Аутентификация

Редакция CISOCLUB обратилась к ведущим экспертам в области информационной безопасности с целью осветить актуальные вопросы аутентификации. В ходе наших бесед мы узнали о том, какие методы аутентификации чаще всего становятся целью кибератак. Эксперты поделились своим видением насчет наиболее надежных технологий многофакторной аутентификации (MFA) и рассказали о преимуществах и слабостях аппаратных и программных средств аутентификации в различных условиях применения.

Был затронут чрезвычайно важный вопрос безопасности биометрических данных: как обеспечивать их корректное хранение и обработку, минимизируя возможные риски. Эксперты поделились своими размышлениями по концепции «нулевого доверия» в контексте аутентификации.

Мы также попытались выяснить, насколько готов отечественный рынок информационной безопасности к современным вызовам и в какой степени требования регуляторов соответствуют ожиданиям рынка в этой области. В заключение, эксперты поделились своими рекомендациями для компаний, стремящихся усилить свои механизмы аутентификации, и предсказали основные тренды в области аутентификации на ближайшие 5-10 лет.

На наши вопросы сегодня ответили:

• Александр Герасимов, CISO Awillix.
• Станислав Навсегда, руководитель отдела сетевой безопасности и аудита компании Axoft.
• Александр Котов, менеджер по развитию бизнеса компании Axoft.
• Константин Корсаков, главный архитектор российской IT-компании RooX.
• Виктор Чащин, операционный директор компании МУЛЬТИФАКТОР.
• Леонид Ломакин, руководитель отдела контроля доступа и защиты информации iTPROTECT.

Какие методы аутентификации являются наиболее уязвимыми для кибератак?

Александр Герасимов, CISO Awillix:

«Одним из наиболее распространенных, но в то же время уязвимых методов аутентификации является использование паролей. Пароли подвержены различным атакам — взлому путем подбора по словарю, фишингу, перехвату и дешифрованию хешированных паролей. Многие пользователи выбирают простые и предсказуемые пароли, что существенно упрощает взлом аккаунта злоумышленниками.

Аутентификация по СМС также достаточно популярна, особенно в банковской сфере. Однако СМС могут быть перехвачены с помощью вредоносных программ на смартфоне или в результате атаки на инфраструктуру мобильного оператора. Кроме того, доставка СМС не всегда гарантирована.

Аутентификация по одноразовым ссылкам на электронную почту также не является надежной, так как почта может быть взломана, а ссылка перехвачена или скомпрометирована вредоносным ПО.

Таким образом, все рассмотренные способы аутентификации потенциально уязвимы для различных кибератак. Для надежной защиты рекомендуется использовать многофакторную аутентификацию, регулярно обновлять ПО, использовать антивирус и не открывать письма и вложения из ненадежных источников».

Станислав Навсегда, руководитель отдела сетевой безопасности и аудита компании Axoft:

«Я бы отметил пароли. Когда начинаешь читать разбор атак, то обычно это один из самых популярных способов. При этом сейчас каждый участник рынка ИТ и ИБ, который предоставляет возможность регистрации, пытается сделать более строгую политику и использовать дополнительные возможности, такие как 2FA.

Пользователи, в свою очередь, все равно продолжают использовать один и тот же пароль на разных сайтах, хотя он теперь и сложный. Поэтому самый простой способ, который может применить пользователь, – это внедрение к своему паролю каких-то данных. Как пример: есть сложный пароль – Всем5Привет2. Переводим его в английскую раскладку, получаем Dctv%Ghbdtn! Далее, если мы хотим использовать пароль для авторизации на vk.com, то дописываем домен VK и com – цифрами. Получается: Dctv%Ghbdtn!Vk>#(&».

Константин Корсаков, главный архитектор российской IT-компании RooX:

«Сегодня самый уязвимый элемент аутентификации – это пароль. Обычные люди склонны задавать слабые пароли, использовать одни и те же комбинации на разных сервисах, а также записывать пароли на стикеры, в записные книжки, в файлы на рабочем столе и т. д.

