隨著網絡釣魚和帳戶接管在大流行的趨勢下愈演愈烈，基于風險的身份驗證(RBA)的重要性開始凸顯。它可以成為保護公司資產的關鍵技術，尤其是在遠程工作日漸走向常規的情況下。

什么是基于風險的身份驗證?

基于風險的身份驗證(RBA)，也稱為自適應身份驗證，它的重點在于檢查“信號”，包括地理位置、用戶行為、擊鍵模式和連接類型等因素。簡單來說，它是基于用戶當前的情況，動態地調整身份驗證需求。例如，當用戶試圖從一個以前沒有關聯的地理位置或IP地址進行身份驗證時，可能會面臨額外的身份驗證要求。

不斷變化的RBA市場

自2013年Experian收購41st Parameter以來，身份驗證領域已經發生了很多企業并購案例：

• Equifax收購Kount;
• Lexis/Nexis Risk Solutions收購ThreatMetrix;
• Transunion收購Iovation;
• Quest Software收購OneLogin;
• Vasco更名為OneSpan;
• RSA將Fraud Manager拆分為Outseer;
• Easy Solutions現在是Appgate的一部分;
• Ping Identity收購SecureTouch;

在所有這些活動的背后，RBA已經分裂為“兩個半”主要市場：交易/欺詐防御和企業身份驗證。另外那“一半”可以被認為是一些供應商正在使用的無密碼品牌。雖然最后一個用例不是完全的自適應/遞升式身份驗證，但結合一系列身份驗證因素的概念有助于推動RBA的全面普及。

值得注意的是，其中一些合并案例還涉及主要的信用局。這表明RBA從一種不穩定的信息安全技術發展成為主流的速度有多快。

推動RBA采用的身份驗證趨勢

多因素身份驗證成為常態

去年10月，谷歌在其自己的賬戶中強制實施了多因素身份驗證(MFA)，并且已經收獲了網絡釣魚和賬戶泄露迅速減少的戰果。這也有助于推動實現更高的RBA采用率，因為在推出RBA之前，您需要將MFA實施到位。

其他兩項受到更多關注的核心技術包括，FIDOv2和OpenID Connect標準。它們都取得了長足的進步，且現在大多數都已被所有五個端點操作系統(Windows、MacOS、Linux、Android和iOS)所接受和實施。

對使用生物特征數據的擔憂

得益于歐盟《通用數據保護法案》(GDPR)及其他同類規定的陸續出臺，有關“安全工具如何利用生物特征數據、這些數據的存儲位置，以及它如何遍歷身份驗證基礎設施”等問題的敏感度越來越高。最近，美國國稅局宣布不再使用涉及面部識別的第三方驗證，便是最好的例子。使用RBA有助于控制您的安全設備使用這些生物識別特征的方式。

威脅正變得更加復雜

RBA將繼續在對抗最新的復雜威脅(例如分期付款的日益普及)方面發揮作用。

EMV 3-D Secure采用率日益增多

支付供應商仍在繼續開發EMV 3-D Secure(3DS)標準，該標準結合了RBA方法來打擊交易欺詐。一些RBA供應商已經開始將該標準納入他們的工具集中。支付和信貸供應商——包括萬事達卡的NuData安全業務——現在可以訪問涉及數十億筆交易的龐大語料庫，他們可以將其用作欺詐的早期預警，以應對升級挑戰。

RBA產品

此次榜單中的關鍵供應商包括：

• Appgate RBA;
• Cisco/Duo Security;
• Entersekt身份驗證;
• iProov;
• Lexis/Nexis風險解決方案;
• Okta(提供自身和Auth0產品線);
• OneLogin;
• OneSpan智能自適應驗證;
• Outseer欺詐管理器;
• PingID(提供一系列產品);
• Silverfort;
• Thales Safenet可信訪問;

該領域的其他供應商，包括Iovation、Kount、IBM Security的驗證訪問(Verity Access)、HID的全球風險管理(Global Risk Management)、SecureAuth和Transmit Security等等。

RBA定價

大多數RBA供應商對定價都含糊其辭。目前，RBA有兩大主要市場：一種方案用于交易或欺詐檢測業務，另一種方案為傳統的按最終用戶身份驗證業務。

不過也有三個例外：Duo、Ping和Okta。Duo擁有直觀的定價頁面，以清晰且信息豐富的方式列出了各種定價級別以及每個級別的可用功能;Ping的定價也是透明化的;Okta自身產品及Auth0產品線都有明確的定價頁面。

許多供應商都開通了針對最高級產品的免費試用渠道，有些供應商(如Duo和Auth0)甚至提供了永久免費項目，缺點是免費項目一般功能有限。

RBA產品對比

1. Appgate RBA

Medina Capital于2017年收購了Easy Solutions，后者成為新的安全基礎設施公司Cyxtera的一部分。2020年1月，Cyxtera將包括RBA解決方案在內的網絡安全部門拆分為一家新公司AppGate。該供應商為其RBA增加了行為生物識別技術，自己的基于挑戰響應的一次性軟密碼令牌身份驗證應用程序，以及改進的機器學習功能。未來，AppGate還計劃為DetectTA和DetectID開發基于Web的管理控制臺;提供整個套件中用戶活動的單一窗格;將自己基于網絡的現有行為生物識別技術擴展到移動應用SDK。

