Bezpieczeństwo aplikacji webowych
Architektura IT w dużych organizacjach oznacza najczęściej heterogeniczne środowisko rozbudowywane przez lata z wykorzystaniem wielu zróżnicowanych technologii. Na przełomie ostatniej dekady rozpoczęła się migracja organizacji z aplikacji typu gruby klient do aplikacji webowych. Zmiana ta otworzyła ścieżkę do lepszego zabezpieczenia tych systemów uwierzytelnianiem wieloskładnikowym (MFA). Zmiana ta była też impulsem, który spowodował powstanie Secfense i stworzenia rozwiązania User Access Security Broker.
Aplikacje desktopowe, webowe i bezpieczeństwo danych
O początkach Secfense opowiada Marcin Szary, jeden z współzałożycieli firmy i twórca brokera bezpieczeństwa. – Pomimo trendu webowego ogromna większość aplikacji po migracji do web wciąż pozostaje zabezpieczona jedynie jednym słabym składnikiem w postaci hasła. To był początek 2018 roku, kiedy wraz Tomkiem, moim obecnym wspólnikiem, a wtedy wieloletnim współpracownikiem, zaczęliśmy zastanawiać się dlaczego podejście do bezpieczeństwa aplikacji webowych jest tak staroświeckie? Przecież web otwiera ogromne możliwości. Czy możemy zrobić coś, aby zmienić status quo? Te właśnie pytania stały się początkiem pomysłu, z którego narodził się Secfense.
Nowoczesne aplikacje i stare podejście do bezpieczeństwa
Dostawcy technologii, którzy dawniej dostarczali oprogramowanie w modelu klient-serwer, w ostatnich latach coraz częściej oferują model „webowy”, w którym klientem jest przeglądarka. Pomimo tej ogromnej zmiany, myślenie firm chcących zabezpieczyć swoje dane nie zmienia się. To tak jakby transformacja do web, w ogóle nie miała miejsca. Podejście wielu organizacji do cyberbezpieczeństwa jest wciąż bardzo tradycyjne. Model webowy otwiera jednak ogromne możliwości pozwalające na skuteczniejsze, łatwiejsze w użyciu i skalowalne podnoszenie bezpieczeństwa w organizacji.
Stary paradygmat bezpieczeństwa aplikacji
Podejście firm chcących zabezpieczyć swoje oprogramowanie wygląda zwykle w następujący sposób. Aplikacja A, która jest zamkniętym black boxem (zamknięty serwer, zamknięty klient, zamknięty protokół) powinna zostać zabezpieczona silnym uwierzytelnianiem. Tradycyjne podejście w takim wypadku polega na wprowadzeniu silnego uwierzytelniania na serwerze, czyli miejscu, w którym aplikacja jest ulokowana, jednocześnie modyfikując oprogramowanie klienckie tak, aby tę zmianę “zrozumiało”
Protokół HTTP zmienił zasady gry
To tradycyjne podejście pomija jednak bardzo istotny element, który nie występował w modelu klient-serwer, a istnieje w modelu webowym. Tym elementem jest protokół HTTP. Protokół HTTP to otwarte i ustandaryzowane miejsce, w które można się „wpiąć” i wpłynąć na interakcję między aplikacją i użytkownikiem , nie zmieniając jednocześnie żadnej ze stron.
Nowe podejście do bezpieczeństwa aplikacji webowych
W Secfense staramy się zmieniać sposób myślenia organizacji na temat ochrony tożsamości użytkowników w aplikacjach – mówi Marcin Szary, CTO Secfense. Broker Secfense, który zbudowaliśmy, udowadnia, że silne uwierzytelnianie można dodać w tranzycie (protokół HTTP), a niekoniecznie poprzez ingerencję w samą aplikację (czy to po stronie serwera, czy – klienta).
Secfense i silne uwierzytelnianie w aplikacjach webowych
W 2018 roku z ideą brokera Secfense wybiegaliśmy w przyszłość. Pomysł powstał bowiem zanim otwarty standard uwierzytelniania FIDO wszedł w życie i totalnie zmienił reguły gry. – opowiada Marcin. Czuliśmy, że wejście tego standardu jest nieuniknione i jego adopcja może stać się naszym ogromnym sprzymierzeńcem. Nie mieliśmy jednak 100% pewności czy i kiedy to nastąpi, a przede wszystkim jak zareagują na niego giganci technologiczni.
Standard FIDO
Standard FIDO został zatwierdzony przez konsorcjum standaryzujące internet (W3C) w marcu 2019 roku i zmienił wszystko. Microsoft, Facebook, Google i Amazon postanowiły zaadoptować go w swoich rozwiązaniach a to pociągnęło za sobą większość świata technologicznego, kilka miesięcy później do standardu dołączyło (lub w zasadzie powróciło) Apple, co było ostatecznym przypieczętowaniem tego, że FIDO zostanie z nami na dobre.
Dlaczego FIDO jest tak ważne w historii Secfense?
Kiedy współzałożyciele Secfense rozpoczynali prace nad MVP (minimum viable product, czyli prototypem rozwiązania), który później przekształcił się w rozwiązanie User Access Security Broker, na rynku istniały już narzędzia do silnego uwierzytelnienia z najmocniejszym z nich – kluczem kryptograficznym U2F (Universal 2nd Factor), na temat którego obszarne informacje znaleźć można tutaj.
