Wprowadzenie uwierzytelnienia wieloskładnikowego wykorzystującego weryfikację behawioralną jest oficjalną rekomendacją Narodowego Banku Polskiego dla wszystkich instytucji finansowych.
Jesteśmy Digital Fingerprints – polską firmą, która specjalizuje się w tworzeniu rozwiązań z obszaru cyberbezpieczeństwa z wykorzystaniem technologii weryfikacji behawioralnej. Standardowy model loginów i haseł obecnie nie stanowi dla hakerów żadnego wyzwania, a najpopularniejsze systemy MFA (takie jak tokeny SMS) również nie gwarantują pełnego bezpieczeństwa. Dziś potrzeba czegoś więcej – rozwiązań, które potrafią zweryfikować KTO i JAK korzysta z danego urządzenia czy konta.
Weryfikacja behawioralna
ciągły proces uwierzytelniania, który wykrywa, jeśli osoba do tego niepowołana korzysta z danego konta
Device Fingerprinting
Menedżer Urządzeń Zaufanych, który analizuje każde urządzenie podpięte do systemu
PureSecure
innowacyjne rozwiązanie, które już w momencie logowania zapewnia wszystkie 3 składniki MFA bez wpływu na UX
Weryfikacja behawioralna mobile
mechanizmy weryfikacji behawioralnej zaimplementowane na urządzeniach mobilnych
Czy chcesz, aby Twoje konta, konta pracowników Twojej firmy oraz jej klientów były bezpieczne? Czy chcesz zainwestować w technologię, która skutecznie ochroni wszystkie zasoby przedsiębiorstwa przed atakami cyberprzestępców? W ten sposób działa weryfikacja behawioralna i pokrewne rozwiązania stworzone przez Digital Fingerprints.
Weryfikacja behawioralna to technologia analizująca sposób pisania na klawiaturze – w tym tempo i siłę nacisku na klawisze. Nie ma na świecie dwóch osób piszących dokładnie w ten sam sposób, dlatego jest to nasza unikalna cecha, którą można wykorzystać w procesie uwierzytelniania. W tradycyjnym sposobie pisania długopisem czy piórem każdy ma niepodrabialny charakter pisma, często różniący się niewielkimi szczegółami od innego – ale jednak jest unikalny. Podobnie jest z użyciem klawiatury stacjonarnej czy dotykowej, co analizują systemy weryfikacji behawioralnej.
Weryfikacja behawioralna jest rozwiązaniem zaliczanym do MFA (uwierzytelnianie wieloskładnikowe) oraz 2FA (drugi składnik uwierzytelniania). Jej wykorzystanie jest zgodne z wytycznymi RODO, ponieważ wszystkie pozyskiwane dane są anonimizowane. Nasze rozwiązanie wpisuje się także w założenia ustawy AML (ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu), ponieważ właściciele sklepów internetowych mają obowiązek identyfikować i weryfikować tożsamość swoich klientów.
Wdrożenie weryfikacji behawioralnej powinny przeanalizować wszystkie firmy, którym zależy na ochronie zasobów wewnętrznych lub danych klientów. Ze względu na rosnącą cyberprzestępczość, zaleca się stosowanie tzw. Modelu Zero Trust, który zakłada traktowanie każdego użytkownika jako potencjalne zagrożenie. I to robi weryfikacja behawioralna – ale co warto dodać, działa w tle, więc zupełnie nie wpływa na UX.
Nieprzyjemny scenariusz, ale niestety możliwy – cyberprzestępca wykrada dane logowania do konta bankowego firmy. Dzięki zduplikowanej karcie SIM ma także dostęp do uwierzytelniających kodów SMS, które przychodzą na telefon służbowy. Co w takiej sytuacji może go powstrzymać przed wykradzeniem pieniędzy z konta, skoro ma wszystkie potrzebne do tego informacje i zasoby?
