เนื้อหานี้จัดทำโดย Yubicoหนึ่งสัปดาห์หลังจากท่อส่งโคโลเนียลถูกแฮ็ก ซึ่งนำไปสู่การขาดแคลนก๊าซทั้งในและนอกชายฝั่งตะวันออก ประธานาธิบดีโจ ไบเดนกำลังบรรลุ ‘การเปลี่ยนแปลงที่กล้าได้กล้าเสีย’ ในการรับรองความถูกต้องจาก EO ในเรื่องความปลอดภัยทางไซเบอร์ทำเนียบขาวออกคำสั่งผู้บริหารซึ่งมีรายละเอียดหลายขั้นตอนเพื่อปรับปรุงทั้งหน่วยงานรัฐบาลกลางและสุขอนามัยในโลกไซเบอร์ของรัฐบาล ท่ามกลางเป้าหมายระยะสั้นและระยะยาวที่กำหนดไว้ในเอกสาร หน่วยงานมีเวลา 180 วันในการจัดทำการตรวจสอบสิทธิ์แบบหลายปัจจัยเพื่อเข้าถึงข้อมูล
“การปรับปรุงที่เพิ่มขึ้นจะไม่ให้ความปลอดภัยที่เราต้องการ
แต่รัฐบาลกลางจำเป็นต้องทำการเปลี่ยนแปลงอย่างกล้าหาญและลงทุนครั้งสำคัญเพื่อปกป้องสถาบันสำคัญที่ค้ำจุนวิถีชีวิตของชาวอเมริกัน” คำสั่งฝ่ายบริหารระบุ
แต่การรับรองความถูกต้องด้วยหลายปัจจัยไม่ใช่ “การเปลี่ยนแปลงที่ชัดเจน” เป็นการปฏิบัติด้านสุขอนามัยในโลกไซเบอร์ที่ได้รับการทดลองและเป็นจริงเป็นอย่างดี และเป็นหน่วยงานของรัฐบาลกลางที่ควรคุ้นเคยอยู่แล้ว
“Feds นำหน้าตลาดโดยใช้บัตร PIV และ CAC” Jeff Phillips รองประธานฝ่ายภาครัฐของ Yubico กล่าว “แต่พวกเขาตระหนักเมื่อเกิดโรคระบาดว่าพวกเขาจำเป็นต้องเปลี่ยนไปใช้สภาพแวดล้อมการทำงานจากทุกที่สำหรับพนักงานของพวกเขา การออกเทคโนโลยี crypto นั้นเป็นการพิสูจน์ตัวตนซึ่งเผชิญหน้ากัน แล้วเราจะชดเชยสิ่งนั้นได้อย่างไร”
นั่นเป็นสาเหตุที่คีย์ความปลอดภัยของฮาร์ดแวร์ เช่นYubiKeyจากYubicoซึ่งเป็นหนึ่งในสามของกระทรวงกลาโหมที่อนุมัติตัวตรวจสอบสิทธิ์สำรองและอ้างอิงในคำแนะนำของ NSA ในการเลือกโซลูชันการตรวจสอบสิทธิ์แบบหลายปัจจัยที่ปลอดภัยซึ่งให้การยืนยันที่ได้รับผ่านอุปกรณ์จำนวนเท่าใดก็ได้ ตั้งแต่โทรศัพท์มือถือไปจนถึงแล็ปท็อป สามารถใช้เป็นส่วนเสริมของการ์ด PIV และ CAC สิ่งนี้ช่วยเติมเต็มช่องว่างที่สำคัญสำหรับรัฐบาล เพราะแม้ในขณะที่โรคระบาดเริ่มสงบลง พนักงานก็จะไม่ได้กลับมาที่สำนักงานเป็นกลุ่มๆ หน่วยงานของรัฐบาลกลางจะเริ่มสำรวจรูปแบบไฮบริดเกี่ยวกับการทำงานทางไกล และหน่วยงานบางแห่งกำลังสำรวจทางเลือกในการรวมทรัพย์สินด้านอสังหาริมทรัพย์ของตน
ช่องว่างนั้นเป็นสิ่งสำคัญที่จะต้องเติมเต็มอย่างรวดเร็ว
พนักงานที่ทำงานจากระยะไกลทำให้การรักษาความปลอดภัยเครือข่ายและข้อมูลของหน่วยงานทำได้ยากขึ้นอย่างมาก พนักงานที่กระจายตามพื้นที่ซึ่งทำงานนอกขอบเขตความปลอดภัยแบบดั้งเดิมหมายถึงพื้นที่การโจมตีที่เพิ่มขึ้นอย่างมาก นั่นจะทำให้การไปสู่เป้าหมายที่ไม่ไว้วางใจของ Biden Administration นั้นยากขึ้น