該公司有交易定價，并表示每年約有600萬次登錄的中型組織將支付10,000美元的固定費用，額外交易需支付附加費。他們沒有自己的身份提供商，但通過SAML和Radius連接支持 Active Directory、Google、Salesforce、SugarCRM等。

2. Cisco/Duo Security

自從幾年前被Cisco收購以來，Duo一直在不斷增強其身份驗證產品，并擁有功能齊全的身份驗證工具集合。

雖然Duo Security身份驗證功能的范圍是細粒度和深入的，但管理RBA流程和策略并沒有達到應有的水平。例如，您可以跟蹤用戶位置、設備硬件指紋、行為因素、正在運行的應用程序等等。但是，根據這些不同的信號制定最佳行動可能仍存在一些不足。此外，任何生物特征數據都被加密并存儲在端點安全隔區(secure enclave)中。

Duo支持多種身份提供商，包括Okta、Google和Active Directory。它還支持FIDOv2標準和設備，是OpenID共享信號工作組的主要參與者。正如上所述，Duo的定價是透明且清晰的，應該成為仍然隱藏其費用結構的供應商的榜樣。該公司每月處理數十億筆交易。

3. Entersekt身份驗證

Entersekt總部位于南非開普敦，在過去十年中主要提供金融服務交易安全。它最近已將業務擴展到勞動力用戶身份驗證市場。Entersekt沒有自己的身份提供商，但通過SAML和OAuth支持其他身份提供商。它與端點安全可信硬件一起存儲私有加密密鑰，并檢測手機上安裝的越獄和有害應用程序。

Entersekt對包括位置、指紋硬件和NuData安全交易語料庫在內的風險信號進行評分，以建立每筆交易的風險概況。它支持FIDO設備和標準。Entersekt提供交易定價和按用戶定價兩種定價模型。

4. iProov

iProov是另一個擁有十年歷史的安全供應商，它為開發人員提供軟件開發工具包(SDK)，而非“交鑰匙”(turn-key)應用程序套件。iProov不會存儲私人數據，只會在短時間內檢查用戶的初始登錄。客戶可以為此臨時數據存儲的生命周期指定12小時到一個月的范圍。

iProov支持身份提供商，包括ID.me、Ping Identity和Jumio.com。它提供交易定價和按用戶定價兩種模式。iProov曾在倫敦圣潘克拉斯火車站參與了一項有趣的試驗，乘客只需掃描面部即可登上歐洲之星列車。

5. Lexis/Nexis風險解決方案

該公司于2018年收購了ThreatMetrix，此后建立了復雜的RBA業務，提供一系列移動SDK和基于Java的工具，現在幾乎每家大型銀行和大多數大型保險公司都在使用這些工具。 Lexis/Nexis風險解決方案使用其龐大的語料庫(該公司每小時處理超過85億臺設備的超過2.7億筆交易)來檢測交易欺詐并為身份驗證提供信號。

它提供三種不同級別的端點識別：基于cookie的ExactID、基于Java的SmartID以及使用加密簽名的StrongID系統，其中私鑰存儲在手機或桌面的安全隔區中。它支持最新的EMV 3DS協議。Lexis/Nexis提供交易定價模式。

6. Okta

Okta提供兩條產品線：首先是Auth0的自適應多因素身份驗證(MFA)。Auth0 擁有完善的風險信號集，包括“不可能的行程”(從相距很遠的位置連續發生多次登錄)、已知的惡意IP地址、機器人檢測，以及通過其獨立的攻擊保護和憑據防護(Credential Guard)服務進行的密碼泄露檢測，適用于企業級計劃。它的定價是透明的，有永久免費計劃和每月23美元起兩種定價模式(不是基于每個用戶，而是基于交易)。任何RBA/MFA功能僅在企業級計劃中提供，需額外付費。

Okta自己的產品線包括其MFA工具和針對7,000種不同產品的大量身份驗證策略，以及針對不同編程語言和框架的大量API參考。Okta的風險生態系統API通過從新的第三方解決方案(包括機器人檢測和Web應用程序防火墻提供商Fastly、HUMAN、F5 Networks和PerimeterX)處獲取外部風險信號，來增強其內置風險評分系統。Okta的FastPass無密碼產品適用于其單點登錄產品。

該公司還有一個透明的定價頁面，提供RBA的普通用戶計劃，起價為5美元/用戶/月。自適應MFA定價為6美元/用戶/月。企業級計劃的交易定價方案起價為36,000美元/年。

7. OneLogin

OneLogin現在是One Identity解決方案的訪問管理組件。OneLogin RBA功能由其Vigilance AI動態風險引擎提供，該引擎對每次身份驗證嘗試進行評分，并分配適當的操作和登錄流程。該產品還提供動態智能因素身份驗證，并檢查受損憑證，以防止用戶使用已暴露或重復密碼。

