СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Главное
CISOCLUB
11 ноября
#Интервью #ИБ#Инфра#Облака

MFA как основа Zero Trust: защита доступа и ключей в реальных процессах

MFA как основа Zero Trust: защита доступа и ключей в реальных процессах

Изображение: recraft

В интервью Андрей Шпаков, руководитель отдела развития многофакторной аутентификации компании «Актив», объясняет, почему курс на MFA перестал быть делом вкуса: новые требования ФСТЭК №117 и СТО Банка России поднимают планку для удалённого доступа и привилегированных учётных записей. На практических примерах он показывает, как перейти от паролей и SMS к FIDO2, токенам и смарт-картам, не ухудшая опыт пользователя и не ломая процессы.

Мы обсудили с Андреем, чем заменить пароли и OTP без роста фишинга, как выстроить управляемую PKI и защитить ключи электронной подписи в распределённых командах; как внедрять риск-ориентированную аутентификацию в логике Zero Trust; какие ошибки чаще всего тормозят проекты и почему контроль подписи кода и доступа к ключам становится критичным для цепочки поставок. В конце мы поговорили о поэтапной миграции: с кого начинать, какие fallback-схемы готовить и как соотнести решения с требованиями регуляторов.

Как изменились требования к аутентификации пользователей за последние годы?

В последние годы наметился определенный тренд на усиление регуляторных требований в области аутентификации. Первым таким отраслевым документом стал Стандарт Банка России СТО БР БФБО-1.8-2024, предписывающий при проведении дистанционной аутентификации получателей услуг использовать методы многофакторной аутентификации.

Самым значимым изменением является вступление в силу Приказа ФСТЭК №117 для государственных информационных систем взамен Приказа №17. В новом приказе «подтягиваются» некоторые требования для государственных и муниципальных информационных систем до стандартов, принятых во многих крупных корпоративных заказчиках. В частности:

  • применять строгую (двухстороннюю, с использованием криптографических методов) аутентификацию при осуществлении доступа к информационной системе администраторов, специалистов по информационной безопасности, аудиторов и других сотрудников с привилегированным доступом;
  • использовать в случае технической невозможности применения строгой аутентификации многофакторную аутентификацию на основе более слабых методов;
  • внедрить систему класса privileged access management (PAM-системы) для снижения рисков несанкционированного доступа к данным;
  • задействовать строгую аутентификацию, если к ИС может осуществляться доступ с применением мобильных устройств или осуществляется удаленная работа сотрудников.

Таким образом, происходит постепенное плановое усиление аутентификации в различных информационных системах, как у обычных, так и у привилегированных пользователей.

Какие риски вы видите при использовании паролей и OTP, и чем их реально можно заменить без потери удобства?

Классические пароли имеют массу потенциальных рисков. Использование правильных вариантов OTP (криптографически вычисляемые одноразовые пароли) позволяет устранить ряд этих рисков. Но, к сожалению, не все.
Для классических паролей, полагающихся на фактор знания, ключевой проблемой является частичное игнорирование парольных политик в организациях. Т. к. хороший пароль запомнить сложно, пользователи инстинктивно стараются использовать самые простые и понятные пароли. А политика замены пароля каждые 30 дней превращается в смену одного удобного пароля на другой и так далее по кругу. Так устроен человеческий мозг, который всегда выбирает наименее затратный способ решения задачи.
В свою очередь одноразовые пароли не полагаются на память пользователя. Верное значение каждые 30 секунд генерирует мобильный телефон или персональный аутентификатор.

Второй ключевой проблемой является отсутствие информации о компрометации пароля. В отличие от токена или мобильного телефона, пропажу которых сложно не обнаружить, о потерянном пароле пользователь долгое время не знает.

Третья проблема — фишинг, к сожалению, является одной из самых критичных для большинства методов аутентификации, в том числе и многофакторной. И классические пароли, и OTP подтверждены данной угрозе.

Решением проблемы фишинга является использование методов, которые позволяют провести взаимную аутентификацию устройства пользователя перед сервисом и сервиса перед устройством. В настоящий момент к таким методам относятся использование токенов и смарт-карт на основе технологии PKI и беспарольной аутентификации на основе стандарта FIDO.