“ความไว้ใจเป็นศูนย์คือการรับรองความถูกต้องอย่างต่อเนื่อง เป็นการยืนยันว่าคุณเป็นใคร” ฟิลลิปส์กล่าว “และต้องไม่ใช่รหัสหกหลักที่ส่งถึงคุณจากระบบอื่นเนื่องจากเกี่ยวข้องกับการตรวจสอบสิทธิ์ ต้องเป็นมากกว่าชื่อผู้ใช้และรหัสผ่าน การยืนยันตัวตนแบบหลายปัจจัยจะเป็นกลไกการพิสูจน์ตัวตนที่สำคัญทั่วทั้งสถาปัตยกรรมแบบ Zero Trust ทั้งหมด เนื่องจากตอนนี้คุณจะมีการตรวจสอบสิทธิ์ใน VPN คุณจะต้องมีการตรวจสอบสิทธิ์ในแอปพลิเคชันของคุณ และดังนั้นในบริการคลาวด์ของคุณ”
แต่โซลูชันการยืนยันตัวตนแบบหลายปัจจัย เช่น ตัวตรวจสอบสิทธิ์แบบใช้มือถือมีความเสี่ยงมากขึ้นต่อฟิชชิงและการโจมตีด้วยกำลังเดรัจฉานที่ขับเคลื่อนด้วย AI ช่องโหว่นั้นจะเพิ่มขึ้นตามขนาดขององค์กรเท่านั้น เนื่องจากผู้ใช้ทุกคนคือช่องโหว่ และเมื่อผู้ไม่ประสงค์ดีเข้ามาอยู่ในระบบ พวกเขาสามารถเคลื่อนผ่านการเคลื่อนไหวด้านข้าง ซึ่งท้ายที่สุดจะสูญเสียข้อมูลมากขึ้น
แต่รูปแบบการตรวจสอบสิทธิ์แบบอื่นที่ทันสมัย เช่น YubiKey นั้นไม่เสี่ยงต่อฟิชชิงหรืออัลกอริทึม เนื่องจากต้องใช้การสัมผัสทางกายภาพเพื่อเชื่อมต่อและตรวจสอบสิทธิ์ นั่นเป็นเหตุผลว่าทำไมจึงเหมาะอย่างยิ่งสำหรับกรอบการทำงานแบบ Zero Trust
“เราอยู่ในกลุ่มเทคโนโลยีเฉพาะกลุ่มที่ผลิตในสหรัฐฯ และมีห่วงโซ่การดูแลที่จัดตั้งขึ้นซึ่งตรงตามข้อกำหนดของรัฐบาลปัจจุบันทั้งหมด รวมถึงใบรับรอง Cybersecurity Maturity Model Certification และ FedRAMP” Phillips กล่าว
นั่นเป็นเหตุผลหนึ่งที่การใช้ YubiKeys เริ่มเห็นการนำไปใช้ในพื้นที่ของรัฐบาลกลาง
“เราเห็นการใช้ YubiKeys เพิ่มขึ้นในหมู่หน่วย Air National Guard” ฟิลลิปส์กล่าว “ตัวอย่างหนึ่งคือ New York Air National Guard ซึ่งต้องเผชิญกับคนจำนวนมากที่มีงานประจำซึ่งต้องทำเวรยามเดือนละครั้ง หรือถูกเรียกตัวในยามฉุกเฉิน คนเหล่านี้จำเป็นต้องเข้าถึงระบบบางอย่างที่ต้องการระดับความปลอดภัยสูงสุด พวกเขาหันมาหาเราเพื่อสนับสนุนระบบการตอบสนองต่อภัยพิบัติทางธรรมชาติเป็นอันดับแรกด้วยการพิสูจน์ตัวตนระดับสูงสุด”
หลายคนไม่มีบัตร CAC เนื่องจากบัตร CAC มีไว้ใช้ในชีวิตประจำวันเป็นหลัก ไม่ใช่แบบชั่วคราว ดังนั้นYubico จึงช่วย New York Air National Guardหาวิธีนำ YubiKeys ไปให้เจ้าหน้าที่รักษาความปลอดภัยที่ต้องการเข้าถึงระบบเหล่านั้น