OneLogin不存儲任何生物特征數據，并支持設備上的硬件指紋識別。支持FIDO2/WebAuthn標準作為附加MFA(包括使用Yubico密鑰、FaceID和Windows Hello)，并將其存儲在安全端點隔區中。OneLogin可以同步自己的IDP以及Google Workspace、AD、Azure AD、LDAP等。普通用戶的定價范圍為2至6美元/位/月。

8. OneSpan智能自適應驗證

Vasco將其名稱更改為OneSpan，并在其解決方案組合中添加了RBA。該供應商主要專注于金融服務，并且正在不斷擴展其金融科技集成和合作伙伴關系組合。

OneSpan智能自適應驗證可以進行規則范圍界定(開始和結束日期)，并具有一套非常全面的，產品化的和捆綁的罐裝規則模板集。其移動應用程序SDK支持移動應用程序的應用程序屏蔽(防篡改)以及收集設備上下文變量以進行風險評分。不過，該解決方案沒有明確的，內置的，基于威脅情報的設備ID熱點列表;機器學習不是顯式可配置的，而在其他供應商之后;對于第三方MFA身份驗證器，沒有威脅情報集成，用戶自助服務或開箱即用的產品化支持;只有很少的儀表板，該解決方案不提供共享的設備和用戶信譽服務;該解決方案可能非常適合已在Vasco / OneSpan MFA軟件和硬件身份驗證器上進行了現有投資的組織，或者是注重價值，在更全面的解決方案上尋求基本功能的組織。OneSpan目前暫未透露定價。

9. Outseer欺詐管理器

RSA通過拆分其欺詐與風險情報事業部，成立了Outseer，為全球客戶和合作伙伴社區提供服務。Outseer正在通過新構建的產品組合提供所有傳統產品：

Outseer Fraud Manager：(原名RSA Adaptive Authentication)利用基于風險的賬戶監控決策為所有數字渠道的客戶提供保護;

Outseer 3-D Secure：(原名RSA Adaptive Authentication for eCommerce)無卡支付和數字支付驗證的黃金標準，符合最新的EMV 3-D Secure標準;

Outseer FraudAction：(原名RSA FraudAction)提供與釣魚網站、流氓應用程序和欺詐性社交媒體頁面有關的快速檢測、清除和數據洞察力;

這些屢獲殊榮的產品共同作為支付驗證、賬戶泄露欺詐檢測和欺詐調查的基準，同時為全球知名商戶、發行銀行和支付提供商帶來無礙的客戶體驗。未來，Outseer將繼續革新支付驗證產品，緊隨EMV 3-D Secure 2.x支付標準，并在支付和商業生態系統中整合新技術。

10. PingOne系列產品

PingOne是一系列身份驗證產品，可用于各種配置，以支持RBA進行工作流身份驗證和交易。該公司去年收購了SecureTouch并將其更名為PingOne Fraud，該產品著眼于行為分析并識別受損設備和其他可疑信號。PingID產品集中的其他工具包括：

PingOne Risk是它的風險管理引擎，可以評估各種信號;

PingOne Verify是它自己的身份驗證工具;

PingOne Authorize是其主要的RBA工具，用戶可以在其中設置身份驗證規則和策略;

PingOne DaVinci是其最新的身份編排工具，可用于使用類似Visio的流程圖創建自動化例程。

PingID為用戶提供所有組件的30天免費試用計劃。它還有一個完整但令人困惑的定價頁面。

11. Silverfort

Silverfort通過搭載Ping、Okta和Azure AD等現有身份提供商，對RBA采取了不同的方法。它有一個全面的風險引擎，可以檢測包括行為變化和外部風險指標(例如您的網絡安全管理工具釋放的信號)在內的信號。它不使用任何軟件代理來找出潛在的威脅和身份驗證問題，如果您擔心基于物聯網的妥協，或無法輕松監控及保護基于網絡的設備，這一點將十分關鍵。它具有基于用戶的定價。

12. Thales Safenet可信訪問

SafeNet可信訪問是一種基于云的訪問管理解決方案，它將單點登錄的便利性與細粒度的訪問安全性相結合，使組織能夠簡化和保護對Web和云應用程序的訪問。每次用戶登錄到云應用程序時，SafeNet可信訪問都會驗證用戶的身份，評估應該適用何種訪問策略，然后通過智能單點登錄采用適當級別的身份驗證。通過對其云生態系統更好的控制和可見性，SafeNet可信訪問可幫助組織防止數據泄露，安全地遷移到云并簡化監管合規。

它是FIDO的早期部署，通過SAML支持自己的身份提供商和其他身份提供商。它已與NuData Security合作開發交易智能。Safenet的基本價格為3.50美元/位/月，其中包括所有MFA和RBA選項以及各種訪問管理功能。

本文翻譯自：https://www.csoonline.com/article/3651354/12-risk-based-authentication-tools-compared.html如若轉載，請注明原文地址