Самым опасным риском для любой технологии MFA является социальная инженерия. Какие бы продвинутые средства не применялись в организации, ни одно техническое средство защиты не сможет обезопасить пользователя, если он сам зайдет в сервис и передаст злоумышленнику конфиденциальные данные. Для снижения данных рисков требуется проводить обучение пользователей организации основам информационной безопасности.

Как компании сегодня выстраивают инфраструктуру открытых ключей (PKI), чтобы она была безопасной и при этом управляемой?

Выстраивание инфраструктуры PKI в организации — крайне ответственный процесс. Есть несколько ключевых практик, которыми надо руководствоваться:

  • Использование иерархической модели УЦ.
    Корневой УЦ (Root CA) используется только для создания промежуточных выпускающих (IssuingSubordinate CA). Корневой УЦ должен быть физически изолированным от сети, а доступ к нему должен быть ограничен.
  • Выпускающие УЦ должны использоваться для выпуска сертификатов устройствам, пользователям и сервисам. В случае компрометации такого УЦ его можно отозвать, получив ограниченный ущерб для информационной системы.
  • Для технологических сертификатов УЦ должен иметь поддержку средств автоматизации, например, поддержку ACME для выпуска TLS-сертификатов на веб-сервисы или SCEP для сетевого оборудования.
  • УЦ должен поддерживать актуальные средства проверки валидности сертификата, такие как OCSP и CRL.
  • Необходимо убедиться, что УЦ умеет работать со всеми существующими и планируемыми прикладными сервисами в организации. К примеру, задача интеграции УЦ в современные отечественные домены для аутентификации пользователя является достаточно нетривиальной.

Отдельно стоит упомянуть, что, если в организации используются различные ключевые носители для аутентификации и электронной подписи, то использование систем класса PKI-management (Управление жизненным циклом ключевых носителей) существенно облегчает задачу корректного обслуживания ключевых носителей. В данном случае система должна иметь возможность интеграции с используемыми в организации УЦ, чтобы автоматизировать все рутинные операции.

Какие ошибки чаще всего допускают компании при внедрении средств аутентификации и PKI-решений?

Ключевые ошибки при использовании решений на основе PKI заключаются в недостаточно качественной оценке на этапе проектирования следующих вопросов:

  • потенциальное масштабирование PKI на различные сервисы (аутентификация, межсервисные технологические сертификаты, электронная подпись);
  • управление жизненным циклом PKI и СКЗИ;
  • технологические вопросы, связанные с особенностью работы в гетерогенных средах с применением как российских, так и зарубежных продуктов.

Система PKI в организации должна строиться по иерархической архитектуре, где выпускающие УЦ выпускают сертификаты для своих задач. Начав внедрять PKI точечно, под каждый конкретный сервис, соединить это в единую управляемую конструкцию с четкими зонами ответственности будет крайне сложно. Попытка же масштабировать существующее решение на новые сервисы встретит существенное сопротивление, связанное с большим количеством “белых пятен” на стыке ИБ, ИТ и организационных процессов.

Работая с PKI, необходимо предусмотреть организационные и технические аспекты:

  • массовое обновление сертификатов и ключевых носителей без риска потери работоспособности сервисов и доступа к ним сотрудников;
  • отзыв сертификатов в случае компрометации ключа или ключевого носителя или увольнения сотрудника;
  • возможность использования PKI в новых сервисах организации и требования к этой поддержке;
  • зоны ответственности в области администрирования PKI для разных сервисов.

Насколько оправдан переход на многофакторную аутентификацию (MFA) с аппаратной частью (токены, смарт-карты) в реальных проектах?

Многие заказчики, понимая все преимущества использования токенов и смарт-карт, видят определенные риски использования этих устройств. Попробуем развеять эти заблуждения при помощи следующих аргументов.

Заблуждение 1. Использование токенов и смарт-карт будет неудобно для пользователей. Они будут забывать устройства и PIN-коды от них.

Наш аргумент: На практике простые действия — подключение токена или смарт-карты и печать короткого PIN-кода — занимают около 5 секунд. Кроме того, в отличие от сложного пароля, который требует периодической смены, PIN-код легко запомнить и не требуется менять.

В случае утери токена процесс может быть регламентирован и понятен, в отличие от действий в случае забытых пользовательских паролей.

