Cały raport zatytułowany ‘Enhance Remote Access Security With Multi Factor Authentication and Access Management’ można zakupić tutaj, na oficjalnej stronie firmy analitycznej Gartner. Ten artykuł skupia się na zagadnieniach związanych z MFA wspomnianych w tym raporcie.
Prognozy Gartnera na 2021: Cyberbezpieczeństwo
Raport Gartnera skupia się na popularyzacji pracy zdalnej i roli jaką pandemia odegrała w przyspieszeniu tego istniejącego już trendu. Praca zdalna wymusiła na działach bezpieczeństwa IT szybsze działanie w celu zabezpieczenia pracowników zdalnych. Aby tego dokonać firma Gartner sugeruje organizacjom inwestycje w uwierzytelnianie wieloskładnikowe (MFA). Dodaje również, że silnym uwierzytelnianiem powinna zostać objęta cała organizacja (skalowanie rozwiązania).
Wyzwania związane z MFA
Zabezpieczenie zdalnego dostępu do aplikacji lokalnych wymaga jednoczesnego wykorzystania różnych technologii. MFA ma tutaj kluczowe znaczenie. Gartner podkreśla jednak, że wdrożenie i skalowanie MFA jest trudne do wprowadzenia i napotyka na wiele wyzwań technologicznych.
Zalecenia związane z MFA
Gartner zaleca wprowadzenie i skalowanie MFA dla wszystkich pracowników zdalnych. Metoda oparta o SMSy powinna być rozwiązaniem wyłącznie tymczasowym. W dłuższej perspektywie organizacje powinny przejść na MFA oparte o mobilny push lub o tokeny sprzętowe (U2F lub FIDO2). Jeśli możliwe jest pominięcie metody opartej o SMSy i od razu zastosowanie silniejszych mechanizmów uwierzytelniania – tym lepiej.
Przewidywania Gartnera
W 2021 r. przedsiębiorstwa, które umożliwiają zdalny dostęp pracowników bez wdrożonego MFA, mogą doświadczyć pięciokrotnie więcej incydentów przejęcia kont niż te, które z MFA korzystają.
Narzędzia do pracy zdalnej i MFA
Praca zdalna w wielu przedsiębiorstwach może być wspomagana technologiami takimi jak VPN, ZTNA czy CASB. Jednak bezpieczny dostęp zdalny do aplikacji lokalnych i chmurowych wymaga kontroli IAM, a wyżej wymienione narzędzia nie zapewniają go natywnie.
Jak organizacje mogą chronić pracę zdalną przy pomocy MFA?
Określenie wymagań
Gartner wskazuje jeden konkretny błąd jako najistotniejszy przy uruchamianiu dowolnej technologii dostępu zdalnego. Tym błędem jest nie zdefiniowanie wymagań przed zakupem i wdrożeniem nowej technologii. Błąd ten powoduje słabą wydajność, niezadowolenie użytkownika i obniżenie standardów bezpieczeństwa. Użytkownicy próbują bowiem przechytrzyć wdrożone rozwiązanie, aby zachować wygodę użytkowania.
Wdrożenie lub rozszerzenie usługi MFA
Wszystkie scenariusze związane z dostępem zdalnym są w dużym stopniu narażone na ataki phishingowe. Usługa MFA może znacznie zmniejszyć ryzyko przejęcia kont użytkowników. Aplikacje uwierzytelniające i inne metody TOTP można wprowadzić szybko i tym samym podnieść poziom bezpieczeństwa pracowników zdalnych. Jak wspomniano wcześniej SMS i metody oparte o TOTP nie są jednak tak bezpieczne, jak nowsze metody MFA.
Wybieranie metody uwierzytelniania
Większość dostawców usługi MFA oferuje metody „telefon jako token” lub tokeny sprzętowe z hasłami jednorazowymi (OTP). Metody te dominują we wszystkich segmentach rynku. Wiele przedsiębiorstw nadal używa starszych tokenów sprzętowych OTP, takich jak RSA SecurID. Zwykle w celu ochrony dostępu zdalnego przez VPN i tylko dla kilku pracowników.
Jednak tokeny sprzętowe są zazwyczaj drogie i trudne do dystrybucji. Użytkownicy nie szanują urządzeń i często użyczają je innym pracownikom. Przedsiębiorstwa, które rozszerzają zakres pracy zdalnej w całej organizacji, doświadczają ograniczeń związanych z tokenami i dlatego szukają innych metod MFA, które są łatwiejsze do zastosowania.
