كيف يمكن أن تساعد القياسات الحيوية السلبية في أمن بيانات تكنولوجيا المعلومات

فيديو: شرح مبسط وسهل لمادة أمن المعلومات - الامن السيبرانى للمعلم ( الجزء الثانى )

المحتوى

ما هو القياسات الحيوية السلبية؟
كيف تعمل القياسات الحيوية السلبية
لماذا هو مهم؟
كيف القياسات الحيوية السلبية تساعد في أمن البيانات
No Bugs، No Stress - دليلك خطوة بخطوة لإنشاء برامج لتغيير الحياة دون تدمير حياتك
ما تأثيره على قضايا الأمن في العالم الحقيقي؟
هي الطرق التقليدية مفيدة بعد الآن؟
ما هو المستقبل؟
خاتمة

المصدر: Dwnld777 / Dreamstime

يبعد:

القياسات الحيوية السلبية تمهد الطريق لأمن أقل كلمة المرور التي يمكن إحباط المتسللين.

في وقت يتم فيه تقييد تدابير أمان البيانات التقليدية بسبب قيود مثل الاعتماد المفرط على تقدير المستخدم وقبول المستخدم ، يمكن أن توفر القياسات الحيوية السلبية توازنًا في الأمان وقبول المستخدم. آليات الأمان التقليدية مثل كلمات المرور ورموز الرسائل النصية القصيرة هي فقط بنفس قوة المستخدم. لقد وجد أن العديد من المستخدمين يميلون إلى تعيين كلمات مرور ضعيفة لأنه من السهل تذكرها. أن يهزم الغرض الرئيسي من آليات كلمة السر أو رمز الأمن. لا تتطلب القياسات الحيوية السلبية من المستخدم تقديم بيانات اعتماد بنشاط ، وجمع بيانات المستخدم بشكل سلبي في أشكال مثل تقنيات التعرف على الوجه والصوت وقزحية العين. على الرغم من أن القياسات الحيوية السلبية كآلية أمان لتكنولوجيا المعلومات لا تزال تجد مكانتها المناسبة ، إلا أنه من الآمن القول إنها توفر توازنًا جيدًا بين راحة المستخدم وأمان البيانات.

ما هو القياسات الحيوية السلبية؟

ولتعريف القياسات الحيوية ، يشرح Tinna Hung ، مدير التسويق في شركة القياسات الحيوية EyeVerify ، "تعتمد القياسات الحيوية على شيء أنت ، بدلاً من شيء تعرفه".

في حالة القياسات الحيوية السلبية ، لا يحتاج المرء إلى المشاركة بنشاط في عملية التحقق أو تحديد الهوية ، وأحيانًا لا تتطلب العملية حتى إشعار المستخدم ؛ تتم المصادقة ببساطة أثناء أنشطة المستخدم العادية. في هذه الحالات ، لا يُطلب من الشخص التصرف بشكل مباشر أو مادي. عندما يعمل النظام دون حتى معرفة المستخدم ، فإنه يوفر أعلى مستوى من المصادقة.

يقيس النظام الآلي التكنولوجي بشكل أساسي الخصائص السلوكية أو الفسيولوجية للإنسان ، مع أو بدون معرفة المستخدمين. للحصول على فكرة أفضل عما تستلزمه القياسات الحيوية السلبية ، يمكننا النظر في بعض الأمثلة المقارنة لهذا النظام للتناقض مع الأنظمة الحيوية النشطة. على سبيل المثال ، تعتبر تقنية هندسة الإصبع أو اليد مقاييس حيوية نشطة ، وكذلك التعرف على التوقيع ومسح شبكية العين. هذا لأنه يجب على المستخدم وضع أيديهم أو البحث في جهاز المسح الضوئي للتعرف عليها. ومع ذلك ، تشمل القياسات الحيوية السلبية أنظمة التعرف على الصوت أو الوجه أو القزحية. (لمعرفة المزيد حول القياسات الحيوية ، راجع التطورات الجديدة في القياسات الحيوية: كلمة مرور أكثر أمانًا.)

