隨著網(wǎng)絡(luò)釣魚和帳戶接管在大流行的趨勢下愈演愈烈，基于風(fēng)險的身份驗證(RBA)的重要性開始凸顯。它可以成為保護(hù)公司資產(chǎn)的關(guān)鍵技術(shù)，尤其是在遠(yuǎn)程工作日漸走向常規(guī)的情況下。

什么是基于風(fēng)險的身份驗證?

基于風(fēng)險的身份驗證(RBA)，也稱為自適應(yīng)身份驗證，它的重點在于檢查“信號”，包括地理位置、用戶行為、擊鍵模式和連接類型等因素。簡單來說，它是基于用戶當(dāng)前的情況，動態(tài)地調(diào)整身份驗證需求。例如，當(dāng)用戶試圖從一個以前沒有關(guān)聯(lián)的地理位置或IP地址進(jìn)行身份驗證時，可能會面臨額外的身份驗證要求。

不斷變化的RBA市場

自2013年Experian收購41st Parameter以來，身份驗證領(lǐng)域已經(jīng)發(fā)生了很多企業(yè)并購案例：

• Equifax收購Kount;
• Lexis/Nexis Risk Solutions收購ThreatMetrix;
• Transunion收購Iovation;
• Quest Software收購OneLogin;
• Vasco更名為OneSpan;
• RSA將Fraud Manager拆分為Outseer;
• Easy Solutions現(xiàn)在是Appgate的一部分;
• Ping Identity收購SecureTouch;

在所有這些活動的背后，RBA已經(jīng)分裂為“兩個半”主要市場：交易/欺詐防御和企業(yè)身份驗證。另外那“一半”可以被認(rèn)為是一些供應(yīng)商正在使用的無密碼品牌。雖然最后一個用例不是完全的自適應(yīng)/遞升式身份驗證，但結(jié)合一系列身份驗證因素的概念有助于推動RBA的全面普及。

值得注意的是，其中一些合并案例還涉及主要的信用局。這表明RBA從一種不穩(wěn)定的信息安全技術(shù)發(fā)展成為主流的速度有多快。

推動RBA采用的身份驗證趨勢

多因素身份驗證成為常態(tài)

去年10月，谷歌在其自己的賬戶中強制實施了多因素身份驗證(MFA)，并且已經(jīng)收獲了網(wǎng)絡(luò)釣魚和賬戶泄露迅速減少的戰(zhàn)果。這也有助于推動實現(xiàn)更高的RBA采用率，因為在推出RBA之前，您需要將MFA實施到位。

其他兩項受到更多關(guān)注的核心技術(shù)包括，F(xiàn)IDOv2和OpenID Connect標(biāo)準(zhǔn)。它們都取得了長足的進(jìn)步，且現(xiàn)在大多數(shù)都已被所有五個端點操作系統(tǒng)(Windows、MacOS、Linux、Android和iOS)所接受和實施。

對使用生物特征數(shù)據(jù)的擔(dān)憂

得益于歐盟《通用數(shù)據(jù)保護(hù)法案》(GDPR)及其他同類規(guī)定的陸續(xù)出臺，有關(guān)“安全工具如何利用生物特征數(shù)據(jù)、這些數(shù)據(jù)的存儲位置，以及它如何遍歷身份驗證基礎(chǔ)設(shè)施”等問題的敏感度越來越高。最近，美國國稅局宣布不再使用涉及面部識別的第三方驗證，便是最好的例子。使用RBA有助于控制您的安全設(shè)備使用這些生物識別特征的方式。

威脅正變得更加復(fù)雜

RBA將繼續(xù)在對抗最新的復(fù)雜威脅(例如分期付款的日益普及)方面發(fā)揮作用。

EMV 3-D Secure采用率日益增多

支付供應(yīng)商仍在繼續(xù)開發(fā)EMV 3-D Secure(3DS)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)結(jié)合了RBA方法來打擊交易欺詐。一些RBA供應(yīng)商已經(jīng)開始將該標(biāo)準(zhǔn)納入他們的工具集中。支付和信貸供應(yīng)商——包括萬事達(dá)卡的NuData安全業(yè)務(wù)——現(xiàn)在可以訪問涉及數(shù)十億筆交易的龐大語料庫，他們可以將其用作欺詐的早期預(yù)警，以應(yīng)對升級挑戰(zhàn)。

RBA產(chǎn)品

此次榜單中的關(guān)鍵供應(yīng)商包括：

• Appgate RBA;
• Cisco/Duo Security;
• Entersekt身份驗證;
• iProov;
• Lexis/Nexis風(fēng)險解決方案;
• Okta(提供自身和Auth0產(chǎn)品線);
• OneLogin;
• OneSpan智能自適應(yīng)驗證;
• Outseer欺詐管理器;
• PingID(提供一系列產(chǎn)品);
• Silverfort;
• Thales Safenet可信訪問;

