การตรวจสอบสิทธิ์โดยอิงตามความเสี่ยงคืออะไร?

โดยทั่วไปแล้ว วิธีการตรวจสอบสิทธิ์จะแบ่งออกเป็นกลุ่มตามปัจจัยต่างๆ ไม่กี่อย่าง

1. ปัจจัยด้านกรรมสิทธิ์

บัตรธนาคาร, บัตรประจำตัวประชาชน, โทรศัพท์มือถือ วัตถุทางกายภาพที่ผู้ใช้จำเป็นต้องมีไว้ในครอบครอง ความเสี่ยงของการตรวจสอบสิทธิ์ประเภทนี้ ได้แก่ การโจรกรรมและการปลอมแปลง

2. ปัจจัยด้านความรู้

สิ่งที่ผู้ใช้รู้ รหัสผ่าน รหัส PIN หรือคำตอบของคำถาม เช่น “ถนนสายแรกที่คุณเติบโตมาคือถนนอะไร”

3. ปัจจัยภายใน

สิ่งเหล่านี้พยายามใช้ประโยชน์จากสิ่งที่เป็นตัวตนหรือสิ่งที่ผู้ใช้ทำโดยธรรมชาติ เช่น ลายนิ้วมือ รูปแบบม่านตา ลายเซ็น ใบหน้า

ซอฟต์แวร์รักษาความปลอดภัยประเภทนี้ส่วนใหญ่จะขอให้ผู้ใช้ล็อกอินเมื่อเริ่มต้นเซสชัน ซึ่งจะอนุญาตให้ผู้ใช้มีอิสระในการทำสิ่งใดก็ได้ตามต้องการเมื่อเข้าสู่ระบบแล้ว

ด้วยระบบการตรวจสอบสิทธิ์ตามความเสี่ยง (RBA) โปรไฟล์ความเสี่ยงจะเป็นแบบไดนามิกและไม่คงที่ โดยจะถูกกำหนดโดยพฤติกรรมของผู้ใช้ การตรวจสอบสิทธิ์แบบอิงความเสี่ยงช่วยให้ธุรกิจได้รับคะแนนเกี่ยวกับความเชื่อมั่นของผู้ใช้ สมมติว่าผู้ใช้มีคะแนนความเชื่อมั่น 95 จาก 100 คะแนน ผู้ค้าสามารถตัดสินใจได้ว่าพอใจกับคะแนนความเชื่อมั่นนี้แล้วหรือไม่ หรือต้องการเพิ่มขั้นตอนการตรวจสอบยืนยันผู้ใช้รายนั้นเพิ่มเติม

คะแนนความเสี่ยงสามารถครอบคลุมปัจจัยต่างๆ เช่น แหล่งที่มาของการเข้าชมเว็บไซต์ของบริษัท ความเร็วในการพิมพ์ และพฤติกรรมที่ผิดปกติหรือไม่ ด้วยการตรวจสอบพฤติกรรมและความเสี่ยงของการกระทำ ผู้ให้บริการจึงช่วยให้บริษัทต่างๆ ตรวจจับพฤติกรรมที่น่าสงสัยได้ ตัวอย่างเช่น ในกรณีที่ตรวจพบการโจมตีแบบ Man-In-The-Browser (MITB) ที่อาจเกิดขึ้น บริษัทสามารถเปิดใช้งานวิธีการตรวจสอบสิทธิ์แบบ Out Of Band (OOB) ได้โดยอัตโนมัติ ซึ่งเป็นวิธีการที่ไม่ส่งผ่านทางอินเทอร์เน็ต เช่น การโทรศัพท์หรือ SMS

การตรวจสอบสิทธิ์โดยอิงตามความเสี่ยง ซึ่งได้รับการสนับสนุนจาก เทคโนโลยีการเจาะทะลุพฤติกรรม เป็นวิธีที่ดีที่สุดสำหรับบริษัทต่างๆ ในการปรับเปลี่ยนกระบวนการตรวจสอบสิทธิ์ได้อย่างยืดหยุ่นในทันที ระบบนี้ช่วยให้มั่นใจได้ถึงความปลอดภัยสูงสุด การรบกวนประสบการณ์ของผู้ใช้น้อยที่สุด และส่งผลให้ได้อัตราการแปลงสูงสุด