Możliwość skorzystania z dobrodziejstwa kluczy U2F była jednak w 2018 bardzo ograniczona. Aby wykorzystać je do zabezpieczania aplikacji organizacja musiała zmusić swoich pracowników do korzystania z konkretnej przeglądarki, instalować, dedykowane FIDO, rozszerzenie, oraz dodatkowo zintegrować ten wschodzący standard z samymi aplikacjami. Liczyliśmy jednak na to, że adopcja standardu FIDO jest już za rogiem… – opowiada Marcin
Budowanie świadomości o FIDO
Otwarty standard FIDO był jedną z najważniejszych transformacji, jaka przydarzyła się w świecie cyberbezpieczeństwa w ciągu ostatnich lat. Jednak mimo tego większość osób, z którymi rozmawialiśmy w 2018 roku, o FIDO nie słyszała. W świadomości istniało już wieloskładnikowe uwierzytelnianie, jednakże otwarcie i standaryzacja znacznie silniejszej metody uwierzytelniania była dla wielu całkowicie nowa.
Klucze U2F
Klucze U2F oferują najsilniejszą obecnie metodę silnego uwierzytelniania. Z punktu kosztowego i użyteczności mogą być jednak dla wielu organizacji nie do zaakceptowania. Dlaczego? Ponieważ każdy klucz to koszt (obecnie ok. 20-50$) co przy tysiącach pracowników jest ogromnym wydatkiem. Mogą również być zniszczone lub zgubione, co powoduje dodatkowe koszty i uciążliwość.
Standard FIDO, który umożliwił zastąpienie klucza U2F lokalnymi uwierzytelniaczami (smartfonem lub laptopem z czytnikiem biometrycznym) wyeliminował te ograniczenia. Tym sposobem użytkownik ma możliwość zdecydowania czy woli uwierzytelniać się przy użyciu urządzenia, które ten standard obsługuje, a użytkownik i tak posiada (jak smartfon, czy woli jednak uwierzytelniać się przy pomocy klucza U2F.
Klucze U2F i FIDO2 to nie to samo co tokeny bezpieczeństwa
Częstym błędem w rozumowaniu jest mylenie starych tokenów bezpieczeństwa z kluczami U2F czy FIDO2.
Jeśli zapytamy osoby pracującej w korporacji od kilkudziesięciu lat czym jest token bezpieczeństwa pewnie wskaże na token w formie breloka, który generuje kody jednorazowe (czyli tokeny PKI). Urządzenie to najbliższe jest naszemu krajowemu podpisowi kwalifikowanemu.
Nie da się ukryć, że urządzenie to ma pewne cechy wspólne z kluczami U2F czy FIDO2. Klucze najczęściej wkłada się do portu USB. Zarówno klucze jaki i tokeny PKI korzystają też z kryptografii asymetrycznej. Na tym jednak podobieństwa się kończą.
W przypadku kluczy U2F czy FIDO2 urządzenie to działa natychmiast po wyjęciu z pudełka i podłączeniu do komputera. Już dziś każdy z nas może zakupić taki klucz przez internet, odpakować i zabezpieczyć swoje media społecznościowe, skrzynkę poczty elektronicznej lub dowolną inną aplikację, chronioną przez brokera Secfense.
Stare tokeny PKI wiązały się z ogromną biurokratyzacją pracy działu cyberbezpieczeństwa. Procedura inicjalizowania tych tokenów była bardzo skomplikowana. Wgrywanie certyfikatów, zarządzanie certyfikatami po stronie serwerowej, instalowanie oprogramowania middleware na komputerach żeby klucz mógł zadziałać…
Tokeny PKI to wiele nieprzespanych nocy i liczne siwe włosy na głowie niejednego szefa cyberbezpieczeństwa. Klucze U2F i FIDO2 to ‘game changer’ czyli urządzenie, które zmienia reguły gry i wywraca do góry nogami starą biurokratyzację i związane z nią bolączki tokenów PKI.
Dlaczego standard FIDO jest tak bezpieczny?
Klucze w standardzie FIDO oraz lokalne uwierzytelniacze obsługujące ten standard umożliwiają uwierzytelnianie użytkownika tylko na tej domenie, z którą są powiązane. Jeśli raz zarejestruje się klucz kryptograficzny w danej domenie, to nie pozwoli on na uwierzytelnienie w żadnej innej domenie, która pod tą domenę będzie się podszywać. Rozwiązuje to problem social engineering (socjotechniki) i phishingu (wyłudzania) czyli sytuacji, w której użytkownik da się oszukać i nie zauważy, że domena, do której chce się zalogować jest fałszywa.
Secfense, silne uwierzytelnianie i passwordless
Pomysł, który narodził się w 2018 roku w głowach Marcina Szarego i Tomasza Kowalskiego w 2021 doceniony był już przez takie firmy jak bank BNP Paribas Polska czy PKP Intercity. Broker Secfense już dziś umożliwia wdrożenie silnego uwierzytelniania na dowolnej liczbie aplikacji tysiącom użytkowników. A jak wyglądają plany na przyszłość?
Secfense czyli najkrótsza droga do przyszłości bez haseł
Przyszłość to passwordless czyli bezhasłowe uwierzytelnianie, lub uwierzytelnianie bez hasła – mówi Marcin Szary. Passwordless to święty gral cyberbezpieczeństwa, a dla Secfense kolejny krok w rozwoju brokera. Organizacja, która zdecydowała się na wykorzystanie naszej technologii będzie mogła zdecydować czy i kiedy zmigrować swoich użytkowników i swoje aplikacje to całkowitego passwordless, czyli całkowitego wyeliminowania haseł i zastąpienia ich silnym wieloskładnikowym uwierzytelnianiem.
W kolejnym artykule opowiemy Państwu, na czym polega podejście Secfense do passwordless i w jaki sposób chcemy umożliwić organizacjom całkowite wyeliminowanie haseł. Zapraszamy do czytania naszego biuletynu, odwiedzania bloga oraz kontaktu z nami!
Antoni Sikora 