Аутентификация как услуга (AaaS)

Что такое аутентификация как услуга (AaaS)?

Аутентификация как услуга предоставляет возможности аутентификации в облаке, чтобы финансовые учреждения могли безопасно проверять своих клиентов с помощью многофакторной аутентификации (MFA). Финансовые учреждения переходят на облачные вычисления, меньше полагаясь на необходимость обслуживания, модернизации и замены оборудования и технологий аутентификации на местах. Сегодня продолжающаяся цифровая эволюция была ускорена пандемией COVID-19, и клиенты теперь ожидают более цифрового опыта работы со своим банком. Аутентификация как услуга позволяет финансовым учреждениям исключить затраты на ремонт и замену сетевой инфраструктуры и смягчить последствия мошенничества. Они также могут увеличивать или уменьшать масштаб в зависимости от спроса клиентов. Аутентификация как услуга усиливает и упрощает аутентификацию в приложениях и каналах, поддерживает сочетание аппаратных и программных методов аутентификации и может быть модернизирована для поддержки более комплексных решений аутентификации, таких как адаптивная аутентификация или аутентификация на основе рисков.

Аутентификация как услуга: методы многофакторной аутентификации

Аутентификация как услуга использует многофакторную аутентификацию (MFA) для обеспечения безопасности входа в систему, когда два или более факторов аутентификации объединяются для проверки личности. Это может быть:

  • Что-то известное вам, например, одноразовый пароль (OTP) или ответ на секретный вопрос
  • То, что у вас есть, например, ваше мобильное устройство
  • То, чем вы являетесь, например, отпечатки пальцев или сканирование лица

Для достижения многофакторной аутентификации в процессе аутентификации должны использоваться как минимум две различные технологии из как минимум двух различных групп технологий. В результате использование PIN-кода в сочетании с паролем не будет считаться MFA, а использование PIN-кода с распознаванием лица в качестве второго фактора - будет. Также допустимо использовать более двух форм аутентификации. Однако большинство людей все больше хотят получить аутентификацию без трения (возможность пройти проверку без необходимости выполнения чрезмерных шагов безопасности).

Аутентификация как услуга также поддерживает новейшие технологии, такие как открытые стандарты, например FIDO, биометрия (включая распознавание лиц и сканирование отпечатков пальцев), внеполосная аутентификация, например Cronto, QR-коды и оборудование нового поколения.

Webcast banner

Future-Proof Authentication with a Modern Cloud-Based Platform

Experts discuss how the ability to leverage a modern security platform is central not only to supporting cloud-first strategies, but for driving down fraud, boosting the user experience and reducing total operating costs in the process. 

View the Webinar

Преимущества использования аутентификации как услуги

В последнее десятилетие наблюдается все большее внедрение облачных и гибридных облачных развертываний для ИТ-услуг и приложений. Пандемия COVID-19 ускорила инициативы банков по цифровой трансформации и модернизации. Пандемия также ускорила цифровое поведение клиентов. Сегодня люди ожидают больше цифрового взаимодействия со своими финансовыми учреждениями, и они ожидают, что это взаимодействие будет беспрепятственным. Эти инициативы трудно поддерживать с помощью локальной инфраструктуры, особенно во время пандемии. Это является одной из причин интереса к облачным решениям.

В отчете Aite Group " Возвышение цифрового банковского обслуживания" (The Rise of Digital-First Banking) рассматривается вопрос о том, как потребители станут цифровыми вне зависимости от поколения и готовы ли финансовые учреждения к этому сейчас, когда пандемия коронавируса изменила способы взаимодействия потребителей во всех сферах их жизни. "Кризис COVID-19 подталкивает траекторию внедрения и использования цифровых технологий на полный ход", - утверждает Тиффани Монтес, старший аналитик Aite Group. "Цифровой банкинг - это новая норма, и сейчас, как никогда, для ФО важно создать новый цифровой опыт и оптимизировать существующие цифровые процессы, чтобы уменьшить трение"

Вот преимущества аутентификации как услуги:

  • Нет необходимости размещать оборудование в помещениях: благодаря аутентификации как услуге финансовые учреждения могут сократить операционные расходы на ИТ-отделы.
  • Отсутствие дополнительного ИТ-персонала: ИТ-оборудование требует обслуживания и замены. При аутентификации как услуге сторонний поставщик услуг обычно отвечает за обслуживание оборудования, на котором размещено приложение. Например, высококвалифицированные сотрудники, такие как инженеры инфраструктуры, могут быть переназначены на другие ИТ-проекты вместо того, чтобы тратить свое время на техническое обслуживание. Поскольку аутентификация как услуга не требует пароля, она избавляет занятые ИТ-команды от необходимости смены паролей.
  • Снижение эксплуатационных расходов, повышение эффективности работы: аутентификация как услуга позволяет финансовым учреждениям снизить текущие расходы на замену серверного оборудования, сетевую инфраструктуру, обслуживание сети, хостинг и процедуры безопасности. В результате эксплуатационные расходы оказываются ниже, чем при развертывании локальных сетей, и более постоянными, что повышает эффективность работы и обеспечивает безопасный доступ.
  • Возможность масштабирования: Аутентификация как услуга предоставляет банкам возможность увеличивать или уменьшать масштаб по мере необходимости для удовлетворения текущего спроса. Это делает ценообразование менее сложным и менее затратным приобретение дополнительных мощностей облачных сервисов, чем развертывание нового серверного оборудования на месте.
  • Быстрое и простое развертывание: аутентификация как услуга может быть развернута в течение нескольких недель без необходимости приобретения, обеспечения и развертывания какой-либо ИТ-инфраструктуры. В отличие от этого, развертывание локальных систем может занять несколько месяцев или даже год, в зависимости от бюджета и других факторов.
  • Гибкие возможности аутентификации: аутентификация как услуга поддерживает гибридные технологии программной и аппаратной аутентификации, непрерывный мониторинг, профилирование устройств и многопользовательских каналов. Его можно плавно модернизировать до более комплексных решений, таких как аутентификация на основе рисков, использующая машинное обучение и механизм оценки рисков для снижения уровня мошенничества.

Три примера организаций, использующих аутентификацию как услугу

Пример №1: Японский банк переходит на облачную аутентификацию

Задача: Этот японский банк выпустил свое мобильное банковское приложение в ноябре 2019 года. Первоначально функциональность приложения была ограничена и позволяла пользователям только проверять свой баланс. Кроме того, устаревший процесс аутентификации, используемый в онлайн-канале, не обеспечивал удовлетворительный опыт работы с мобильными устройствами. Клиенты будут получать одноразовый пароль (OTP) по электронной почте и вводить его на веб-портале. Этот опыт не был хорошо перенесен на мобильные устройства. Банк решил внедрить облачную аутентификацию и подписание данных о транзакциях, чтобы обеспечить безопасность денежных переводов через приложение. Сроки реализации этого проекта были очень сжатыми, поскольку банку необходимо было выпустить обновленную версию приложения через три месяца после начала проекта. Как правило, интеграция нового решения аутентификации в существующее приложение и развертывание локального сервера аутентификации для его поддержки может занять до года. Вместо этого банк решил перейти на сервер аутентификации, размещенный в облаке.

Результат: Теперь клиенты могут проходить аутентификацию, получая OTP в приложении, или использовать биометрию по отпечатку пальца. Результат - надежный, безопасный и удобный клиентский опыт при расширении функциональности мобильного банковского приложения.

Пример №2: FinTech обеспечивает облачную аутентификацию для всех норвежских банков

Задача: В данном примере использования норвежская финтех-организация предлагает норвежским банкам безопасное и экономически эффективное решение по аутентификации для идентификации и электронных подписей. Для аутентификации пользователи должны были использовать аппаратные аутентификаторы, которые обеспечивали необходимую безопасность для конечного пользователя. Однако отзывы клиентов показали желание получить программное решение для аутентификации, которое позволяло бы им использовать свои мобильные устройства. Организация решила запустить новое мобильное приложение для аутентификации пользователей, чтобы улучшить клиентский опыт и внедрить биометрию. Организация частично принадлежит всем банкам Норвегии, и все они пользуются этой услугой. В результате организация не могла рассматривать решение для аутентификации на месте, поскольку это потребовало бы от каждого норвежского банка развертывания нового сервера аутентификации на месте.

Результат: Используя облачную аутентификацию, банки могут легко внедрить приложение для аутентификации пользователей. После развертывания приложения пользователи получили доступ к многофакторной аутентификации (MFA) с биометрией отпечатков пальцев и push-уведомлениями. Новый опыт оказался значительно более удобным для клиентов, и те, кто загрузил приложение для аутентификации, могли спокойно оставить свои аппаратные аутентификаторы.

Пример из практики №3: Медицинская организация внедряет облачную аутентификацию для снижения затрат

Задача: Эта компания по разработке программного обеспечения для здравоохранения недавно модернизировала свою стратегию безопасности, перейдя на аутентификацию как услугу. Компания продает решение Electronic Prescription of Controlled Substances (EPCS), которое помогает врачам и медицинским работникам связывать своих пациентов с необходимыми им регулируемыми лекарствами. В связи с тем, что речь идет о конфиденциальных данных, как о конфиденциальности медицинской информации, так и о возможности неправильного использования лекарств, аутентификация и идентификация пользователя являются чрезвычайно важными компонентами решения.

Результат: Компания перешла от локальной реализации к облачному поставщику услуг аутентификации, чтобы избежать расходов, связанных с приобретением, поддержкой и обслуживанием серверов для обеспечения аутентификации. Компания также хотела интегрировать процесс аутентификации в свой существующий продукт с помощью решения, которое позволяет легко развернуть, оценить и проверить соответствие всем нормативным требованиям.