Хорошо спроектированная IAM-система немного улучшает безопасность, вводя ограничения на длину пароля, проверку по словарным базам и по базам утекших паролей, однако использовать логин и пароль в качестве единственного метода аутентификации сейчас опасно. Это можно делать только для сервисов, которые не представляют особой ценности для пользователя и его данных».

Виктор Чащин, операционный директор компании МУЛЬТИФАКТОР:

«Наиболее уязвимы для атак статичные методы аутентификации, самый простой пример — это логин с паролем. Из-за статичности метода входа атака с перехватом пароля или его подбором является самым распространённым видом кибератак. Ввиду уязвимости статичных данных и начали разрабатывать новые, динамические.

Леонид Ломакин, руководитель отдела контроля доступа и защиты информации iTPROTECT:

«Наиболее уязвимыми методами аутентификации можно назвать однофакторные. Например, статический пароль неустойчив к целому ряду атак, от перебора путем угадывания по словарю до различных сценариев расшифровки хэша пароля или комбинирования с другими типами атак (например, принудительная аутентификация, кейлогинг и пр).

Даже с динамическим фактором, предоставляемым сторонними сервисами (SMS-сообщения или одноразовые коды, передаваемые по почте), однофакторная аутентификация не дает стопроцентной защиты, т.к. злоумышленник может перехватить или подделать отправленные коды и использовать их для входа в систему».

Какие технологии MFA являются наиболее безопасными?

Леонид Ломакин уверен, что наиболее надежной является многофакторая (MFA) или двухфакторная (2FA) аутентификация, когда одновременно запрашивается 2 фактора, не путать с двухэтапной, где используется сначала один, а потом (в случае успешной проверки первого) — второй фактор.

«При двухфакторной аутентификации нельзя подобрать пароль методом перебора и после этого перейти к перехваченному второму фактору, ведь оба фактора нужно предъявить одновременно. Хорошим примером может служить запрос динамической аутентификации, где сначала запрашивается одноразовый пароль, а следом – доменный», — отметил эксперт.

Константин Корсаков подчеркнул, что при внедрении MFA необходимо найти золотую середину между двумя противоречащими требованиям: безопасность и легкость в использовании для типового пользователя.

«Так, для 90% сервисов, которыми ежедневно пользуются физлица, достаточно к паролю добавить СМС-код. При всех недостатках СМС-кодов для обеспечения безопасности этого бывает достаточно, что подтверждается исследованиями Google и Microsoft в области MFA.

Для более серьезных случаев (в качестве примера можно взять оказание банковских услуг юрлицам) нужны более серьезные инструменты защиты. Среди них – «железные» токены с ключом КЭП или криптографические способы авторизации и аутентификации, не требующие предъявление токена. Такими технологиями являются Webauthn и её развитие — PassKey», — уточнил специалист».

Александр Герасимов указал на то, что именно многофакторная аутентификация (MFA) является одним из ключевых методов повышения безопасности доступа в цифровых системах. Рассмотрим наиболее надежные на сегодняшний день технологии MFA.

«Использование аппаратных криптографических ключей (токенов) считается одним из самых безопасных вариантов MFA. Ключи генерируют одноразовые пароли и не подвержены удаленным атакам. Даже в случае взлома базы паролей злоумышленник не сможет получить доступ без физического токена.

Другим надежным решением является биометрическая аутентификация, основанная на уникальных характеристиках человека. Современные сканеры отпечатков пальцев, сетчатки глаза или лица обеспечивают высокую точность распознавания. Биометрия защищена от перехвата и невозможна к воспроизведению злоумышленниками.

Использование доверенных устройств, например смартфонов, в качестве второго фактора также повышает безопасность. Вредоносное ПО не может перехватить push-уведомления, аутентификацию через мобильное приложение или QR-коды.

Геолокация пользователя по GPS или IP-адресу позволяет определить подозрительную активность. Аутентификация разрешается только с доверенных устройств и из доверенных локаций.

Таким образом, сочетание нескольких надежных факторов, основанных на знании, владении и биометрии, обеспечивает максимальную защиту от несанкционированного доступа. MFA существенно снижает риски кражи учетных данных и других атак».

