2022 год ознаменовался масштабным нарастанием кибератак, и в текущем году ситуация только усугубляется. На этом фоне все чаще публикуются новости об утечках баз учетных данных (логинов и паролей), которые затем «сливают» в Сеть или продают на закрытых интернет-площадках. Скомпрометированные учетные записи позволяют злоумышленникам легко проникать в ИТ-системы различных организаций. Причем никакие меры защиты, которые те принимают, не могут полностью исключить угрозы несанкционированного доступа к ИТ-ресурсам, связанного с действиями внутреннего персонала.
Как показало исследование компании Positive Technologies, в 2022 г. 16% успешных кибератак, направленных на организации, увенчались получением доступа к целевым системам и ресурсам при помощи скомпрометированных учетных данных. Для этого преступники как подбирали пароли, так и применяли учетные данные, которыми они завладели ранее в результате утечек.
Уберечься от подобных атак помогает механизм многофакторной аутентификации (MFA) – компонент управления доступом, требующий от сотрудников подтверждать вход в учетную запись при помощи как минимум двух различных факторов проверки, чтобы получить доступ ко всем корпоративным приложениям и веб-ресурсам. Если один фактор будет скомпрометирован, то злоумышленнику потребуется преодолеть еще как минимум один защитный барьер.
Согласно методическому документу о мерах защиты информации в государственных информационных системах, утвержденному Федеральной службой по техническому и экспортному контролю (в соответствии с Приказом ФСТЭК России от 11 февраля 2013 г. № 17), ФСТЭК настоятельно рекомендует полностью отказаться от привычной аутентификации на основе статических паролей для всех пользователей без исключения и перейти на более надежную технологию – многофакторную аутентификацию. При этом обязательным требованием выступает использование аппаратных аутентификаторов и механизма одноразовых паролей при удаленном и локальном доступе.
Проникновение в ИТ-системы организации чревато пагубными последствиями:
- нарушением основной деятельности;
- утечками конфиденциальной информации, включая коммерческую тайну;
- прямыми финансовыми потерями.
Если деятельность той или иной компании будет нарушена, это может привести к неблагоприятным результатам для ее клиентов: например, 46% таких инцидентов приводили к сбоям в процессах предоставления сервисов. Некоторые успешные атаки на учреждения из одних секторов срывали работу организаций в других отраслях – от здравоохранения и государственных услуг до железнодорожных перевозок.
Для того чтобы надежно защитить доступ ко внутренним ресурсам, необходимо организовать централизованное управление правами доступа и обеспечить усиленную аутентификацию между разными типами целевых ресурсов. Особенно важную роль играет аутентификация, так как это последняя преграда для злоумышленника, получившего идентификатор легального пользователя.
Шире всего распространены технологии аутентификации на основе пароля, но у них есть целый ряд существенных недостатков:
- уязвимость к различным методам подбора паролей;
- высокий риск компрометации паролей в ходе удаленной работы (сотрудник может получить доступ к необходимым ресурсам с любых устройств, включая неконтролируемые);
- уязвимость паролей к методам социальной инженерии (станов жертвами манипуляций, пользователи фактически сами сообщают пароли злоумышленникам);
- невозможность выявить факт компрометации пароля до возникновения инцидента.
Указанные недостатки и уязвимости парольной аутентификации можно нивелировать, внедрив комплексную систему управления аутентификацией, которая обеспечит многофакторную аутентификацию сотрудников.
Рассмотрим основные сценарии использования такой технологии.
Сценарии использования технологии многофакторной аутентификации
Cтрогая аутентификация на доменном ПК внутри корпоративной сети
Строгая аутентификация сотрудников в системе реализуется при помощи различных методов и средств, таких как биометрические данные, бесконтактные RFID-карты, USB-ключи, контактные смарт-карты, одноразовые пароли, push-уведомления в мобильном приложении.
Cтрогая аутентификация в целевых веб-приложениях и приложениях для ОС Windows
Усиленная аутентификация во всех корпоративных и веб-приложениях обеспечивается продуктами, реализующими концепцию «технологии единого входа», также известную как Single Sign-On.
Технология единого входа в информационные системы организации позволяет централизованно хранить пользовательские пароли от приложений и выполнять автоматическую подстановку паролей в скрытом виде, когда нужно получить доступ в то или иное приложение или выполнить другие действия, требующие аутентификации при помощи различных методов и средств. К последним относятся, в частности, биометрические данные, бесконтактные RFID-карты, USB-ключи, контактные смарт-карты, одноразовые пароли, push-уведомления.
Двухфакторная аутентификация в VPN
В рамках этого сценария реализуется технология двухфакторной аутентификации в совместимых с протоколом RADIUS сервисах VPN и приложениях VPN-клиентов. Поддерживаются различные методы аутентификации: одноразовые пароли, отправляемые в сообщениях SMS или по электронной почте; одноразовые пароли, генерируемые на специальных устройствах; push-уведомления.
Двухфакторная аутентификация при RDP-подключении
Удаленное подключение к серверам Windows Server по протоколу RDP предполагает двухфакторную аутентификацию с помощью одноразовых паролей. Аутентификация выполняется в два этапа: сначала пользователь вводит доменные учетные данные, а затем – одноразовый пароль. В качестве второго фактора могут выступать: мастер-пароль (провайдер Passcode); одноразовый пароль, сгенерированный мобильным приложением (провайдер Software OTP) или устройством; одноразовый пароль, отправленный в сообщении SMS или по электронной почте; push-уведомления.
Двухфакторная аутентификация для приложений с поддержкой ADFS
Компонент ADFS Extension реализует провайдер мультифакторной аутентификации для сервера Microsoft ADFS, добавляя в процесс получения доступа второй фактор.
В качестве второго фактора могут выступать: мастер-пароль (провайдер Passcode); одноразовый пароль, сгенерированный мобильным приложением (провайдер Software OTP) или устройством; одноразовый пароль, отправленный в сообщении SMS или по электронной почте; push-уведомления.
Двухфакторная аутентификация с использованием Identity Provider для приложений с поддержкой протоколов SAML, OIDC
В рамках этого сценария вторым фактором могут выступать: мастер-пароль (провайдер Passcode); одноразовый пароль, сгенерированный мобильным приложением (провайдер Software OTP) или устройством; одноразовый пароль, отправленный в сообщении SMS или по электронной почте; push-уведомления.
Как правильно выбрать средство аутентификации
Для усиленной аутентификации пользователей применяется множество различных решений: аппаратные носители, биометрические данные, одноразовые пароли.
Наиболее подходящий аутентификатор или набор аутентификаторов выбирается с учетом следующих факторов:
- сценарий доступа (локальный или удаленный доступ);
- используемое устройство (компьютер или смартфон);
- целевой ресурс (корпоративное приложение или публичный веб-сервис);
- полномочия и возможности пользователя.
Оптимальный способ защиты логического доступа – реализация единых сценариев аутентификации при подключении ко всем ресурсам. Для этого важно использовать комплексное решение, в котором программные и аппаратные компоненты для двухфакторной аутентификации сочетаются с продуктом, поддерживающим усиленную аутентификацию на различных корпоративных ресурсах.
При выборе второго или третьего фактора аутентификации рекомендуется учитывать несколько критериев, включая описанные далее:
- Безопасность. Некоторые факторы аутентификации, такие как физические устройства, биометрические данные или одноразовые пароли, обеспечивают более высокий уровень безопасности, чем простые пароли, но у каждого фактора есть собственные преимущества и недостатки.
- Удобство использования. Чем проще и удобнее использовать фактор аутентификации, тем ниже вероятность того, что пользователи будут игнорировать его или искать способы обойти процесс аутентификации. Например, вводить SMS-код может быть удобнее, чем носить с собой аппаратное устройство.
- Распространенность и поддержка. Если фактор аутентификации широко используется и поддерживается множеством сервисов и платформ, это может облегчить его внедрение и применение в различных ситуациях.
- Стоимость. Некоторые факторы, такие как аппаратные устройства, могут потребовать дополнительных затрат на закупку и поддержку.
- Риски и сценарии использования. Так, если существует угроза физического доступа к устройству, то биометрический фактор (такой как сканер отпечатков пальцев) может быть предпочтительнее, чем фактор, основанный на знаниях (например, пароль).
Это лишь некоторые критерии, которые нужно учесть при выборе второго или третьего фактора аутентификации. Чтобы принять оптимальное решение, важно изучить и оценить конкретные потребности и условия вашей системы или организации.
Рассмотрим программно-аппаратный комплекс Indeed Access Manager (Indeed AM), который создает единую точку доступа к ИТ-системам компании и обеспечивает многофакторную аутентификацию сотрудников.
Платформа Indeed AM поддерживает такие специализированные протоколы аутентификации, как RADIUS, SAML, ADFS, OpenID Connect, RDP. Она позволяет создать сервер управления аутентификацией, который за счет поддержки соответствующих протоколов вынуждает целевой ресурс выполнять многофакторную аутентификацию вместо парольной.
Indeed AM поддерживает следующие технологии аутентификации:
- Биометрия: отпечатки пальцев, рисунок вен ладони, геометрия лица (двухмерное и трехмерное изображение).
- Аппаратные устройства: бесконтактные карты, USB-токены, iButton, RFID-карты, карты с биометрическим считывателем.
- Одноразовые пароли: приложения TOTP/HOTP, брелоки OTP, доставка одноразовых паролей (SMS, Telegram, эл. почта).
- Прочие способы: push-аутентификация (Indeed Key, Telegram-бот), сетевые и виртуальные смарт-карты, аутентификация по геолокации (через СКУД).
Indeed AM – универсальное средство, позволяющее выбрать оптимальный набор методов усиленной аутентификации исходя из заданных условий.
Заключение
Чтобы обеспечить надежную защиту доступа, необходимо внедрить комплексную систему управления аутентификацией и определить подходящий метод усиленной аутентификации. Выбирая факторы аутентификации, нужно учитывать технологические особенности инфраструктуры и потребности организации в защите доступа. Важно обратить внимание и на то, существуют ли возможности для интеграции с другими СЗИ, а также на механизмы обновления и поддержки средств защиты. Только комплексный подход к защите доступа позволит обеспечить информационную безопасность компании в полной мере.
Автор: Дмитрий Колногоров, pres-sale инженер в Компании «Индид».