 

Как аутентификация как услуга помогает бороться с мошенничеством

Финансовые учреждения могут помочь защитить своих клиентов от угроз мошенничества с помощью облачного MFA на базе проверенной и надежной инфраструктуры безопасности. На данный момент в 2020 году произошли значительные утечки данных в Twitter, Zoom и Marriott, который пострадал от второй утечки за столько лет[JM2] . Поскольку многие люди по-прежнему используют одни и те же статические пароли в качестве единственного средства аутентификации для нескольких учетных записей, любая утечка данных о паролях и адресах электронной почты может иметь серьезные последствия для потребителей.

В результате пандемии COVID-19 киберпреступники активизировали свои усилия: с начала года количество фишинговых сайтов увеличилось на 350%, а потери от мошенничества с покупками с начала блокировки составили 16,6 млн фунтов стерлингов (20,8 млн долларов США). Фишинг остается предпочтительным

метод для злоумышленников при краже учетных данных, согласно отчету Verizon о расследованиях утечек данных за 2020 год. Кроме того, поскольку в "темной паутине" циркулирует более 15 миллиардов учетных данных, у киберпреступников есть все необходимое для совершения атак с захватом аккаунта и других видов мошенничества.

Продолжающаяся цифровая эволюция также привела к росту мобильной связи, расширению цифровых каналов и увеличению количества приложений и продуктов. Это часто приводило к разрозненному подходу к безопасности аутентификации, в результате чего на ИТ-персонал ложилось бремя управления различными решениями. Аутентификация как услуга обеспечивает централизованную безопасность и гарантирует, что банки смогут защитить клиентов от атак мошенников, в частности, от атак социальной инженерии и фишинга.

Gaining the Upper Hand on Fraud with Modern SaaS Authentication

Gaining the Upper Hand on Fraud with Modern SaaS Authentication

Learn how cloud authentication is a key stepping stone to modernizing security.

Read the Blog

Как аутентификация как услуга улучшает качество обслуживания клиентов

Учитывая угрожающий ландшафт угроз, аутентификация как услуга (AaaS) помогает банкам поддерживать безопасность аутентификации пользователей, повышая доверие клиентов цифровых банковских услуг. Клиенты могут проходить аутентификацию с помощью удобных для пользователя вариантов мобильной аутентификации, таких как биометрия и push-уведомление в приложении, что обеспечивает беспрепятственное взаимодействие с пользователем. Поскольку клиенты все больше ориентируются на цифровые технологии, они получают безопасную аутентификацию через облако.

Как она соответствует нормативным требованиям

Аутентификация как услуга предназначена для выполнения требований PSD2 по строгой аутентификации клиентов (SCA) для безопасных онлайн-платежей. Для этого используется многофакторная аутентификация, динамическое связывание (для противодействия атакам типа "человек посередине"), мобильная безопасность и биометрические технологии. Требования SCA помогают ограничить мошенничество и повысить безопасность онлайн-платежей, поскольку от клиентов требуется аутентификация по двум из трех элементов аутентификации:

  • Что-то, что знает клиент (например, PIN-код, пароль, секретный вопрос)
  • То, что есть у клиента (например, устройство)
  • То, чем является клиент (например, биометрические данные, такие как отпечатки пальцев или распознавание лица)

Динамическая привязка также помогает финансовым учреждениям достичь соответствия требованиям, поскольку в момент совершения операции должны отображаться стоимость операции и личность получателя, а также должны использоваться как минимум два элемента владения. Эти элементы владения должны динамически связывать транзакцию с суммой и получателем, указанными плательщиком, при инициировании и проверке транзакции.

Стратегическое значение

Аутентификация как услуга использует облачную многофакторную аутентификацию для обеспечения безопасности, строгого соблюдения нормативных требований и беспрепятственного обслуживания клиентов, что способствует росту. Аутентификация как услуга - это современный подход к управлению идентификацией и доступом, который позволяет использовать ресурсы облачных вычислений, а также обеспечивает лучший пользовательский опыт и управление пользователями. Это решение обеспечивает немедленное повышение эффективности банков за счет быстрого развертывания. Аутентификация как услуга также способствует быстрому развертыванию, поскольку большинство поставщиков AaaS имеют плагины и API (RESTful Services и т.д.), позволяющие легко интегрировать их в корпоративные приложения.

AaaS добавляет дополнительные уровни безопасности, обеспечивая не только надежную аутентификацию, но и политики контроля доступа. Конфиденциальность в облаке достигается путем применения различных алгоритмов наряду с процедурами шифрования и дешифрования, хеширования, цифровых подписей, сертификатов, а также управления обменом ключами. Облачный MFA также поддерживает все более цифровое поведение клиентов. Переходя от локальной инфраструктуры к поставщику услуг в облаке, финансовые учреждения и другие организации создают основу для настройки и более комплексных решений аутентификации, таких как аутентификация на основе рисков или адаптивная аутентификация.

Свяжитесь с нами

Свяжитесь с одним из наших экспертов по безопасности, чтобы узнать больше о том, как наши решения могут помочь вам в обеспечении цифровой безопасности