كيف تعمل القياسات الحيوية السلبية

يقدم ريان ويلك ، مدير نجاح العملاء في NuData ، شرحًا ممتازًا لكيفية عمل القياسات الحيوية السلبية. بكلماته ، "نحن نبحث في كيفية تفاعل المستخدم فعليًا: كيف يكتبون ، وكيف يحركون الماوس أو الهاتف ، حيث يستخدمون هواتفهم ، قراءات التسارع الخاصة بهم. ... نظرًا لأن البيانات الفردية تشير إلى أنها ليست مفيدة بشكل كبير ، ولكن عندما تبدأ في تجميعها ودمجها في ملف تعريف من هو هذا المستخدم ، تبدأ في بناء شيء عميق حقًا وفريد من نوعه ، وشيء ما من الصعب للغاية محاكاة ساخرة. "

توفر القياسات الحيوية السلبية الفرصة للمؤسسات للتحقق من هوية عملائها وفقًا لسلوكياتهم الطبيعية في التفاعلات التكنولوجية. تظل العملية المستمرة لهذا الحل غير التدخلي غير مرئية للمستخدمين ، نظرًا لأنها لا تتطلب أي تسجيل أو إذن للعمل في الخلفية ؛ لا يطلب من العملاء تنفيذ أي إجراءات إضافية أثناء عملياتهم العادية. يوفر تحليل البيانات السلوكية في الوقت الحقيقي تقييمات دقيقة للشركات لفصل المتسللين عن العملاء الحقيقيين. نظرًا لعدم تسجيل معلومات التعريف الشخصية (PII) ، لا يحصل المتسللون مطلقًا على البيانات السرية للتدخل في تعريف المستخدم. القياسات الحيوية السلبية هي تقدم ثوري في رحلة التحقق من الهوية ، والتي لديها القدرة على القضاء على أي فرصة للاحتيال من جوهر إطار مصادقة المنظمة ويمكن أن تضيف مستوى جديدًا من الثقة في دورة حياة الحساب بالكامل.

لماذا هو مهم؟

تلد التكنولوجيا دائمًا أنظمة جديدة وحواجز أمنية لحماية الشبكة بالكامل من الأنشطة الضارة. ولكن ، هل يمكن أن يمنع المتسللين والمحتالين الرائعين من إيجاد ثغرات في النظام إلى الأبد؟ لا. ومع ذلك ، عندما لا يكون لديهم أي معرفة حول عملية مستمرة ، كيف سيتمكنون من اجتياز اختبار التحقق؟ إذا كانوا لا يعرفون نظام الخلفية ، فلن يتخذوا أي احتياطات في المقام الأول. هنا يختلف القياسات الحيوية السلبية عن منهجيات التحقق الأخرى. وهكذا تكمن الأهمية هنا أيضًا. لا يمكن أن يحدث أي احتيال عندما يتم اقتلاع سبب استخدام الاحتيال في البداية.

كيف القياسات الحيوية السلبية تساعد في أمن البيانات

اشتدت الحاجة إلى أنظمة أمنية أكثر تطوراً ومرضية في الهواء لفترة طويلة. يفرض الطلب الآن شبكات الأمان على القياسات الحيوية ، وخاصة التكنولوجيا السلبية ، حيث لا يحتاج المستخدمون إلى معرفة عملية تحديد الهوية ، اعتمادًا على الخصائص السلوكية. (لمزيد من المعلومات حول البيانات المستخدمة في القياسات الحيوية السلبية ، راجع كيف يمكن للبيانات الكبيرة تأمين مصادقة المستخدم.)

No Bugs، No Stress - دليلك خطوة بخطوة لإنشاء برامج لتغيير الحياة دون تدمير حياتك

لا يمكنك تحسين مهارات البرمجة لديك عندما لا يهتم أحد بجودة البرنامج.

أوضح هونغ قائلاً: "سيتوافق الحل الحيوي الذي يتم تنفيذه جيدًا بشكل طبيعي مع التدفق المنتظم لسلوك المستخدم." تمتلك القياسات الحيوية السلبية الميزة الرئيسية لإنشاء ملف تعريف لكيفية استخدام الشخص للجهاز ، وليس مجرد ملف تعريف للجهاز نفسه . كما يوضح ويلك ، فإن النهج السلبي يفتح الكتاب لفهم المستخدم على "مستوى اللاوعي تقريبًا".

