ping Identity收购SecureTouch
在所有这些活动的背后,RBA主要市场已经分裂成两个半:交易/欺诈预防和企业身份验证。这个"半"可以被认为是一些供应商正在使用的无密码认证类型。虽然最后一个用例不是完全自适应/递增身份验证,但组合一系列身份验证因素的概念有助于推动 RBA 的全面采用。
这些并购表明RBA从一种不稳定的信息安全技术发展成为主流,演变迅猛。
推动采用RBA的身份验证趋势
(1) 多因素身份验证成为常态
Google去年10月在其自己的帐户中强制实施了多因素身份验证(MFA),并且已经迅速普及,因此网络钓鱼和帐户入侵也同样迅速减少。这一举措也有助于推动更高的RBA采用率,因为在使用RBA之前, MFA防护措施需要到位。另外两项获得更多关注的核心技术包括更多地采用FIDOv2和OpenID Connect标准。这两种技术发展较为成熟,现在为大多数人所接受,并在所有五个端点操作系统(Windows,MacOS,Linux,Android和iOS)中得到很好的应用。
(2) 对使用生物识别数据的担忧
由于欧盟的GDPR及其他相关法案,人们对安全工具如何利用生物识别数据,存储这些数据的位置以及它如何横跨身份验证基础设施越来越敏感。最近美国国税局使用面部识别软件就是一个反面案例。因此,拥有RBA可以帮助控制安全设备更安全地使用这些生物识别因素。
(3) 威胁变得越来越复杂
RBA将继续在应对最新的复杂威胁方面发挥作用,其中一个例子是分期付款的日益普及。
(4) EMV 3-D Secure的采用率提高
支付供应商继续开发EMV 3-D Secure(3DS)标准,该标准结合了RBA技术来打击交易欺诈。一些RBA供应商已开始将此标准纳入其工具集。支付和信贷供应商,包括万事达卡的NuData安全业务,已经升级了安全系统,他们将现在可以访问的数十亿笔交易的庞大语料库用作欺诈的早期预警,以应对安全风险。NuData的合作伙伴包括Thales和Entersekt。
基于风险的认证产品
目前,提供RBA的厂商产品包含Appgate RBA、思科/Duo安全、Entersekt 认证、iProov、Lexis/Nexis、Okta(提供自己的Auth0产品线)、OneLogin 、OneSpan智能自适应身份验证、Outseer欺诈经理、PingID(提供一系列产品)、Silverfort、泰雷兹安全网可信接入等。
该领域的其他供应商,还包括Iovation,Kount,IBM Security的Verity Access,HID的全球风险管理,SecureAuth和Transmission Security。
(1) RBA定价
大多数RBA供应商对定价都很保守。一般有两种定价方法:一种方案用于事务性或欺诈检测业务,另一种方案用于有时称为劳动力的业务,即传统的每最终用户身份验证业务。
有三个值得注意的供应商值得关注:Duo,Ping和Okta。Duo拥有最佳定价页面,以清晰和翔实的方式列出了各种定价层和每个定价层中可用的功能。Ping公开了其定价,Okta为其Okta和Auth0业务部门提供了定价页面。许多供应商免费提供试用他们核心产品的服务,有些供应商(如Duo和Auth0)拥有永久免费计划,但产品功能有限,不包括任何RBA支持。
(2) AppgateRBA
Appgate于2021年10月从Easy Solutions购买了RBA软件系列,并增加了先进的行为生物识别技术,带来了近乎实时的决策和更完整的API。该产品在需要时临时将生物识别信息存储在Appgate服务器上,以验证用户的登录名,但随后删除数据。
Appgate增加了RBA的验证能力,以增强旧的Easy Solutions交易RBA。虽然Appgate现在是FIDO成员,但它尚未添加支持。该公司有交易定价,并表示,一个每年约有600万次登录的中型组织将支付10000美元的固定费用,并对额外交易收取附加费。他们没有自己的身份提供商,但可以通过SAML和Radius连接支持Active Directory,Google,Salesforce,SugarCRM等。
(3) 思科/Duo安全