Что безопаснее: аппаратные или программные средства аутентификации? Какие из них предпочтительнее для различных сценариев использования?

Виктор Чащин: «Как я уже упоминал, безопаснее те средства аутентификации, которые дают возможность динамически изменять данные для входа. Аппаратное средство аутентификации сейчас немыслимо без программной части. Если только вы не называете обычные ключи средством аутентификации. В целом, специализированные аппаратные решения безопаснее обычных программных, но при массовом использовании появляется финансовая сторона вопроса, где программы начинают выглядеть гораздо интереснее».

Александр Герасимов уверен, что в вопросе выбора между аппаратными и программными средствами аутентификации важно учитывать как безопасность, так и удобство использования для конкретных сценариев.

«Аппаратные токены и смарт-карты обычно считаются более безопасными, так как они защищены от удаленных атак и независимы от операционной системы устройства. Однако они менее удобны для повседневного использования. Программные токены и приложения для аутентификации более уязвимы, но зато обеспечивают гораздо большее удобство для пользователя.

Для сценариев с высоким уровнем безопасности, таких как доступ к государственным или банковским системам, предпочтительны аппаратные решения. Например, смарт-карты для идентификации сотрудников или токены для доступа к конфиденциальной информации.

Для массовых интернет-сервисов, которым важна прежде всего доступность и удобство для пользователей, лучше подходят программные решения вроде SMS/PUSH уведомлений, QR кодов или одноразовых паролей в мобильных приложениях.

Для компромисса между безопасностью и удобством можно использовать двухфакторную аутентификацию: например, аппаратный токен для первого фактора и SMS или push-уведомление для второго.

Также возможны гибридные решения, когда аппаратный токен подключается к компьютеру и взаимодействует с программным обеспечением для удобной аутентификации.

В любом случае, при выборе оптимального решения нужно учитывать риски безопасности, сценарии использования и удобство для конечных пользователей. Главное соблюдать разумный баланс между этими факторами».

Леонид Ломакин заявил, что в этом случае всё зависит от конкретной задачи. Если говорить, например, о входе в государственные системы (порталы госуслуг или госзакупок), банкинг-приложения или системы электронного документооборота, то имеются требования и рекомендации по использованию электронных сертификатов или квалифицированных электронных подписей на аппаратных носителях, в том числе со встроенным криптопровайдером. Если же речь об аутентификации на рабочих местах и в различных корпоративных системах, то более предпочтительна в работе будет программная аутентификация, которая обеспечивает достаточный уровень защиты, будучи при этом более гибкой в эксплуатации.

«При этом аппаратные аутентификаторы могут потеряться или выйти из строя, им может потребоваться замена или обновление. Программные аутентификаторы, несомненно, имеют ряд преимуществ, т.к. они менее затратны и их можно быстро и просто отозвать, заблокировать и выпустить вместо них новые, не тратя на эти операции большое количество ресурсов и средств.

Что касается безопасности, то необходимо учитывать сценарии атак на процесс аутентификации. В случае программных средств для этого будут использоваться либо уязвимости ПО или алгоритма работы генератора одноразовых паролей, либо перехват этой информации. В случае аппаратных средств аутентификации злоумышленники смогут воспользоваться ими только в случае утраты или кражи самого носителя», — заметил руководитель отдела контроля доступа и защиты информации iTPROTECT.

Есть ли риски, связанные с хранением и обработкой биометрических данных? Как их минимизировать?

Александр Герасимов: «При использовании аутентификации по биометрическим данным могут возникать риски ложного отклонения или ложного принятия. Это связано с тем, что точность системы зависит от реализации алгоритмов распознавания.

Так, например, для обхода аутентификации по лицу или голосу злоумышленники могут использовать технологию Deepfake. Именно поэтому биометрию рекомендуется использовать вместе с другими факторами проверки личности человека».