該領(lǐng)域的其他供應(yīng)商，包括Iovation、Kount、IBM Security的驗證訪問(Verity Access)、HID的全球風(fēng)險管理(Global Risk Management)、SecureAuth和Transmit Security等等。

RBA定價

大多數(shù)RBA供應(yīng)商對定價都含糊其辭。目前，RBA有兩大主要市場：一種方案用于交易或欺詐檢測業(yè)務(wù)，另一種方案為傳統(tǒng)的按最終用戶身份驗證業(yè)務(wù)。

不過也有三個例外：Duo、Ping和Okta。Duo擁有直觀的定價頁面，以清晰且信息豐富的方式列出了各種定價級別以及每個級別的可用功能;Ping的定價也是透明化的;Okta自身產(chǎn)品及Auth0產(chǎn)品線都有明確的定價頁面。

許多供應(yīng)商都開通了針對最高級產(chǎn)品的免費試用渠道，有些供應(yīng)商(如Duo和Auth0)甚至提供了永久免費項目，缺點是免費項目一般功能有限。

RBA產(chǎn)品對比

1. Appgate RBA

Medina Capital于2017年收購了Easy Solutions，后者成為新的安全基礎(chǔ)設(shè)施公司Cyxtera的一部分。2020年1月，Cyxtera將包括RBA解決方案在內(nèi)的網(wǎng)絡(luò)安全部門拆分為一家新公司AppGate。該供應(yīng)商為其RBA增加了行為生物識別技術(shù)，自己的基于挑戰(zhàn)響應(yīng)的一次性軟密碼令牌身份驗證應(yīng)用程序，以及改進(jìn)的機器學(xué)習(xí)功能。未來，AppGate還計劃為DetectTA和DetectID開發(fā)基于Web的管理控制臺;提供整個套件中用戶活動的單一窗格;將自己基于網(wǎng)絡(luò)的現(xiàn)有行為生物識別技術(shù)擴(kuò)展到移動應(yīng)用SDK。

該公司有交易定價，并表示每年約有600萬次登錄的中型組織將支付10,000美元的固定費用，額外交易需支付附加費。他們沒有自己的身份提供商，但通過SAML和Radius連接支持 Active Directory、Google、Salesforce、SugarCRM等。

2. Cisco/Duo Security

自從幾年前被Cisco收購以來，Duo一直在不斷增強其身份驗證產(chǎn)品，并擁有功能齊全的身份驗證工具集合。

雖然Duo Security身份驗證功能的范圍是細(xì)粒度和深入的，但管理RBA流程和策略并沒有達(dá)到應(yīng)有的水平。例如，您可以跟蹤用戶位置、設(shè)備硬件指紋、行為因素、正在運行的應(yīng)用程序等等。但是，根據(jù)這些不同的信號制定最佳行動可能仍存在一些不足。此外，任何生物特征數(shù)據(jù)都被加密并存儲在端點安全隔區(qū)(secure enclave)中。

Duo支持多種身份提供商，包括Okta、Google和Active Directory。它還支持FIDOv2標(biāo)準(zhǔn)和設(shè)備，是OpenID共享信號工作組的主要參與者。正如上所述，Duo的定價是透明且清晰的，應(yīng)該成為仍然隱藏其費用結(jié)構(gòu)的供應(yīng)商的榜樣。該公司每月處理數(shù)十億筆交易。

3. Entersekt身份驗證

Entersekt總部位于南非開普敦，在過去十年中主要提供金融服務(wù)交易安全。它最近已將業(yè)務(wù)擴(kuò)展到勞動力用戶身份驗證市場。Entersekt沒有自己的身份提供商，但通過SAML和OAuth支持其他身份提供商。它與端點安全可信硬件一起存儲私有加密密鑰，并檢測手機上安裝的越獄和有害應(yīng)用程序。

Entersekt對包括位置、指紋硬件和NuData安全交易語料庫在內(nèi)的風(fēng)險信號進(jìn)行評分，以建立每筆交易的風(fēng)險概況。它支持FIDO設(shè)備和標(biāo)準(zhǔn)。Entersekt提供交易定價和按用戶定價兩種定價模型。

4. iProov

iProov是另一個擁有十年歷史的安全供應(yīng)商，它為開發(fā)人員提供軟件開發(fā)工具包(SDK)，而非“交鑰匙”(turn-key)應(yīng)用程序套件。iProov不會存儲私人數(shù)據(jù)，只會在短時間內(nèi)檢查用戶的初始登錄。客戶可以為此臨時數(shù)據(jù)存儲的生命周期指定12小時到一個月的范圍。

iProov支持身份提供商，包括ID.me、Ping Identity和Jumio.com。它提供交易定價和按用戶定價兩種模式。iProov曾在倫敦圣潘克拉斯火車站參與了一項有趣的試驗，乘客只需掃描面部即可登上歐洲之星列車。

5. Lexis/Nexis風(fēng)險解決方案

該公司于2018年收購了ThreatMetrix，此后建立了復(fù)雜的RBA業(yè)務(wù)，提供一系列移動SDK和基于Java的工具，現(xiàn)在幾乎每家大型銀行和大多數(shù)大型保險公司都在使用這些工具。 Lexis/Nexis風(fēng)險解決方案使用其龐大的語料庫(該公司每小時處理超過85億臺設(shè)備的超過2.7億筆交易)來檢測交易欺詐并為身份驗證提供信號。

它提供三種不同級別的端點識別：基于cookie的ExactID、基于Java的SmartID以及使用加密簽名的StrongID系統(tǒng)，其中私鑰存儲在手機或桌面的安全隔區(qū)中。它支持最新的EMV 3DS協(xié)議。Lexis/Nexis提供交易定價模式。

6. Okta

Okta提供兩條產(chǎn)品線：首先是Auth0的自適應(yīng)多因素身份驗證(MFA)。Auth0 擁有完善的風(fēng)險信號集，包括“不可能的行程”(從相距很遠(yuǎn)的位置連續(xù)發(fā)生多次登錄)、已知的惡意IP地址、機器人檢測，以及通過其獨立的攻擊保護(hù)和憑據(jù)防護(hù)(Credential Guard)服務(wù)進(jìn)行的密碼泄露檢測，適用于企業(yè)級計劃。它的定價是透明的，有永久免費計劃和每月23美元起兩種定價模式(不是基于每個用戶，而是基于交易)。任何RBA/MFA功能僅在企業(yè)級計劃中提供，需額外付費。

Okta自己的產(chǎn)品線包括其MFA工具和針對7,000種不同產(chǎn)品的大量身份驗證策略，以及針對不同編程語言和框架的大量API參考。Okta的風(fēng)險生態(tài)系統(tǒng)API通過從新的第三方解決方案(包括機器人檢測和Web應(yīng)用程序防火墻提供商Fastly、HUMAN、F5 Networks和PerimeterX)處獲取外部風(fēng)險信號，來增強其內(nèi)置風(fēng)險評分系統(tǒng)。Okta的FastPass無密碼產(chǎn)品適用于其單點登錄產(chǎn)品。

該公司還有一個透明的定價頁面，提供RBA的普通用戶計劃，起價為5美元/用戶/月。自適應(yīng)MFA定價為6美元/用戶/月。企業(yè)級計劃的交易定價方案起價為36,000美元/年。

7. OneLogin

OneLogin現(xiàn)在是One Identity解決方案的訪問管理組件。OneLogin RBA功能由其Vigilance AI動態(tài)風(fēng)險引擎提供，該引擎對每次身份驗證嘗試進(jìn)行評分，并分配適當(dāng)?shù)牟僮骱偷卿浟鞒?。該產(chǎn)品還提供動態(tài)智能因素身份驗證，并檢查受損憑證，以防止用戶使用已暴露或重復(fù)密碼。

OneLogin不存儲任何生物特征數(shù)據(jù)，并支持設(shè)備上的硬件指紋識別。支持FIDO2/WebAuthn標(biāo)準(zhǔn)作為附加MFA(包括使用Yubico密鑰、FaceID和Windows Hello)，并將其存儲在安全端點隔區(qū)中。OneLogin可以同步自己的IDP以及Google Workspace、AD、Azure AD、LDAP等。普通用戶的定價范圍為2至6美元/位/月。

8. OneSpan智能自適應(yīng)驗證

Vasco將其名稱更改為OneSpan，并在其解決方案組合中添加了RBA。該供應(yīng)商主要專注于金融服務(wù)，并且正在不斷擴(kuò)展其金融科技集成和合作伙伴關(guān)系組合。

OneSpan智能自適應(yīng)驗證可以進(jìn)行規(guī)則范圍界定(開始和結(jié)束日期)，并具有一套非常全面的，產(chǎn)品化的和捆綁的罐裝規(guī)則模板集。其移動應(yīng)用程序SDK支持移動應(yīng)用程序的應(yīng)用程序屏蔽(防篡改)以及收集設(shè)備上下文變量以進(jìn)行風(fēng)險評分。不過，該解決方案沒有明確的，內(nèi)置的，基于威脅情報的設(shè)備ID熱點列表;機器學(xué)習(xí)不是顯式可配置的，而在其他供應(yīng)商之后;對于第三方MFA身份驗證器，沒有威脅情報集成，用戶自助服務(wù)或開箱即用的產(chǎn)品化支持;只有很少的儀表板，該解決方案不提供共享的設(shè)備和用戶信譽服務(wù);該解決方案可能非常適合已在Vasco / OneSpan MFA軟件和硬件身份驗證器上進(jìn)行了現(xiàn)有投資的組織，或者是注重價值，在更全面的解決方案上尋求基本功能的組織。OneSpan目前暫未透露定價。

