การบรรจบกันของการละเมิดร้ายแรงที่สั่นคลอนวอชิงตันในช่วงไม่กี่เดือนที่ผ่านมากำลังผลักดันให้ทำเนียบขาวแนะนำการรับรองความถูกต้องแบบหลายปัจจัยในหน่วยงานของรัฐบาลกลางในที่สุด ขณะที่ฝ่ายบริหารของ Biden กำลังเตรียมการตอบสนองต่อการโจมตี SolarWinds ที่รุนแรง การเจาะท่อส่งโคโลเนียลที่สั่นสะเทือนโลกก็เกิดขึ้น คุกคามความสมบูรณ์ของโครงสร้างพื้นฐานของประเทศ และนำเสนอวิสัยทัศน์ที่น่ากลัวเกี่ยวกับอนาคตของสงครามไซเบอร์ การประชุมฉุกเฉินที่ตามมาหลังการโจมตีทำให้ทำเนียบขาวเข้าสู่โหมดระดับสูง: คำสั่งผู้บริหารด้าน
ความปลอดภัยในโลกไซเบอร์ของประธานาธิบดีได้กำหนดความมุ่งมั่น
ในการเปลี่ยนแปลงเพื่อมอบอำนาจให้การรับรองความถูกต้องด้วยหลายปัจจัยที่หน่วยงานต่าง ๆ เพื่อป้องกันการโจมตีที่หลีกเลี่ยงไม่ได้ครั้งต่อไป
การโจมตีไปป์ไลน์ในยุคอาณานิคมเป็นการย้ำเตือนอย่างเจ็บปวดว่าแทบทุกส่วนของโครงสร้างพื้นฐานของประเทศออนไลน์อยู่ในขณะนี้ การปฏิวัติครั้งนี้นำมาซึ่งภาระใหม่ในการประกันว่าโครงข่ายไฟฟ้า เขื่อน ทางหลวง และเส้นทางรถไฟจะทนทานต่อการฉ้อฉล เป็นเรื่องน่ายินดีที่เห็นว่าการรับรองความถูกต้องด้วยหลายปัจจัยถือเป็นสิ่งจำเป็นในคำสั่งฝ่ายบริหารของประธานาธิบดี อย่างไรก็ตามปัจจัยหลายอย่างไม่เท่ากันทุกรูปแบบ เอเจนซี่ต้องพิจารณาอย่างรอบคอบว่าการผสมผสานหลายปัจจัยของพวกเขาใช้มุมมองแบบองค์รวมของตัวตนหรือไม่ หรือพวกเขาจะไม่พร้อมที่จะจัดการกับกลยุทธ์ที่ซับซ้อนของผู้ฉ้อโกงในปัจจุบัน
ในบรรดารูปแบบการยืนยันตัวตนแบบหลายปัจจัยที่เปราะบางที่สุดคือสองรูปแบบที่คุ้นเคยมากที่สุด: การรับรองความถูกต้องตามความรู้ (KBA) และรหัสผ่านแบบใช้ครั้งเดียว (OTP’s) ด้วยหน่วยงานของรัฐบาลกลาง 9 แห่งที่เจาะข้อมูลระหว่างการโจมตีของ SolarWinds ผู้โจมตีสามารถเข้าถึงข้อมูลพลเรือนที่สามารถใช้เพื่อตอบคำถาม KBA เช่น ที่อยู่บ้าน หมายเลขโทรศัพท์มือถือ หรือแม้แต่ชื่อสัตว์เลี้ยง และไม่มีการใส่จินนี่กลับเข้าไปในขวด เมื่อมีการเปิดเผยข้อมูลนี้แล้วจะไม่สามารถแก้ไขได้
OTP ในทำนองเดียวกันไม่สามารถยืนหยัดในการตรวจสอบข้อเท็จ
จริงได้ OTP เป็นรหัสผ่านที่มักถูกส่งข้อความหรือส่งผ่าน SMS ไปยังโทรศัพท์ของพลเมืองเพื่อเป็นรูปแบบการตรวจสอบตัวตน ความคิดที่ว่าไม่น่าจะเป็นไปได้สูงที่นักต้มตุ๋นจะได้อุปกรณ์มือถือของใครบางคน อย่างไรก็ตาม การเพิ่มจำนวนของการแลกเปลี่ยนซิมและการกำหนดหมายเลขใหม่โดยไม่ได้รับอนุญาตหมายความว่าอาชญากรสามารถเปลี่ยนเส้นทางข้อความ SMS ไปยังอุปกรณ์ของตนแทนการส่งไปยังอุปกรณ์ของประชาชน เป็นการลบล้างระบบตรวจสอบความถูกต้อง OTP อย่างรวดเร็ว และเปิดประตูสู่การครอบครองบัญชี ยิ่งไปกว่านั้น นักต้มตุ๋นบางคนยังพบวิธีขอรหัส OTP จากประชาชนโดยตรง โดยใช้แผนการ “คนอยู่ตรงกลาง” ในกรณีนี้ นักต้มตุ๋นจะติดต่อเอเจนซี่เพื่อจงใจไม่ผ่านการตรวจสอบและเรียก OTP ที่ถูกส่งไปยังพลเมือง ผู้ฉ้อฉลจึงเรียกพลเมืองว่า
ข้อมูลเชิงลึกโดย Hypori: ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ ผู้ดำเนินรายการ Jared Serbu จะหารือเกี่ยวกับกลยุทธ์การปรับให้ทันสมัยทางดิจิทัลกับ DoD และผู้เชี่ยวชาญในอุตสาหกรรม
กล่าวโดยสรุปคือ รูปแบบการยืนยันตัวตนแบบหลายปัจจัยแบบดั้งเดิมเหล่านี้ถูกทำให้ไร้ประโยชน์เมื่อเทียบกับวิธีการแฮ็คสมัยใหม่ ภาคเอกชนได้รับรู้ถึงข้อบกพร่องร้ายแรงของ KBA และ OTP แล้ว และหลายบริษัทได้เริ่มนำวิธีการแบบองค์รวมมาใช้ในการแก้ปัญหาตัวตน หากรัฐบาลกลางหวังที่จะติดอาวุธให้หน่วยงานด้วยเครื่องมือที่จำเป็นในการป้องกันตนเอง รัฐบาลก็ต้องทำเช่นเดียวกัน
โซลูชันหลายปัจจัยที่มีประสิทธิภาพสูงสุดรวมทุกแง่มุมของตัวตนของพลเมืองและปลดอาวุธ PII ที่อาชญากรนำไปใช้ได้ โซลูชันการตรวจสอบความถูกต้องแบบองค์รวมคำนึงถึงเครื่องหมายระบุตัวตนที่เป็นมากกว่าการตรวจสอบข้อมูลธรรมดา แทนที่จะผ่านรายการตรวจสอบเพื่อตรวจสอบข้อมูลที่ให้มาแต่ละชิ้น เช่น “OTP นี้ไปที่หมายเลขโทรศัพท์ของประชาชนหรือไม่” – การตรวจสอบความเชื่อมโยงระหว่างข้อมูลแต่ละชิ้นนั้นสำคัญกว่ามาก ไปให้ไกลขึ้นเพื่อเชื่อมต่อจุดต่างๆ ระหว่างคำขอสลับซิมล่าสุดในประวัติผู้ให้บริการของแต่ละราย และการตอบกลับ OTP ที่ถูกต้อง โซลูชันประเภทนี้สามารถแสดงให้หน่วยงานทราบว่าอุปกรณ์ดังกล่าวได้รับหรือมีแนวโน้มที่จะเกี่ยวข้องกับพฤติกรรมที่ไม่ปลอดภัย และยังสามารถรวบรวมข้อมูลได้ว่าอุปกรณ์อาจไม่ได้อยู่ในมือของบุคคลที่เป็นเจ้าของหรือไม่