Леонид Ломакин: «Риски, разумеется, существуют. В настоящее время законодательство требует от организаций, работающих с биометрическими данными, подключения к Единой биометрической системе (ЕБС), получения отдельного согласия от субъекта и аккредитации для обработки биометрии. При этом процедуры последней еще в разработке. В любом случае это потребует от организаций дополнительной адаптации с нормативной и организационной стороны. Также нельзя сбрасывать со счетов риски утечки биометрических данных, т.к. попадание этой информации не в те руки может быть опаснее, чем утечка, например, паспортов, ведь с ее помощью можно сделать от имени субъекта почти что угодно. Учитывая это, стоит предпринять меры по предотвращению утечек и наказанию за них. Компаниям, работающим с этой информацией, потребуется использовать самые надежные и современные средства защиты, включая системы контроля доступа».

Каковы перспективы концепции «нулевого доверия» (Zero Trust) в контексте аутентификации?

Станислав Навсегда: «В рамках этой концепции все запросы на доступ к ресурсам должны быть проверены и авторизованы, даже если они приходят из доверенной сети или устройства. Это означает, что каждый пользователь и устройство должны проходить проверку подлинности и получать доступ только к тем ресурсам, которые им необходимы для работы.

Приведу пример. Сейчас у нас в пилотном проекте есть вендор, который реализует удаленный доступ по этой модели. Решение позволяет выделить предоставление доступа до определенного ресурса, без возможности узнать его настоящее доменное имя, и просканировать сеть на наличие открытых портов, ресурсов и уязвимостей для них. И даже если учетные данные скомпрометируют, то блокирование учетной записи делается за несколько секунд, что позволяет минимизировать риски атаки».

Константин Корсаков подчеркнул, что аутентификация — краеугольный камень в фундаменте Zero Trust. Хорошо сделанный Zero Trust характеризуется наличием адаптивной MFA, аутентификацией не только пользователей-людей, но и устройств (IoT) и, сервисов (в случае межсерверных обращений), а также анализом контекста аутентификации, в том числе с использованием средств Machine Learning.

Виктор Чащин: «Аутентификация — это процедура проверки подлинности чего-либо, в нашем случае — личности человека. А, значит, к ней в полной мере применима эта концепция: до тех пор, пока мы не убедимся в обратном, мы считаем любого пользователя «незнакомцем».

Леонид Ломакин убеждён, что многофакторная аутентификация в рамках концепции Zero Trust является одним из основных инструментов защиты. Например, в ее рамках могут применяться динамические запросы аутентификации по гео-принципу или временному интервалу, когда факторы запрашиваются в зависимости от того, каким образом сотрудник получает доступ к системе. Например, если в дневное время из офиса — только пароль (в случае получения данных о предварительном входе со СКУД), а если ночью из дома — дополнительные факторы (два и более).

«Концепция распространяется не только на пользователей, но и на устройства: для каждого устройства должны применяться аналогичные требования: аутентификация поддерживаемым и наиболее безопасным способом (Kerberos, 802.1x), проверка устройства на соответствие требованиям ИБ (например, установленный антивирус, шифрование каналов передачи данных), ограничение доступа к ресурсам корпоративной сети (принцип минимальных привилегий) и, конечно же, мониторинг».

Александр Герасимов отметил, что концепция «нулевого доверия» (Zero Trust) стала одним из ключевых трендов в области кибербезопасности. Она предполагает, что нельзя доверять ни одному устройству или пользователю внутри или вне периметра сети без проверки.

«В контексте аутентификации это имеет ряд перспектив и последствий:

• Повышение безопасности. Традиционные сетевые архитектуры, основанные на доверии к устройствам и пользователям внутри сетевого периметра, устарели. Злоумышленники могут использовать уязвимости внутри сети для доступа к ресурсам. Концепция Zero Trust устраняет этот риск, требуя аутентификации и авторизации на каждом этапе.
• Многофакторная аутентификация. Zero Trust часто требует использования многофакторной аутентификации, что усиливает безопасность, делая процесс входа в систему более сложным для атакующих.
• Динамическая аутентификация. Вместо однократной проверки при входе в систему, Zero Trust может потребовать повторной аутентификации при доступе к критическим ресурсам или при обнаружении аномального поведения».

Насколько отечественный рынок ИБ является импортонезависимым в контексте средств аутентификации?