Заблуждение 2. У нас уже реализована многофакторная аутентификация на базе push- и SMS-уведомлений, что гораздо проще, так как процедура задействует уже существующее устройство пользователя — его смартфон.

Наш аргумент: Push- и SMS-уведомления действительно усиливают аутентификацию, но относятся к «мягким» методам, которые подвержены атакам социальной инженерии, хоть и в меньшей степени, чем пароли. Кроме того, эта модель аутентификации зависит от внешних инфраструктур (операторы связи, сторонние облачные сервисы) со следующими рисками:

  • уязвимость мобильной среды. Современные атаки (SIM-swapping, push bombing, malware на Android/iOS) позволяют перехватывать уведомления и подтверждать вход без участия пользователя;
  • смена устройства или номера телефона, хоть и редкий случай, но негативно влияющий фактор, который необходимо учитывать;
  • отсутствие PIN-кода на SIM-карте. Пользователь думает: есть PIN-код на самом смартфоне, PIN на SIM излишен. Это позволяет использовать украденную SIM-карту на другом телефоне для получения одноразовых паролей в виде SMS. Сценарий может показаться сложным в реализации с не очень большим временным окном эксплуатации, но в хорошо спланированной атаке это все-таки может быть использовано.

Заблуждение 3. У нас и так есть защита: VPN, антивирус, EDR, сегментация сети, SOC, а сами пароли сложные. Строгая аутентификация кажется избыточной мерой.

Наш аргумент: Все применяемые средства безусловно важны, и без них существование современной инфраструктуры невозможно. При этом стоит принимать во внимание, что большинство успешных атак начинались с компрометации пароля пользователя, зачастую простого сотрудника, не обладающего каким-то специфическим полномочиями.

Сложность пароля не делает его более стойким к атакам с помощью социальной инженерии (например, фишингу), а VPN «пропустит» злоумышленника по скомпрометированному паролю. SOC, являясь важным компонентом комплексной системы информационной безопасности, поможет выявить и остановить инцидент на некоторой стадии его развития, но не предотвратить его начало как таковое. И такая риторика применима ко всем уже успешно применяемым средствам: скомпрометированный пароль позволяет пройти любое из них, представившись легитимным пользователем.

Таким образом, пошаговое внедрение токенов и смарт-карт (сначала для привилегированных пользователей, а далее — для других сегментов) и реализация Fallback-механизмов для сотрудников, задействованных в высококритичных процессах, позволяет получить надежную, безопасную и удобную в управлении систему многофакторной аутентификации.

Какие новые требования и технологии вы считаете определяющими для аутентификации и управления ключами в ближайшие годы?

Можно выделить несколько ключевых трендов.

Во-первых, это постепенное развитие и распространение технологий беспарольной аутентификации на базе FIDO2 и Passkey. Ключевое преимущество FIDO заключается в сочетании кроссплатформенности, высокого качества аутентификации и простоты для пользователя. Уже сейчас множество зарубежных, отечественных и даже государственных сервисов (например, mos.ru) поддерживают аутентификацию на базе данной технологии. Стандарт постоянно развивается, он уже тесно интегрируется с биометрической аутентификацией как на ПК, так и на мобильных устройствах, а различные IAM-системы уже умеют управлять и использовать такие аутентификаторы.

Во-вторых, это адаптивная аутентификация или аутентификация на основе рисков. Данный подход является реализацией концепции Zero-Trust в области аутентификации. Классический подход к аутентификации приводит к тому, что разные методы аутентификации применяются для разных задач: OTP для VPN, токен с PKI для ОС, пароли для работы с приложениями, программно-хранимые ключи для SSH. Также используются разные методы аутентификации для разных категорий пользователей: для администраторов — токены и смарт-карты, для пользователей — пароли. И задействуются разные вендоры и подходы, каждый для своей задачи. Все это приводит к тому, что в разных точках ИТ-ландшафта остаются слабые методы, подверженные атакам, и именно на них будет сфокусировано внимание атакующих.

Реализация аутентификации на основе рисков в IAM-системах позволяет существенно нивелировать эту проблему. Она также позволяет унифицировать доступ сотрудников из разных точек подключения с применением наиболее качественных способов многофакторной аутентификации, скажем, токенов и смарт-карт, по технологии PKI или устройств на базе технологии FIDO.

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Комментарии: