В прошлом основная защита электронных коммуникаций предприятия располагалась на его периметре. На входах в здание компаний устанавливались устройства физического контроля доступа, а на выходах сетевых коммуникаций ставились межсетевые экраны. Внешний доступ к корпоративным информационным активам допускался только через виртуальные частные сети (VPN). Считалось, что при такой системе защиты внутренние ИТ-ресурсы будут в безопасности.
Как показала практика, такая защита оказалась ненадежной. Если злоумышленнику удавалось получить доступ внутрь корпоративной сети, он мог беспрепятственно делать там все, что хотел.
Безопасность компаний – обязательный элемент развития их бизнеса
Простота обхода прежних систем контроля доступа к корпоративным системам заставила компании заняться защитой от угроз уже «в собственных стенах». 81% компаний столкнулись с проблемой утечки данных вследствие халатности или умышленных действий сотрудников и инсайдеров. Проблемы безопасности компаний стали очевидными.
Количество инцидентов в мире по источнику нарушений за 1 кв. 2015 года (Gemalto):
— Угрозы извне корпоративной сети – 62%
— Непреднамеренная потеря данных – 22%
— Угрозы изнутри корпоративной сети – 12%
— Профессиональные хакеры – 2%
— Угрозы со стороны спецслужб – 2%
Со временем стали нарастать атаки на корпоративные электронные системы компаний, приходящие извне. Их стало не только больше, они стали более изощренными. Выросло число целенаправленных угроз против корпоративных систем, появились специальные вредоносные программы, рассчитанные на проведение длительных целевых атак.
Количество инцидентов в мире по типу нарушений за 1 кв. 2015 года (Gemalto):
— Кража идентификационных данных – 53%
— Несанкционированный доступ к финансовой информации – 22%
— Компрометация персональных данных – 11%
— Несанкционированный доступ к учетным записям – 11%
— Вторжение в личную жизнь пользователя – 3%
Компаниям пришлось активно искать эффективные способы защиты своих информационных активов. Наиболее эффективным в итоге оказалось использование методики строгой аутентификации, которая применяется теперь для каждого корпоративного приложения. Обеспечив защиту корпоративной инфраструктуры, облачных приложений и данных на ноутбуках и мобильных телефонах, компаниям удалось наладить эффективное управление контролем доступа к корпоративным информационным ресурсам, гарантировав тем самым их безопасность.
Строгая аутентификация – технология изнутри
Строгая аутентификация – это механизм, который позволяет создать более надежную защиту ИТ-инфраструктуры предприятий, чем традиционно применявшаяся до этого парольная защита.Эту технологию еще часто называют расширенной или двухфакторной аутентификацией.
Зачем она потребовалась?
Как показали исследования, главной целью для многих злоумышленников является кража средств идентификации, позволяющих получить доступ к внутренней ИТ-инфраструктуре предприятия. Заполучив эти данные, хакеры могли незаметно проникать в защищенные корпоративные информационные активы, передвигаясь по ИТ-территории компании без всяких ограничений.
Прежняя система защиты опиралась на использование только пароля. Требовалось, чтобы он был сложным. Однако для пользователей это оказалось неудобным и затруднительным. Пароль нужно было запоминать, оберегать от посторонних глаз, часто заменять на новый. И все равно, даже в этом случае он оставался уязвимым. Например, для вирусов, которые были способны перехватить его при наборе на клавиатуре.
Выход в создавшейся ситуации показала двухфакторная аутентификация. Благодаря ей, удалось повысить надежность идентификации пользователя. Этот механизм был добавлен взамен прежней модели выдачи прав доступа.
Двухфакторная аутентификация путем запроса пароля, отправляемого пользователю через SMS
Примеры реализации технологии двухфакторной аутентификации:
а) с помощью смартфона — запрос от системы аутентификации поступает через SMS
б) с помощью биометрии — проверка осуществляется по отпечатку пальца или путем сканирования роговицы глаза, после чего данные сравниваются с эталонными.
Метод двухфакторной аутентификации не ограничивается только запросом дополнительных данных, получаемых от пользователя. Защита может быть также усилена за счет учета дополнительных факторов. Например, это может быть географическое положение или сведения об устройстве. Эта информация позволяет ввести ограничение доступа для проверенных устройств в проверенных локациях.
Гибкость технологии строгой аутентификации позволяет применять ее на нескольких уровнях доступа. Это дает возможность создавать прозрачные многоуровневые системы безопасности, отличающиеся повышенной надежностью защиты. При этом пользователи не испытывают снижения удобствапри работе с таким механизмом безопасности.
Пример реализации метода строгой аутентификации
Теория без практики мертва. Разобраться в достоинствах технологии строгой аутентификации лучше на конкретном примере. Пусть это будет сервер аутентификации, который служит для защиты доступа пользователей к корпоративным приложениям.