هناك طريقة سلبية أخرى ، تم إنشاؤها من قبل شركة BioCatch ، تعمل عن طريق تسجيل وتحليل أنشطة المستخدمين الذين لا يدركون أنهم يقومون بذلك. توفر السمات الفعلية مثل قياس الإصبع على شاشة تعمل باللمس أو اليد النشطة (يسارًا أو يمينًا) باستخدام الماوس ، أو تردد الهزة بيد المستخدم الذي يحمل الجهاز ، مزيجًا دقيقًا من البيانات لتحديد هوية عميل فريد من نوعه. بالإضافة إلى ذلك ، فإن السمات المعرفية مثل طريقة التمرير عبر الويب لشخص ما (مفاتيح الأسهم ، عجلة الماوس ، الصفحة لأعلى ولأسفل ، إلخ) أو تقنية الاحتفاظ بالجهاز (أفقيًا أو رأسيًا ، وزاوية الإمالة للجهاز ، وما إلى ذلك) أيضًا تساعد على تعزيز مصادقة النظام.

وفقًا لأورن كيدم ، نائب رئيس إدارة المنتجات في BioCatch ، فإنهم يستخدمون أيضًا "تحديات غير مرئية" للمستخدمين ، حيث تُظهر العملية تغييراً ملحوظًا بالكاد في السلوك العادي للمستخدم. على سبيل المثال ، قد يغير التطبيق بضعة بكسلات من المؤشر في اتجاه مختلف ، أو يغير قليلاً من سرعة تمرير الصفحة لاختبار الاستجابة الفريدة للمستخدمين. ردودهم على هذه الحوادث هي فريدة من نوعها بشكل لا يصدق ، والتي من المستحيل تكرارها.

كما يقول Kedem ، "نحن لا نتتبع فقط ما تفعله ، بل نؤثر أيضًا على ما تفعله. ... نحن نطرح عليك سؤالاً دون أن تطرح عليك وتزودنا بإجابة تعرفها. إنه سر لا يمكن سرقته مثل كلمة المرور أو الرمز المميز. "

تتم برمجة النظام بطريقة تكتشف أوتوماتيكيًا ، فتعثر على شبكات المفاتيح الموجودة في keylogging والتي تسجل وتعيد حركات الهدف. وذلك لأن تقليد استجابة المستخدم هو أقرب إلى المستحيل في حالة وجود تحديات غير مرئية ، والتي تستمر في التغير داخل التطبيق.

ما تأثيره على قضايا الأمن في العالم الحقيقي؟

بدأت الخدمات المالية والمصرفية في جميع أنحاء العالم في الاعتماد على هذا النظام الجديد. يتعاون مزودو الأمن الحيوي مثل EyeVerify و Daon مع المؤسسات المالية. تعمل EyeVerify مع Digital Insight لمصادقة أنظمة الأمان البيومترية في التسهيلات المصرفية عبر الهاتف المحمول ، وهم على وشك إطلاق معرف Eye ID كتطبيق محمول.

في عام 2014 ، ضمنت تقنية القياس الحيوي التي تنفذها Daon 10.7 مليون مستخدم لبنك الادخار الفيدرالي USAA في تجربة سلسة للخدمات المصرفية عبر الهاتف المحمول. في هذه الحالة ، علق كبير المستشارين الأمنيين في الوكالة الأمريكية للتنمية ريتشارد ديفي قائلاً: "إن المخاوف الناشئة عن التهديد الدائم المتمثل في التصيد الاحتيالي والبرمجيات الخبيثة والتعرض للمعلومات من الانتهاكات الخارجية تعني أن ضوابط المصادقة والوصول ستظل دائمًا مهددة. تقنيات مثل القياسات الحيوية تخفف من هذه التهديدات مع تسهيل تجارب المستخدم النهائي الجميلة. "

يسجل التحقق من الهوية الحيوية للصوت السلبي تسجيل مستخدم عن طريق إرسال صوت فريد من خلال المحادثة أثناء التسجيل الأولي. تتطلب هذه المحادثة الأولية المتابعة لمدة 45 ثانية لتسخير بيانات التعرف. ثم يحدد الصوت المسجل المستخدم من خلال مقارنة الصوت التالي الذي تم الحصول عليه في المحادثة التالية التي أجراها بمركز الاتصال.

قام هذا البنك بتطبيق تقنية الأمان الجديدة لموظفيه ، وبعد ذلك ، في سوقهم في سان أنطونيو ، تكساس ، تليها ولاية كاليفورنيا ، وفي النهاية أطلقوها على نطاق واسع في يناير 2015. وكانت الاستجابة الناتجة رائعة. بعد ثلاثة أسابيع من التنفيذ ، التحق حوالي 100000 عميل بالمصادقة البيومترية ، وخلال عشرة أشهر ، زاد عدد العملاء المستجيبين إلى أكثر من مليون عميل.