Weryfikacja behawioralna – to właśnie jej mechanizmy zatrzymają hakera. Działa ona w oparciu o modele behawioralne tworzone przy pomocy uczenia maszynowego. Każdy użytkownik ma unikalny sposób wciskania przycisków na klawiaturze, ruszania myszką czy sposób korzystania z urządzenia mobilnego dzięki odczytom z ekranu dotykowego i sensorów (takich jak akcelerometr lub żyroskop). Mechanizmy tworzące weryfikację behawioralną potrafią wykrywać nawet najdrobniejsze zmiany w zachowaniu użytkownika. Jeśli są one niezgodne z modelem, system zablokuje dostęp do konta. Login, hasło oraz kod SMS są zgodne, ale za to użytkownik korzystający aktualnie z konta nie jest jego właścicielem.
Weryfikacja behawioralna to rozwiązanie analizujące zachowania użytkownika w trakcie korzystania z danego urządzenia w czasie rzeczywistym. Wykorzystując zaawansowane obliczenia matematyczne, system przekształca zebrane dane w ponad 80 cech, które pozwalają sztucznej inteligencji na określenie standardowego modelu zachowania użytkownika.
Głównym obszarem działania Digital Fingerprints jest weryfikacja tożsamości, ale rosnące zapotrzebowania i nowe zapytania ze strony klientów, sprawiają, że szyjemy na miarę nowe rozwiązania. PureSecure wykorzystuje podobne mechanizmy do weryfikacji behawioralnej, ale skupia się tylko na momencie logowania. Device Fingerprinting z kolei analizuje wszystkie komponenty urządzeń w danej sieci, a MobileSecure to mobilna wersja weryfikacji behawioralnej – ponieważ nasze życie przenosi się coraz bardziej na ekrany smartfonów, dbamy również o bezpieczeństwo ich użytkowników.
Firmy coraz częściej stosują w kontekście polityki ds. cyberbezpieczeństwa model Zero Trust – zakłada on brak zaufania wobec wszystkich użytkowników, których należy ciągle weryfikować. Umożliwiają to nasze rozwiązania, które jednocześnie działają w tle, czyli nie wpływają negatywnie na UX. Pozwalają więc na pełne zabezpieczenie przed potencjalnymi niebezpieczeństwami, ale w sposób nieinwazyjny dla odbiorcy.
Chronimy także przed popularnymi metodami wykorzystywanymi przez hakerów, takimi jak:
Man-in-the-Middle
Ataki na Internet of Things (IoT)
Ataki za pomocą botów
Brute force
Exploity
Korzystanie z wycieków danych
Ataki DDoS
Phishing
Przejęcia kont na portalach społecznościowych, poczcie elektronicznej czy innych serwisach
Dane dostępowe można przechwycić, kartę SIM – zduplikować. Ale podrobienie unikalnych zachowań danego użytkownika jest praktycznie niemożliwe. To dlatego uważamy, że nasze rozwiązania oparte na machine learningu i mechanizmach ciągłego uwierzytelniania są przyszłością w obszarze cyberbezpieczeństwa. Potwierdza to m.in. trend “passwordless authentication” – czyli zbiór metod uwierzytelniania, które umożliwiają użytkownikowi uzyskanie dostępu do aplikacji lub systemu informatycznego bez wprowadzania hasła lub odpowiadania na pytania bezpieczeństwa. W przypadku weryfikacji behawioralnej, osoba podająca się za właściciela konta może zostać poproszona o wpisanie kilku losowych wyrazów, aby algorytm mógł porównać jej styl pisania z przypisanym modelem behawioralnym.
Digital Fingerprints S.A. ul. Gliwicka 2, 40-079 Katowice. KRS: 0000543443, Sąd Rejonowy Katowice-Wschód, VIII Wydział Gospodarczy, Kapitał zakładowy: 4 528 828,76 zł – opłacony w całości, NIP: 525-260-93-29
Biuro Informacji Kredytowej S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000110015, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 15.550.000 zł opłacony w całości, NIP: 951-177-86-33, REGON: 012845863.
Biuro Informacji Gospodarczej InfoMonitor S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000201192, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 7.105.000 zł opłacony w całości, NIP: 526-274-43-07, REGON: 015625240.