ลองสมมติสักครู่ว่าคุณเป็นนักต้มตุ๋น

คุณอาศัยอยู่ในโบลิเวีย และเพิ่งได้รับข้อมูลที่ถูกขโมยมาใหม่จากชายชื่อเกรกอรี่ อดัมส์ ในรัฐเท็กซัส คุณรีบตรวจสอบข้อมูลบัญชีธนาคารของเขาเพื่อโอนเงินจากบัญชีของเกรกอรี่ไปยังบัญชีของคุณ คุณล็อกอินเข้าไป เพิ่มตัวเองเป็นผู้รับเงิน และทุกอย่างก็เป็นไปด้วยดี จนกระทั่งมีหน้าต่างป๊อปอัพปรากฏขึ้นมา ขอให้คุณป้อนลายนิ้วมือ และหากคุณไม่สามารถทำได้ ระบบก็จะไล่คุณออกจากบัญชีของเขา

แต่เหตุการณ์นี้เกิดขึ้นได้อย่างไร?

สิ่งที่คุณมองไม่เห็นคือ ธนาคารมีระบบตรวจสอบสิทธิ์ตามความเสี่ยงทำงานอยู่เบื้องหลังตลอดทั้งกระบวนการ ธนาคารตรวจพบว่าคุณกำลังเข้าสู่ระบบจากประเทศโบลิเวีย ซึ่งอยู่นอกพื้นที่ปฏิบัติงานปกติของเกรกอรี่อย่างมาก พวกเขาเห็นว่าคุณโอนเงินโดยตรง ซึ่งเป็นเรื่องผิดปกติสำหรับเกรกอรี่ พวกเขาเห็นความเร็วในการพิมพ์ จังหวะการพิมพ์ และข้อเท็จจริงที่ว่าคุณกำลังใช้โทรศัพท์ แต่เกรกอรี่มักจะพึ่งพาคอมพิวเตอร์ของเขาเสมอ พร้อมกับพารามิเตอร์พฤติกรรมอื่นๆ อีกหลายร้อยอย่าง พวกเขาเห็นแล้วว่าคุณไม่ใช่เกรกอรี่อย่างที่คิด

แน่นอน คุณไม่สามารถทำการโอนเงินให้เสร็จสิ้นได้ และตอนนี้คุณถูกตัดออกจากบัญชีแล้ว ในขณะที่เงินของเกรกอรี่ก็ยังคงอยู่ในบัญชีของเขาอย่างปลอดภัย

ปัจจุบัน บริษัทรักษาความปลอดภัยหลายแห่งเสนอบริการการตรวจสอบสิทธิ์แบบอิงตามความเสี่ยง แต่ความแตกต่างอยู่ที่เทคโนโลยีที่ผู้ให้บริการซอฟต์แวร์แบบบริการ (Software as a Service) ใช้ในการกำหนดคะแนน มันก็คล้ายกับการทำลาซานญ่าแหละ ถ้าคุณใช้วัตถุดิบคุณภาพดี สิ่งที่ออกมาจากเตาอบก็จะอร่อยเลิศราวกับฝีมือของกอร์ดอน แรมซีย์ แต่ถ้าคุณใช้วัตถุดิบคุณภาพต่ำ เนื้อสัตว์ที่ใกล้หมดอายุ ผักไร้รสชาติที่แช่ในสารเคมี และลืมใส่เครื่องเทศ คุณก็จะได้ลาซานญ่าที่เละเทะจนแม้แต่หมาของคุณก็ยังไม่ชอบ

โซลูชันการตรวจสอบสิทธิ์ตามความเสี่ยงที่ดีจะไม่เพียงแต่สร้างคะแนนโดยอิงจากข้อมูลอัจฉริยะของอุปกรณ์ (อุปกรณ์ สถานที่ และการเชื่อมต่อ) เท่านั้น แต่ยังจะใช้รูปแบบพฤติกรรมของผู้ใช้ คุณลักษณะของอุปกรณ์ ประวัติการใช้งาน และปัจจัยอื่นๆ เพื่อทำให้คะแนนมีความแม่นยำและน่าเชื่อถืออีกด้วย

มีสัญญาณเล็กๆ น้อยๆ มากมายที่สามารถตรวจสอบได้โดยโซลูชันการตรวจสอบสิทธิ์ตามความเสี่ยงของคุณ เพื่อกำหนดคะแนนความเสี่ยงให้กับผู้ใช้ในเซสชันนั้นๆ ได้อย่างแม่นยำ เพื่อให้กรอบการทำงาน RBA มีประสิทธิภาพ จำเป็นต้องมีเลเยอร์ที่เหมาะสมในสภาพแวดล้อม และกำหนดกฎอัจฉริยะเพื่อระบุความพยายามฉ้อโกงได้อย่างถูกต้อง