هي الطرق التقليدية مفيدة بعد الآن؟

كشف تحليل مدته 90 يومًا أجرته Nudata Security في عام 2015 عن نمو بنسبة 112٪ في هجمات الويب للحصول على كلمات المرور وأسماء المستخدمين ، مقارنةً بعام 2014. ما هو السبب وراء حصول المتسللين على أنظمة أمان تقليدية؟ دعونا نفكر في الأمر بشكل أكثر شمولاً.

ما نقوم به جميعًا هو تقويض قوة كلمات المرور الخاصة بنا من أجل تذكرها بسهولة. نعم ، وهنا يكمن الجاني. كان هناك وقت تمكن فيه شخص واحد من إدارة حسابين أو ثلاثة فقط عبر الإنترنت ، ولم يكن من الصعب للغاية تذكر كلمات المرور الهامة لعدد صغير من الحالات. لذلك كانت العملية ذات صلة بحماية هوية الشخص في ذلك الوقت.

ولكن الآن ، تغيرت الصورة بشكل كبير. لدينا جميعًا حسابات كثيرة ، كثير منها لا يمكننا حتى تتبعها جميعًا في بعض الأحيان. الآن ، هل من الممكن أن تتذكر كلمة مرور مكونة من أرقام عشوائية ورموز وأحرف لكل حساب؟ بالطبع لا. لذلك ما نقوم به هو المساس باحتياطات الأمان عن طريق الاحتفاظ بنمط لكل كلمات المرور الخاصة بنا مع بعض المعلومات المعروفة ، أو ننسى نسيان الاختيارات العشوائية لكلمات المرور القوية ومن ثم علينا استعادتها طوال الوقت.

الآن ، الطريقة غير المباشرة للحفاظ على هوية شخص آمنة هي توفير الحل لرضا المستخدم والأمان ، حيث لا نحتاج إلى اتخاذ أي خيار للحفاظ على نظامنا آمنًا وتذكره. يواجه المتسللون أيضًا مشكلة في تعلم كيفية تحديد مكان تطبيق نظام الأمان. لذلك ، لم تعد طرقهم السابقة للوصول إلى حسابات الآخرين تعمل بشكل جيد بعد الآن.

ما هو المستقبل؟

وفقًا لـ Grissen and Hung ، لن تظل الأنظمة البيومترية في المرحلة الاختيارية ، ولكنها ستحكم على شبكة كاملة من أنظمة الأمن بشأن قضايا "الأمن مقابل الراحة" ، في المستقبل القريب.

التكنولوجيا تنمو أكثر دقة وأصبحت أسهل للتثبيت في تطبيقات الويب والهاتف المحمول المحلية. تعمل خوارزميات جديدة لتنفيذ القياس عن بُعد الإضافي لزيادة التوصيفات السلوكية مثل اتجاه الجهاز عبر مجموعة واسعة من الأجهزة.

يعتبر التوحيد بين SIEM (معلومات الأمان وإدارة الأحداث) وقطاعات السوق UEBA (تحليل سلوك المستخدم والكيان) المستقبل للنمو في كل جانب من جوانب الأعمال التجارية ، كما نرى في حالة بائعي SIEM ، استحواذ Splunk على Caspida. إنهم يخططون لطرق أخرى لتوفير تجربة أكثر فاعلية لعملائهم في تطبيقات SIEM الخاصة بهم ، مع إضافة التاريخ الطويل للبيانات الموجودة مع ذلك. تثبت الأشكال المختلفة لتحليل السلوك أنها إضافة إلزامية للتخفيف من حدة المشكلة الأمنية وكسب الحرب الباردة طويلة الأجل ضد المحتالين.

خاتمة

في النهاية ، يمكننا أن نقول إن المستقبل يجلب الكثير من الأوقات الصعبة للمحتالين ، لأنهم سيُضربون بهجوم الجمع بين التحقق من المعرفة وتحليل السلوك في الإجراءات الأمنية. في عام 2016 ، صرحت نائبة وزير الخزانة سارة بلوم راسكين: "يتطور تصميم النظام للتعامل مع تحدي المصادقة المقدم من كلمات المرور المسروقة أو التي يسهل اختراقها: يتطلع الجيل التالي من التحقق من الهوية عبر الإنترنت إلى الجمع بين ما يعرفه العملاء وما لديهم ، وما يفعلونه أو القياسات الحيوية السلوكية. "