自从几年前被思科收购以来,Duo一直在不断增强其身份验证产品,并拥有功能齐全的身份验证工具集合。有些产品能进入其访问层,但或许进入完整集的Beyond计划级更具有价值。
虽然Duo的身份验证功能范围是具有细粒度且深入的,但管理RBA流程和策略比较复杂。例如,您可以跟踪用户位置、设备硬件指纹、行为因素、正在运行的应用等,但是,从这些不同的信号中制作最佳操作可能需要一些努力。任何生物识别数据都经过加密并存储在端点安全的安全区中。
Duo支持各种身份提供商,包括Okta,Google和Active Directory。它还支持FIDOv2标准和设备,它还是OpenID共享信号工作组的关键参与者。正如我之前提到的,Duo的定价是透明和有价值的,这应该成为那些仍然隐藏其费用结构的供应商学习的榜样。该公司每月处理数十亿笔交易。
(4) Entersekt 认证
Entersekt总部位于南非开普敦,在过去十年中一直主要提供金融服务交易安全。它最近扩展到个体用户的身份验证市场。Entersekt没有自己的身份提供商,但通过SAML和OAuth支持。它与端点安全硬件安全区配合使用,以存储私有加密密钥并检测手机上安装的越狱和有害应用程序。
Entersekt 对风险信号(包括位置、指纹硬件和 NuData Security事务语料库)进行评分,为每笔交易构建风险配置文件。它支持 FIDO 设备和标准。Entersekt提供交易和单个用户定价。
(5) iProov
iProov是另一家拥有十年历史的安全供应商,为开发人员提供SDK,而不是交钥匙应用程序套件。其网络每天处理数十万笔交易。iProov不会存储私人数据,除非会短暂检查用户的初始登录数据。客户可以设定此临时数据存储的范围,从12小时到一个月。
iProov支持身份提供程序,包括 ID.me,Ping Identity和 Jumio.com。它提供交易和单个用户定价。iProov参与了伦敦圣潘克拉斯火车站的一项有趣的试验,乘客只需要扫描他们的脸就可以登上欧洲之星列车。
(6) Lexis/Nexis
该公司于2018年收购了ThreatMetrix,此后建立了一个复杂的RBA业务,提供一系列移动SDK和基于Java的工具,现在几乎每家大型银行和大多数主要保险公司都可以找到这些工具。Lexis/Nexis 使用其大型语料库(该公司在超过85亿台设备上,每小时处理超过2.7亿笔交易)来检测交易欺诈并提供身份验证信号。
它提供三种不同级别的端点识别:基于 Cookie 的 ExactID、基于 Java 的 SmartID 和使用存储在手机或桌面安全区中的私钥加密签名的 StrongID 系统。它支持最新的 EMV 3DS 协议。Lexis/Nexis提供交易定价。
(7) Okta
Okta提供两条产品线。首先是Auth0的自适应MFA。Auth0 具有完善的风险信号集合,包括"不可能的旅行"(从相距较远的位置连续发生多次登录)、已知的错误 IP 地址、爬虫程序检测以及通过其单独的攻击保护和凭据保护服务(适用于企业计划)进行的密码泄露检测。定价是透明的,有一个永久免费体验计划,其他计划起价为每月23美元(不是基于每个用户,而是每笔交易)。任何 RBA/MFA 功能仅在企业计划中可用,但需支付额外费用。
Okta 自己的产品线包括其 MFA 工具和 7000 种不同产品的大量身份验证策略,以及针对不同编程语言和框架的大量 API 参考。Okta的风险生态系统API通过从新的第三方解决方案(包括机器人检测和Web应用程序防火墙提供商Fastly,HUMAN,F5 Networks和PerimeterX)引入外部风险信号来增强其内置的风险评分系统。Okta的FastPass无密码产品可与其单点登录产品配合使用。
该公司还有一个透明的定价页面,提供个体用户服务计划,RBA起价为每个用户每个月5美元。自适应 MFA 每个用户每个月需要6美元,还有其他额外的成本功能。对于企业级计划,单独的交易定价方案起价为36000美元/年。
(8) OneLoginby One Identity/Quest
OneLogin现在是One Identity解决方案的访问管理组件,其范围包括特权访问和Active Directory连接器。OneLogin RBA 功能由其 Vigilance AI 动态风险引擎提供,该引擎对每次身份验证尝试进行评分,并分配适当的操作和登录流程。该产品还提供动态智能因素身份验证,并检查凭据是否被盗用,以防止用户重复使用密码或之前的违规行为。
OneLogin 不存储任何生物识别数据,并支持设备上的硬件指纹识别。FIDO2/WebAuthn 标准作为附加 MFA(包括使用 Yubico 密钥、FaceID 和 Windows Hello)支持,并存储在安全端点安全区中。OneLogin可以同步自己的IDP以及Google Workspace,AD,Azure AD,LDAP等。工作场所用户的定价范围从每个用户每月2美元到6美元不等,还提供其欺诈/交易产品线的交易定价。
(9) OneSpan智能自适应身份验证
OneSpan 产品多年来一直提供 RBA 解决方案,现在同时支持用户身份验证和交易市场。它自己的Cronto硬件令牌为交易提供加密通道,是早期的FIDO采用者,它结合了用户行为方法。OneSpan还具有集成的电子签名和自己的政府身份验证应用程序。它涵盖了各种 MFA 方法和令牌外形规格,并为 SSO 和 RBA 提供了大量预配置的规则和策略。
用户可以在其演示"My Bank"在线应用程序中查看产品的工作原理。OneSpan没有透露定价。
(10) Outseer欺诈经理
Outseer是 RSA 传统欺诈分析业务部门的存储库,该部门主要面向金融机构。(RSA 的 SecurID 部门有自己的类似RBA技术的产品。它有本地或基于云的版本,可以从其他行为和基于位置的第三方信息获取信号。其中一个新模块可以保护分期付款"先买后付"交易中的欺诈行为,而另一个模块支持最新的EMV 3DS标准。该供应商还提供欺诈行动情报服务。
(11) PingID PingOne
PingOne 是系列的身份验证产品,可用于各种配置,以支持 RBA 进行工作流身份验证和事务处理。该公司去年收购了SecureTouch,现在将该产品称为PingOne Fraud,该产品着眼于行为分析,并识别受损设备和其他可疑信号。Ping 以其广泛的SSO工具收集1800多种不同的SAML集成而闻名。作为其产品一部分的其他工具包括:
- PingOne Risk是其评估这些不同信号的风险管理引擎,PingOne Verify是其自己的ID验证工具。
- PingOne 授权是其主要的 RBA 工具,用户可以在其中设置身份验证规则和策略。
- PingOne DaVinci是其最新添加的标识编排工具,可用于使用类似 Visio 的流程图创建自动化例程。这个工具较为好用,因为使用联锁规则集和策略设置风险升级方案可能很难调试。
PingID提供所有组件30天免费试用。
(12) Silverfort
Silverfort采用不同的RBA技术方法,依托现有的身份提供商,如Ping,Okta和Azure AD。它具有全面的风险引擎功能,可以检测包括行为变化和外部风险指示器(例如来自网络安全管理工具)的信号。它不使用任何软件代理或代理来排除潜在的威胁和身份验证问题,如果用户担心基于物联网的危害或无法轻松监控或保护的网络设备,这可能很有用。例如,为任何端点设备提供 FIDO2 支持。Silverfort具有基于用户的定价。
(13) 泰雷兹安全网可信接入
泰雷兹为RBA提供了两个业务部门:其Safenet Trusted Access负责处理RBA的个体用户,其Gemalto部门专注于银行和交易RBA。安全网产品已经存在多年,并已发展成为用于用户、操作系统和应用程序组合的复杂规则和策略集合。它涵盖了各种MFA方法和令牌外形规格,并提供SSO和RBA。它是FIDO的早期部署,并通过SAML支持自己的身份提供商和其他提供商。泰雷兹与NuData Security合作,提供交易智能。安全网的基本价格是每个用户每月3.5美元,其中包括所有MFA和RBA选项以及各种访问管理功能。
参考来源:https://www.csoonline.com/article/3651354/12-risk-based-authentication-tools-compared.html?page=2