تاریخ 1401/08/08         ساعت 13:11:50     گروه خبری مقالات

احتمالاً می‌دانید که احراز هویت برای امنیت سایبری مرکزی است و تکامل به احراز هویت چند عاملی (MFA) به دسترسی ایمن‌تر کمک کرده است. اما مجرمان سایبری به طور مداوم تاکتیک های خود را نیز تغییر می دهند، از جمله افزودن هوش مصنوعی (AI) به جعبه ابزار خود. به همین دلیل است که سیستم‌های مدیریت هویت و دسترسی به سرعت هوش مصنوعی بسیار پیچیده‌ای را برای تقویت بیشتر MFA پیاده‌سازی می‌کنند. احراز هویت یک خط دفاعی اولیه و حیاتی برای داده های تجاری است.
تصویر


نقش هوش مصنوعی در احراز هویت

احتمالاً می‌دانید که احراز هویت برای امنیت سایبری مرکزی است و تکامل به احراز هویت چند عاملی (MFA) به دسترسی ایمن‌تر کمک کرده است. اما مجرمان سایبری به طور مداوم تاکتیک های خود را نیز تغییر می دهند، از جمله افزودن هوش مصنوعی (AI) به جعبه ابزار خود. به همین دلیل است که سیستم‌های مدیریت هویت و دسترسی به سرعت هوش مصنوعی بسیار پیچیده‌ای را برای تقویت بیشتر MFA پیاده‌سازی می‌کنند.

عبور یک نقطه ضعف باقی مانده است. این به این دلیل است که کاربران به خاطر شیوه های بد رمز عبور بدنام هستند:  

• استفاده مجدد از رمزهای عبور  

• استفاده از موارد قابل پیش بینی  

• ذخیره اطلاعات رمز عبور در یادداشت های چسبنده یا در صفحات گسترده رمزگذاری نشده  

در نتیجه، شرکت‌های بیشتری حتی برای تجارب مشتری خود، احراز هویت چند عاملی (MFA) را اضافه می‌کنند و مشتریان را ملزم می‌کنند که یک محصول را خریداری کنند یا یک تراکنش بانکی از تلفن خود انجام دهند تا احراز هویت بیشتر انجام شود. با افزودن عوامل اضافی فراتر از رمز عبور یا حتی بهتر از آن، به جای رمز عبور کسب و کارها می توانند به خنثی کردن اسپری رمز عبور و حملات مهندسی اجتماعی کمک کنند و مانع از ورود هکرها با استفاده از اعتبارنامه های سرقت شده به حساب کاربری شوند. عوامل اضافی ممکن است شامل پاسخ دادن به یک سوال امنیتی، استفاده از رمز عبور یک بار مصرف، یا پاسخ به یک اعلان فشاری در تلفن باشد.  

با این حال، هکرها باهوش هستند و حتی با استفاده از MFA، حساب های افراد ممکن است به خطر بیفتد. دستگاه هایی مانند تلفن ها یا USB ها را می توان به سرقت برد. رمزهای عبور یکبار مصرف ارسال شده از طریق پیامک قابل رهگیری هستند. و بیومتریک، مانند اثر انگشت و حتی تشخیص چهره، می تواند هک یا جعلی باشد. همانطور که هوش مصنوعی جذابیت بیشتری پیدا می کند، جعل کردن حتی بیومتریک آسان تر می شود و اثر انگشت جعلی و تصاویر صورت با نقاط تطبیق کافی برای عبور از اسکن ایجاد می شود. اما MFA را می توان با افزودن یک بخش مهم از اطلاعات بهبود بخشید. زمینه اطلاعات مربوط به ورود کاربر است، مانند جایی که کاربر هنگام تلاش برای ورود به سیستم یا دستگاه مورد استفاده قرار دارد. چنین زمینه‌ای می‌تواند سرنخ‌های حیاتی از وقوع یک حمله ارائه دهد.  

احراز هویت مبتنی بر ریسک

برای افزودن زمینه، صنعت مدیریت هویت و دسترسی (IAM) با احراز هویت مبتنی بر ریسک پاسخ داده است. استاندارد MFA اطلاعاتی را در مورد آنچه کاربر می داند، مانند رمز عبور، چیزهایی که کاربر دارد، مانند تلفن خود، و حتی اینکه کاربر چه کسی است، از طریق بیومتریک هایی مانند اثر انگشت جمع آوری می کند.  

احراز هویت مبتنی بر ریسک به عوامل دیگری اجازه می دهد که به تعیین اینکه آیا کاربر واقعاً همان چیزی است که می گوید یا خیر، کمک می کند. این کار با مقایسه رفتار ورود به سیستم قبلی آنها با تلاش برای احراز هویت فعلی انجام می شود، و اطلاعات زمینه ای که در MFA استاندارد وجود ندارد، ارائه می شود.  

به عنوان مثال، اگر یک کاربر معمولاً در طول هفته از محل دفتر اصلی با لپ‌تاپ خاصی وارد می‌شود اما ناگهان سعی می‌کند از طریق تلفن در استارباکس وارد شود، ممکن است نشانه‌ای از لپ‌تاپ دزدیده شده یا حساب در معرض خطر باشد.  

برای اجرای احراز هویت مبتنی بر ریسک، شرکت‌هایی مانند OneLogin از فناوری‌های مبتنی بر هوش مصنوعی استفاده می‌کنند. هوش مصنوعی عوامل فردی را در مورد تلاش ورود به سیستم ارزیابی می کند تا به یک امتیاز ریسک برای سناریو برسد. برای مثال، کاربری که از آدرس‌های IP خاصی متصل می‌شود یا تلاش می‌کند در نیمه‌شب وارد سیستم شود، ممکن است نشان دهنده یک تهدید باشد.  

