在构建和实施应用程序和其他IT资源的访问策略时，许多组织正在不再使用网络边界作为信任指标。越来越多的企业开始实施身份验证解决方案，无论用户位置如何，都会针对每次访问尝试执行用户身份验证和设备安全检查，数据显示他们越来越青睐生物识别类型身份验证。

从现场IT基础架构迁移到云托管的应用程序和服务，再加上自带设备(BYOD)策略和越来越多的漫游员工，在过去十年中为企业IT安全团队带来了重大挑战。

早期尝试解决这些挑战涉及使用VPN，网络访问控制(NAC)和移动设备管理(MDM)解决方案，以确保远程员工使用的设备在被允许进入内部企业网络之前是安全的。然而，威胁行为者也发展了他们的技术，企业网络内的恶意横向移动现在是许多安全漏洞中的常见组件。

这意味着在网络外围执行设备安全检查已不再足够，然后允许这些连接系统无限制地访问所有资产。当设备已经在网络内部时，设备可能会受到危害，并且凭证可能会以各种方式被盗。

验证用户和设备

“从根本上说，我们都认为你不能相信所有事情只是因为它在你的防火墙内部;只是因为它在你的网络上，”Duo Security咨询CISO主管Wendy Nather说道，这是一个多因素身份验证(MFA)解决方案提供商，现在是思科系统公司的一部分。“所以，如果你同意这一点，那么问题就变成了：我们今天相信我们真的不应该相信什么，我们应该比我们更多地进行验证?答案是你必须更多地验证用户比以前更仔细，你必须验证他们的设备，你需要根据他们访问的内容的敏感性来做，你还需要经常这样做，而不仅仅是当你让他们进入防火墙时“。

“你应该尽早和经常检查，如果你正在检查每个访问请求。你更有可能捕捉到你以前不知道的事情，”Nather说。

Duo将此视为零信任网络安全原则，它的灵感来自之前的去外围化努力，如杰里科论坛可追溯至2004年，谷歌 2014年发布的BeyondCorp企业网络安全方法，以及Gartner的持续适应风险和信任评估(CARTA)模型。

当然，企业网络周边不会很快消失，他们也不需要。安全策略和访问控制正在重新关注用户和设备身份，无论这些用户及其访问的资产位于何处，无论在云端还是内部部署，远程或本地，都会发生什么变化。这也影响了身份验证的执行方式以及组织首选的验证方法和设备。

生物识别身份验证正在上升

今天发布的2019年Duo可信访问报告显示，77%用于访问业务应用程序的移动设备配置了生物识别技术，超过三分之二的用户使用基于移动推送的应用程序通过电话和短信等传统方法进行身份验证。该公司的数据显示，使用通过短信发送的身份验证码 - 对于许多在线服务仍然是一种广泛使用的双因素身份验证方法 - 在Duo的客户中仅下降到2.8%。

Duo的报告基于对从2400万个业务设备到超过100万个企业应用程序和内部和云端资源的每月5亿用户访问请求的分析。匿名数据涵盖了来自所有行业领域的15,000个组织。

该公司还发现，企业员工使用的iOS设备数量同比增长7%，Android设备使用量增加2%。Windows仍然是企业设备上最常见的操作系统，占47%，但其总体使用率实际上比去年下降了8%。好消息是Windows 10的采用率持续上升，现在占Duo观察到的所有Windows端点设备的三分之二。

iOS，Android和Windows 10的共同点是它们都支持某种形式的基于生物识别的身份验证：Apple设备具有Touch ID和Face ID，Android具有指纹传感器，Windows 10具有Windows Hello。

验证的身份验证请求可加快零日响应速度

验证每个身份验证请求的设备身份和安全性还允许IT安全团队响应公开已知的漏洞并强制用户更快地应用安全更新。这方面的一个例子是谷歌Chrome中的零日漏洞，该漏洞在3月底宣布并且正在被开发中使用。

在漏洞被公布的那天，Duo发现其产品使用过时的浏览器策略设置高达79%，这导致认证尝试次数比正常情况高出30倍。这意味着IT安全团队利用此策略设置来更快地响应安全威胁，而不是通过网络访问控制。

根据Duo的数据，用户设备上最常见的浏览器是Microsoft Edge，速率为73%，其次是Mozilla Firefox，占35%，Safari占23%，Chrome占15%。就操作系统而言，运行Android的设备是最常用的设备，其速率为58%，而iOS设备为38%。

生物识别技术作为双因素身份验证和用户身份验证的一种形式，不仅在企业领域得到采用，而且还受到某些行业监管机构的推动。作为修订后的支付服务指令(PSD2)的一部分，在线支付的新安全和认证要求将于9月在欧洲生效，​​该指令要求金融机构需要通过双因素认证来挑战在线卡交易，例如通过应用程序在支持生物识别验证的手机上。