Александр Котов, менеджер по развитию бизнеса компании Axoft:

«С уверенностью можно сказать, что на данный момент отечественные производители практически полностью закрывают задачи, потребности заказчиков в плане средств аутентификации. Этот сегмент, и раньше чувствовавший себя неплохо, получил дополнительный толчок в развитии в период пандемии, когда многие сотрудники перешли на удаленный режим работы».

Виктор Чащин уверен, что отечественный рынок средств аутентификации независим. Есть около дюжины производителей решений, и любая компания может найти средство, подходящее под их требования. Более того, российская продукция иногда превосходит зарубежные варианты.

Константин Корсаков поддерживает коллегу, отмечая, что в реестре отечественного ПО Минцифры существует достаточное количество зрелых продуктов, но во многих отраслях по-прежнему широко используются средства иностранного производства, а также собственная разработка на базе открытого ПО.

Насколько требования ИБ-регуляторов соответствуют ожиданиям рынка в контексте средств аутентификации?

Леонид Ломакин напомнил, что в настоящее время регуляторы не требуют обязательного применения двух- или многофакторных систем аутентификации, а ограничиваются только стандартной комбинацией из логина и пароля.

«Однако продукты с применением нескольких факторов для аутентификации уже давно присутствуют на рынке и набирают популярность в коммерческом секторе, который стремится повысить уровень безопасности. Следовательно, рынок опережает текущую позицию регуляторов и, вероятно, в дальнейшем появятся методические рекомендации по применению систем многофакторной аутентификации».

Константин Корсаков: «Несмотря на то, что российский рынок управления доступом в целом сформирован, с точки зрения профессиональных стандартов мы движемся с задержкой. Так, в части парольных политик отечественные стандарты уже устарели и не отражают многих полезных положений стандарта NIST SP 800-63 от 2017г., а также современных рекомендаций OWASP. В части аутентификации в текущих документах наблюдается некоторый перекос в сторону «железных токенов», хотя токены имеют совершенно ограниченный сегмент применения».

По мнению Александра Котова, требования ИБ-регуляторов соответствуют на 100%. С одной стороны, выполнение требований регуляторов к аутентификации позволяет закрывать большую часть простых угроз. С другой стороны, отечественным производителям средств аутентификации, опираясь на требования регуляторов, проще ориентироваться в потребностях конечных заказчиков.

Какие рекомендации по аутентификации можно дать компаниям, стремящимся усилить свою ИБ?

Александр Герасимов:

• Внедрить многофакторную аутентификацию для удаленного доступа сотрудников к корпоративным ресурсам и системам. Например, сочетание логина и пароля с одноразовыми паролями по SMS или Push-уведомлениями.
• Использовать российские решения для защищенной аутентификации, например, Рутокен. Они позволяют обойтись без иностранных сервисов 2FA.
• Внедрить системы предотвращения вторжений и выявления аномалий, чтобы оперативно реагировать на кибератаки.
• Обучать сотрудников правилам создания надежных паролей, хранения их в защищенном виде и регулярной смены. Это поможет минимизировать риск утечек даже при атаках.
• Ограничить привилегии пользователей и предоставлять минимально необходимый доступ к системам и данным согласно должностным обязанностям. Это повысит безопасность в случае компрометации учётной записи.
• Применять шифрование конфиденциальных данных, особенно при удаленной работе. Это защитит информацию в случае утечки. Выбирать российские криптобиблиотеки.
• Регулярно проводить аудит ИБ, тестирование на проникновение и анализ безопасности исходного кода. Это поможет выявлять слабые места в защите и своевременно их устранять.

Соблюдение этих рекомендаций в сочетании с обучением персонала позволит значительно повысить уровень кибербезопасности для российских компаний в нынешних непростых условиях».

Александр Котов: «Есть несколько основных рекомендаций:

• Необходимо обязательно использовать многофакторную аутентификацию для всех аккаунтов.
• Использовать различные пароли для разных систем.
• Не оставлять свои устройства без присмотра в общественных местах».

Леонид Ломакин: «Не стоит ограничиваться только вводом в эксплуатацию новых систем защиты. Необходимо интегрировать их в корпоративную ИБ-систему, состоящую из комбинации решений различных классов (NGFW, PAM, SIEM, MFA и другие) и отслеживать события аутентификации в одной консоли для получения полной картины доступа пользователей.

Необходимо совершенствовать внутренние технологии, которые используются в компании, например, переход от протокола NTLM в сторону Kerberos, отказ от статичных паролей или добавление к ним дополнительных методов аутентификации, что можно реализовать с помощью решений класса MFA. Также будет полезно выстроить эшелонированную проверку успешного входа: например, сначала пользователь входит в офис с помощью пропуска и СКУД, после чего получает доступ к своему рабочему компьютеру».

Виктор Чащин рекомендует вводить многофакторную аутентификацию. Её использование должно стать такой же полезной привычкой, как утренняя гигиена.

Какие тренды в области аутентификации ожидаются в ближайшие 5-10 лет?

Леонид Ломакин: «В ближайшие годы методы аутентификации, несомненно, будут совершенствоваться, становиться более удобными для пользователя, но, в то же время, более устойчивыми к взлому, подбору или обходу.

Наиболее вероятный путь развития — это коллаборация различных методов с использованием биометрии и поведенческий анализ. Дело в том, что по мере развития IT-индустрии и роста вычислительных мощностей любые математические модели защиты можно будет обойти. Поэтому для усиления защиты потребуется использовать уникальные факторы аутентификации, например, биометрические данные. В качестве альтернативы биометрии развитие могут получить также SSO-протоколы (например, SAML/OpenID/OAuth)».

Константин Корсаков: «В массовом сегменте всё большее распространение будут получать беспарольные способы входа.

В корпоративных системах будет стираться граница между ролями пользователей. Если раньше мы могли четко разделить сотрудников и клиентов как по учетным данным, так и по доступам к ресурсам, то уже сейчас мы должны спускаться до более гранулярного контроля доступа. Сотрудник может работать как локально, так и удаленно, и не всегда в VPN. Пользователь может быть представлен в нескольких ролях: как потребитель, как партнер или даже как сотрудник в системах вроде маркетплейса. Это приведет к повсеместному применению концепции Zero Trust.

С точки зрения типов атак, в post-парольном мире будет преобладать социальная инженерия. Средства предотвращения таких атак будут симметрично развиваться на основе технологий искусственного интеллекта и machine learning».

Александр Котов: «В ближайшем будущем сохранится тренд на импортозамещение. В настоящее время семимильными шагами растет использование биометрии. Также активное развитие получит риск-ориентированная аутентификация (RBA)».

Александр Герасимов: «В области аутентификации в ближайшие 5-10 лет ожидается распространение нескольких ключевых трендов под влиянием развития технологий и усложнения кибератак.

Все большее распространение получит биометрическая аутентификация на отпечатков пальцев и других уникальных характеристик человека. С ростом мощностей нейросетей точность таких систем будет неуклонно повышаться.

Еще один тренд — использование поведенческой биометрии, анализирующей особенности работы пользователя с клавиатурой и мышью. Машинное обучение позволит выявлять аномалии поведения для распознавания взлома.

Ожидается распространение беспарольной аутентификации на основе биометрии, мобильных устройств, IoT-гаджетов. Пароли будут постепенно уходить в прошлое, как небезопасный метод.

Для противодействия все более изощренным атакам хакеров будут развиваться многофакторные решения. Например, сочетание биометрии, аппаратного токена и геолокации пользователя при входе в систему.

Повышенное внимание будет уделяться бесшовной интеграции аутентификации в рабочие процессы, чтобы снизить нагрузку на пользователя. Например, сквозная аутентификация во всех корпоративных системах после однократного входа.

AI и машинное обучение будут все чаще применяться для выявления подозрительной активности, предотвращения атак и утечек данных. Они помогут динамически адаптировать политики безопасности под новые угрозы.

В целом, основные усилия будут направлены на повышение удобства аутентификации для пользователей при сохранении высокого уровня защиты от кибератак, которые будут только усложняться с развитием технологий».