Список программ, предоставляемых в доступ конкретным пользователям, определяется внутренними политиками корпоративной сети и задается системным администратором. Однако, чтобы получить доступ, каждый пользователь должен пройти проверку на идентичность. Иначе получить права, выдаваемые службой ИТ-безопасности, невозможно.
Чтобы начать работать с приложением, нужно ввести его URL-адрес. Это делается, как обычно. Никаких отличий от традиционного способа доступа к программам нет.
Однако доступ к запрошенному приложению предоставляется не сразу. Сначала пользовательавтоматически перенаправляется на входной портал сервера аутентификации. Используя шаблоны и заранее заданные правила, сервер проводит проверку запроса, применяя метод строгой аутентификации.
Строгая аутентификация в рамках работы сервера может быть реализована различными способами. Проверка на идентичность может быть проведена с помощью специальных устройств: смарт-карт, USB-токенов, мобильных телефонов.
Имеются также и другие способы аутентификации. Проверка может быть проведена через ввод статического пароля, биометрических или демографических данных.
Еще один способ – это уникальный подтверждающий код, который пользователь может получить через запуск специализированной апплеты. В этом качестве могут выступать микропрограмма для персональной верификации (PIV, Personal Identity Verification), специальный программный инструмент для генерации одноразовых паролей и другие программные инструменты.
Самым надежным средством верификации и давно применяемым на практике является аппаратный токен. Он выдает одноразовые пароли аналогично программным инструментам, но микрокод «зашит» внутри устройства, поэтому доступ к нему защищен на физическом уровне.
Еще один способ для цифровой идентификации– это использование сертификатов в инфраструктуре открытых ключей (PKI, Public Key Infrastructure), выдаваемых пользователю. Они являются аналогом цифровой подписи и обычно действуют в течение всего жизненного цикла запрашиваемой программы.
Итак, нужный тип проверки использован. После этого данные от пользователя попадают обратно в сервер аутентификации. Он проверяет их на соответствие эталонным значениям, и если проверка оказалась успешной, то запрос от пользователя получает одобрение, и ему предоставляется доступ к запрошенному приложению.
Достоинства строгой аутентификации
Метод строгой аутентификации обладает рядом достоинств, которые оправдывают затраты, понесенные на внедрение этой технологии защиты.
Прежде всего, строгая аутентификация позволяет снизить риски, с которыми может столкнуться компания в условиях небезопасного для нее внешнего окружения. Благодаря установке защищенного соединения между пользователями и приложениями решается проблема контроля достоверности лиц, получивших доступ к корпоративным ресурсам. Формируется также надежный заслон защиты информационных активов компании от утечки.
Достоинства метода строгой аутентификации не ограничиваются этим. Благодаря этой технологии можно обнаруживать признаки мошенничества внутри корпоративной сети и проводить анализ поведения пользователей. Собранные данные позволяют повысить надежность идентификации сотрудников и доверенных лиц при доступе к корпоративным ресурсам, а также обеспечить уверенность, что доступ внутрь ИТ-инфраструктуры находится в безопасности. При этом не утрачиваютсяте привычные удобства легкого доступа к приложениям, к которым давно привыкли пользователипри работе с корпоративными данными.
100%-ная защита достигнута?
Стойкость парольной защиты сильно зависит от выбранного ключа – об этом известно давно. И хотя пользователям постоянно напоминают о необходимости использовать только надежные пароли, практика показывает обратное. Согласно статистике, ключи типа «qwerty», «qwerty123», «123456» или «iloveyou» по-прежнему занимают лидирующие места при назначении паролей. Это позволяет взломать пароль методом перебора и получить доступ к ресурсам корпоративной сети. Обойти простую парольную защиту часто оказывается достаточно просто.
Строгая аутентификация выглядит наиболее безопасной на сегодняшний день системой защиты. При двухфакторной аутентификации на базе SMS и пароля главным уязвимым звеном в безопасности является именно SMS с возвращаемым кодом. Чтобы взломать защиту, злоумышленнику потребуется получить физический доступ к мобильному устройству. Реализовать технологию перехвата SMSдостаточно сложно.
Тем не менее, говорить о достижении 100% уровня защиты пока рано. На практике встречаются вредоносные приложения, способные читать входящие SMS-сообщения. Установить такую вредоносную программу на мобильное устройство и управлять им достаточно сложно, но возможно. Существует также специальное оборудование, позволяющее перехватывать SMS, но оно не является общедоступным для рынка.
На сегодняшний день сложная аутентификация остается одной из самых надежных и доступных технологий защиты пользовательскихданных.Ее применение для построения корпоративной системы ИТ-безопасности считается наиболее эффективным.