9. Outseer欺詐管理器

RSA通過拆分其欺詐與風(fēng)險情報事業(yè)部，成立了Outseer，為全球客戶和合作伙伴社區(qū)提供服務(wù)。Outseer正在通過新構(gòu)建的產(chǎn)品組合提供所有傳統(tǒng)產(chǎn)品：

Outseer Fraud Manager：(原名RSA Adaptive Authentication)利用基于風(fēng)險的賬戶監(jiān)控決策為所有數(shù)字渠道的客戶提供保護(hù);

Outseer 3-D Secure：(原名RSA Adaptive Authentication for eCommerce)無卡支付和數(shù)字支付驗證的黃金標(biāo)準(zhǔn)，符合最新的EMV 3-D Secure標(biāo)準(zhǔn);

Outseer FraudAction：(原名RSA FraudAction)提供與釣魚網(wǎng)站、流氓應(yīng)用程序和欺詐性社交媒體頁面有關(guān)的快速檢測、清除和數(shù)據(jù)洞察力;

這些屢獲殊榮的產(chǎn)品共同作為支付驗證、賬戶泄露欺詐檢測和欺詐調(diào)查的基準(zhǔn)，同時為全球知名商戶、發(fā)行銀行和支付提供商帶來無礙的客戶體驗。未來，Outseer將繼續(xù)革新支付驗證產(chǎn)品，緊隨EMV 3-D Secure 2.x支付標(biāo)準(zhǔn)，并在支付和商業(yè)生態(tài)系統(tǒng)中整合新技術(shù)。

10. PingOne系列產(chǎn)品

PingOne是一系列身份驗證產(chǎn)品，可用于各種配置，以支持RBA進(jìn)行工作流身份驗證和交易。該公司去年收購了SecureTouch并將其更名為PingOne Fraud，該產(chǎn)品著眼于行為分析并識別受損設(shè)備和其他可疑信號。PingID產(chǎn)品集中的其他工具包括：

PingOne Risk是它的風(fēng)險管理引擎，可以評估各種信號;

PingOne Verify是它自己的身份驗證工具;

PingOne Authorize是其主要的RBA工具，用戶可以在其中設(shè)置身份驗證規(guī)則和策略;

PingOne DaVinci是其最新的身份編排工具，可用于使用類似Visio的流程圖創(chuàng)建自動化例程。

PingID為用戶提供所有組件的30天免費試用計劃。它還有一個完整但令人困惑的定價頁面。

11. Silverfort

Silverfort通過搭載Ping、Okta和Azure AD等現(xiàn)有身份提供商，對RBA采取了不同的方法。它有一個全面的風(fēng)險引擎，可以檢測包括行為變化和外部風(fēng)險指標(biāo)(例如您的網(wǎng)絡(luò)安全管理工具釋放的信號)在內(nèi)的信號。它不使用任何軟件代理來找出潛在的威脅和身份驗證問題，如果您擔(dān)心基于物聯(lián)網(wǎng)的妥協(xié)，或無法輕松監(jiān)控及保護(hù)基于網(wǎng)絡(luò)的設(shè)備，這一點將十分關(guān)鍵。它具有基于用戶的定價。

12. Thales Safenet可信訪問

SafeNet可信訪問是一種基于云的訪問管理解決方案，它將單點登錄的便利性與細(xì)粒度的訪問安全性相結(jié)合，使組織能夠簡化和保護(hù)對Web和云應(yīng)用程序的訪問。每次用戶登錄到云應(yīng)用程序時，SafeNet可信訪問都會驗證用戶的身份，評估應(yīng)該適用何種訪問策略，然后通過智能單點登錄采用適當(dāng)級別的身份驗證。通過對其云生態(tài)系統(tǒng)更好的控制和可見性，SafeNet可信訪問可幫助組織防止數(shù)據(jù)泄露，安全地遷移到云并簡化監(jiān)管合規(guī)。

它是FIDO的早期部署，通過SAML支持自己的身份提供商和其他身份提供商。它已與NuData Security合作開發(fā)交易智能。Safenet的基本價格為3.50美元/位/月，其中包括所有MFA和RBA選項以及各種訪問管理功能。

本文翻譯自：https://www.csoonline.com/article/3651354/12-risk-based-authentication-tools-compared.html如若轉(zhuǎn)載，請注明原文地址