在本文中,请描述CASQUE背后的背景及其迄今为止的演变。公司或组织如何应用您的技术来保护其资产?比如说,一个品牌或一家公司想要规划其网络安全战略。他们应该考虑哪些事情?你认为2019冠状病毒疾病将如何影响你的行业?在未来几年里,你希望看到哪些有趣的趋势或技术?
CASQUE是一种新一代技术,为人和物提供身份保证,在安全性、弹性和可用性方面,包括防御内部攻击方面,与现有产品相比具有显著优势。鉴于2019冠状病毒疾病导致对远程工作和协作平台的依赖日益增加,我邀请Casque董事总经理Basil Philipsz讨论各组织如何加强防御并确保其在线资产的安全。
请描述CASQUE背后的背景及其迄今为止的演变。
我们最初是一家软件公司,从事安全方面的小项目。当我们从多佛港得到一份大合同,以确保进入港口时,这个想法就产生了。多佛港是一个非常繁忙的港口,约有10000人从事各种职能:海关、货运、租赁、仓储等。因此,我们的项目是编写一个软件,以确保物理访问受到保护,我们通过物理屏障和旋转栅门做到了这一点,要求员工使用磁卡进入,并充当标识符。
这是我们开始思考如何访问计算机上的数据资源,而不是物理访问办公楼。这让我们思考了身份验证的一般问题,这让我们看到了什么是可用的。很明显,每一个可用的解决方案都有一些弱点。
这些产品从根本上易受攻击的原因是,当你仔细观察每种身份验证方法时,它们依赖于保守固定的秘密。最明显的是密码,但它也可能是生物模板,也可能是SecurID令牌中的嵌入密钥。它可能是PKI基础设施中的私钥。所有这些方法的问题在于,如果有人发现了固定的秘密,那么安全性就会崩溃。所以我们想,我们如何设计一个系统,让我们能够以透明的方式动态地、即时地更改关键密钥?这就是我们给自己设定的挑战。我们花了很长时间来解决这个难题,我们发现了为什么人们只使用固定钥匙!。
用非常简单的术语来解释,有三个原因说明动态更改密钥非常困难,这就是为什么人们不这么做。
第一个也是最关键的困难是,如果您发送了更改密钥的指令,但没有得到回复,那么您将处于不确定状态。你不知道钥匙是否换了。
第二个问题是,当你在对话中更改按键并验证它们是否已完成时。如果在对话过程中,任何一方出现故障或超时,您如何恢复和恢复?这是动态更新的经典问题。
第三类问题涉及威胁和机遇。假设一名攻击者正在查看对话发生时发生的情况,并复制了更改密钥的指令。发生的情况是,在将来的某个日期,攻击者将自己插入服务器和客户端之间,并重播旧的录制命令。整个过程将不同步,因此会出现拒绝服务。为了解决这些问题,我们需要四项独立的发明。其中一项发明已授予美国和欧盟专利。这意味着核心方法受到专利保护。但其他三项发明都是我们的专有技术。仅仅阅读专利的人可能会理解该方法,但他们不知道如何实际实现它。
此外,为了向人们展示我们有一个可靠的解决方案,我们与英国政府的安全专家英国GCHQ进行了认证,以获得我们的产品CASQUE的机密使用认证。因此,我们在英国国防部实施了各种利用CASQUE能力的定制项目。
下一阶段是摆脱这种定制工作,生产一种客户可以“开箱即用”的商业产品。这需要与主要网络网关制造商进行集成。CASQUE已与CISCO ASA、Fortinet Fortigate、Pulse Connect建立了经验证的接口。
我们最近完成的集成是与WSO2生产的开源身份平台的集成。就在最近,他们还受到了KuppingerCole的积极赞扬,他将WSO2身份识别平台评为这一细分市场的领导者之一。
这里是Casque实际工作原理的快速预览:
一家公司或组织如何应用您的技术来保护他们的资产?
该技术有软件和硬件组件。因此,在软件方面,我们提供两个许可证。第一个软件产品允许客户最初使用密钥集填充我们的令牌。这些令牌是硬件元素。我们提供的令牌实际上是“空白”的因此,客户可以设置自己的钥匙,因此,作为制造商,我们与钥匙没有任何关系,这意味着没有第三方风险。令牌包含一个安全芯片,可以以非接触式智能卡的形式实现。
我们提供的另一个软件产品是身份验证服务器。这个软件运行在Windows或Linux平台上,当然,它可以在云环境下的虚拟机上运行。除此之外,CAS
QUE还可以连接到CAS
QUE框架中的特定网关。Open ID Connect是一种在联邦基础上进行身份管理的方法。它的好处在于,亚马逊网络服务、谷歌云、微软Azure都采用了开放ID连接作为扩展多因素身份验证的接口。所以基本上发生的事情是:你尝试去亚马逊网络服务上的一个资源。
将某些凭据标记为需要特殊身份验证。然后,亚马逊网络服务将请求传递给我们。我们接管浏览器并与客户交谈。
在CASQUE对话之后,如果可以的话,我们会告诉亚马逊,应该允许该用户进入请求的资源。此外,我们还可以提供进一步的授权信息,以允许更细粒度的访问。
就使用案例而言,很明显,最近的冠状病毒导致人们更多地在家工作。做家庭作业很好,它给你灵活性,它有助于更好地定位人们的私人社交生活和工作生活。但是,尽管有这些优点,也存在虐待和攻击的风险。这样的袭击仍在发生。例如,最新统计数据显示,2020年3月,全球有超过8亿条数据记录被破坏。这是一个当前和持续的问题。问题是他们为什么会有数据泄露?有一些显而易见的答案。其中之一是,我提到的这些身份验证技术容易受到攻击。由于固有的漏洞,它会鼓励攻击者,正如我们最近在中国黑客攻击RSA软令牌的案例中发现的那样。荷兰一家网络咨询公司发现了一系列广为人知的违规行为,我在LinkedIn的帖子中也提到了这一点。
这些身份验证方法固有的漏洞还有另一个间接风险,因为发生的情况是,内部人员对泄露信息充满信心,因为他们总是可以指责其他人。因为我们的CASQUE产品没有任何固定密钥,黑客无法发现,内部人士也无法透露。因此,我们有很大的威慑力,我们消除了拒绝和拒绝访问的借口。
假设一个品牌或一家公司想要规划其网络安全战略。他们应该考虑哪些事情
我们认为一个好的策略是首先确定公司拥有的关键数据资产是什么。这不是一个简单的问题。你不能只说,哦,好吧,这都是财务问题,或者这都是我们的知识产权问题,因为这并不是你公司的关键资产。问题是,如果您无法访问特定的数据资源,那么下行风险是什么?声誉有风险吗?是否存在操作困难和连续性风险?恢复得有多快?这些是要问的问题,也是要优先考虑的问题。如果你足够认真地问这些问题,你很快就会发现哪些数据在丢失时给你带来了最大的痛苦。
为了给大家举一个为什么这一点不明显的例子,我们采访了一家大型制药公司的一位高管。他对我们说,当他进行这项研究时,发现只有一小部分数据是他们认为相关的,因为他们所有的药物要么在专利和受保护范围内,要么在专利和非专利范围内。他们唯一担心的是他们目前药物试验的测试结果,因为如果这些结果被泄露,竞争对手就会知道并试图绕过。所以他们可以马上说,这些资源需要保护,我们需要对它们进行最强有力的保护。
您还需要确定谁应该访问这些数据。这似乎是一个显而易见的问题,但它确实需要研究。因为在很多情况下,重要的不是个人数据,也不是谁有权访问独立数据
支付宝扫一扫
微信扫一扫