هوش مصنوعی همچنین می تواند از شبکه های عصبی به عنوان بخشی از سیستم های یادگیری ماشین استفاده کند. این شبکه‌های عصبی مغز انسان را تقلید می‌کنند و با تغذیه مجموعه داده‌هایی که شامل نتایج صحیح هستند، «یاد می‌گیرند».  

به عنوان مثال، داده های مربوط به ورود از طریق IP های مختلف و نتایجی که نشان می دهد کدام یک از آن ورودها حمله سایبری بوده است. مثل این است که به یک بچه یک مسئله جبر داده شود و جوابش را بدهند، او باید بفهمد که چه فرمولی برای حل این نوع از مسائل جبر وجود دارد.  

هوش مصنوعی الگوریتم‌های بهتری را توسعه می‌دهد تا با استفاده از تکنیک‌های مختلف برای حل مشکل و بررسی پاسخ آن در برابر پاسخ موجود در مجموعه داده، مشخص کند کدام عوامل حمله را نشان می‌دهند. در نهایت، مجموعه‌ای از الگوریتم‌ها را پیدا می‌کند که آن را قادر می‌سازد تا تهدیدات را به‌طور دقیق در بیشتر مواقع پیش‌بینی کند.  

آینده هوش مصنوعی در احراز هویت چیست؟

احراز هویت مبتنی بر ریسک به بهبود و هوشمندتر شدن ادامه خواهد داد. در نهایت، احراز هویت مبتنی بر ریسک احتمالاً از یادگیری نظارت شده، که در آن مجموعه داده شامل نتایج است، به یادگیری بدون نظارت منتقل می‌شود که در آن هوش مصنوعی الگوهای جدیدی را پیدا می‌کند که ممکن است انسان‌ها کشف نکرده باشند و عوامل بالقوه را برای ارزیابی پیش‌بینی کند.  

توانایی ارجاع به چندین الگوریتم یادگیری ماشین و استفاده از الگوریتم‌های پیش‌بینی مبتنی بر تشخیص الگو و سری‌های زمانی، دقت و دامنه پیشنهادات احراز هویت مبتنی بر هوش مصنوعی را برای ورود به برنامه‌های وب و همچنین برای سایر جنبه‌های امنیت سایبری مانند شبکه بهبود می‌بخشد.  

در عین حال، توسعه‌دهندگان به دنبال راه‌هایی هستند که به بخش‌های فناوری اطلاعات کنترل بیشتری بر سیستم هوش مصنوعی بدهند، مانند توانایی درک دقیق اینکه چرا هوش مصنوعی تصمیم‌گیری می‌کند، تعداد عواملی که در نظر گرفته می‌شوند را تنظیم کنند، و سیستم را به گونه‌ای تنظیم کنند. محیط منحصر به فرد سازمان آنها یکی از زمینه‌هایی که شرکت‌هایی مانند OneLogin در حال بررسی آن هستند، توانایی مصرف داده‌های شخص ثالث است. احراز هویت SmartFactor OneLogin شامل یک بررسی اعتبار به خطر افتاده است که از داده های شخص ثالث در اعتبارنامه های سرقت شده یا افشا شده استفاده می کند. اگرچه کاملاً هوش مصنوعی نیست، ابتکارات بین‌صنعتی مختلفی برای امکان اشتراک‌گذاری بهتر داده‌ها در حال انجام است تا اطلاعاتی که یک سازمان در مورد یک تهدید بالقوه دارد، در زمان واقعی در اختیار سایر سازمان‌ها قرار گیرد و MFA را بهبود بخشد.  

همچنین می‌توانید انتظار داشته باشید که سیستم‌های احراز هویت مبتنی بر هوش مصنوعی گسترش یافته و احراز هویت پیوسته را در بر بگیرد.  

به جای ارزیابی بلادرنگ تهدید فقط در هنگام ورود، سیستم‌های هوش مصنوعی تهدیدها را در طول جلسه کاربر شناسایی کرده و به آنها پاسخ می‌دهند. اگر کاربر به طور ناگهانی به مکان و دستگاه جدیدی نقل مکان کند، یا تلاش کند به اطلاعات مالی غیرمرتبط با کارش دسترسی پیدا کند، از او خواسته می‌شود هویت خود را تأیید کند. و حتی دورتر، مدیریت دسترسی احتمالاً از سطح برنامه به سطح داده منتقل می شود.  

کارشناسان در حال حاضر در مورد پیوست کردن ابرداده به تک تک داده‌ها صحبت می‌کنند تا مشخص کنند چه کسی باید چه نوع دسترسی به آن قطعه اطلاعات مجزا داشته باشد. به عنوان مثال، فیلد موجود در پایگاه داده حاوی حقوق کارمندان دارای ابرداده است که نشان می دهد فقط کاربران درون شرکت که دارای نقش های خاصی هستند می توانند آن اطلاعات را مشاهده کنند. هر زمان که این اطلاعات حقوق صادر یا به اشتراک گذاشته شود، محدودیت‌های دسترسی با آن به اشتراک گذاشته می‌شود. سپس احراز هویت مبتنی بر هوش مصنوعی این محدودیت‌های دسترسی در سطح داده را در هر کجا که داده استفاده می‌شود، اعمال می‌کند.  

نتیجه گیری:  

همانطور که الزامات مدیریت هویت و دسترسی تکامل می یابد، هوش مصنوعی به عنوان یک ابزار در IAM نیز تکامل می یابد. زیرا، واقعیت این است که هوش مصنوعی برای مدیریت پیچیدگی تجزیه و تحلیل در مقیاس و سرعتی که در تغییر چشم‌انداز تهدید و هویت در حال تحول و محیط مدیریت دسترسی مورد نیاز است، ضروری است.

بازگشت