Problem adopcji jest jednym z powodów, dla których w ciągu ostatnich 10 lat powszechnie preferowano metody „telefon jako token”. Dostępnych jest kilka różnych opcji telefonu jako tokena, a najbardziej powszechne to:
- Uwierzytelnianie pozapasmowe oparte na:
– Zautomatyzowanych połączeniach głosowych
– Wiadomościach tekstowych SMS
– Powiadomieniach mobile push za pośrednictwem aplikacji na smartfony
- OTP na smartfony, które emulują starsze tokeny sprzętowe OTP:
SMS-y i połączenia głosowe są najmniej bezpieczne i łatwe do złamania. Przedsiębiorstwa coraz częściej preferują metodę opartą o mobile push, która jest bezpieczniejszą metodą niż SMSy i połączenia głosowe i zapewnia lepsze user experience (UX) niż aplikacje OTP. Potrzeba używania smartfona do mobile push może być problematyczna, gdy użytkownicy nie mają firmowych telefonów. Dodatkowo niektórzy użytkownicy mogą nie chcieć używać do tego celu swoich osobistych telefonów.
Powszechną alternatywą dla mobile push są tokeny sprzętowe OTP. Organizacje coraz częściej wybierają YubiKeys od Yubico i zastępują nimi starsze tokeny ze względu na ich wygodę i szerokie wsparcie.
FIDO Universal Second Factor (U2F) i klucze bezpieczeństwa FIDO2 (od FEITIAN Technologies, Google i innych, a także Yubico) to kolejna alternatywa, która oferuje lepsze bezpieczeństwo, ale ponieważ technologia jest wciąż stosunkowo nowa – jest mniej powszechnie wspierana.
Obsługa szybkiego skalowania dostępu zdalnego
Skalowanie uwierzytelniania MFA może powodować wiele wyzwań.
Niewiele przedsiębiorstw ma wystarczającą liczbę tokenów sprzętowych, aby skorzystać z tej metody na szeroką skalę. Szybkie pozyskiwanie tokenów przy dużej ilości jest trudnym i kosztownym przedsięwzięciem. Łatwiej jest skalować metody oparte o telefon jako token. Najłatwiej jest wprowadzić SMS-y. Wystarczy znać numery telefonów komórkowych użytkowników.
Uwierzytelnianie SMS-ów można szybko skalować, jednak słabość tej metody powoduje, że należy ją traktować jedynie jako rozwiązanie przejściowe. Uwierzytelnianie SMS należy wymienić, gdy potrzeba przekracza dwa tygodnie. Zaleca się migrację użytkowników do tokenów mobilnych lub sprzętowych. Ustalanie priorytetów według ryzyka. Kierownictwo wyższego szczebla i użytkownicy biznesowi, którzy mają dostęp do systemów wrażliwych i krytycznych powinni być skierowani jako pierwsi do wprowadzenia silnego uwierzytelniania.
Użycie uwierzytelniania SMS może pozostać w użyciu tylko dla niektórych użytkowników niskiego ryzyka. Jednak numery telefonów komórkowych tych użytkowników stają się teraz wrażliwe na cyberataki. Zespoły ds. Bezpieczeństwa powinny następnie wprowadzić silniejsze procedury i zwiększyć świadomość użytkowników.
Niezależnie od metod zwiększanie MFA może mieć znaczący wpływ na koszty.
Plan działania dotyczący bezpieczeństwa pracy zdalnej
Oto, jak powinien wyglądać plan działania, jeśli chodzi o bezpieczeństwo pracy zdalnej z MFA.
Response
Reakcja. Rozszerzenie istniejącej usługi MFA lub wybranie dostawcy usługi MFA. Zaimplementowanie usługi MFA dla całego dostępu zdalnego zgodnie z harmonogramem i z priorytetami ryzyka.
Recovery
Poprawa. Konsolidacja MFA do zdalnego dostępu, faworyzując wybrane narzędzie AM.
Renewal
Odnowa. Przegląd strategicznej wizji MFA i AM we wszystkich przypadkach użycia dla pracowników i partnerów (oraz opcjonalnie dla klientów) poprzez ciągłą i adaptacyjną ocenę ryzyka i zaufania (CARTA).
Brokerzy bezpieczeństwa
Istotną rolę w adopcji MFA w dużych przedsiębiorstwach mogą odgrywać rozwiązania takie jak user access security broker lub broker 2FA. Tego typu narzędzie łatwo uruchamia uwierzytelnianie wieloskładnikowe na dowolnej aplikacji bez zmiany kodu tej aplikacji. Największą zaletą brokerów jest fakt, że ich wykorzystanie eliminuje konieczność zmieniania kodu aplikacji (prac programistycznych).
Standardowym sposób wdrażania uwierzytelniania dwuskładnikowego polega bowiem na tym, że każda aplikacja musi być dostosowana przez programistów aby obsługiwała nową technologię. Broker, likwiduje ten krok i umożliwia uruchomienie każdej metody uwierzytelniania bez żadnej ingerencji w kod chronionej aplikacji. 2FA zostaje tym samym przeniesione z zakresu odpowiedzialności programistów do rąk administratorów bezpieczeństwa. Administratorzy za pomocą brokerów 2FA mogą instalować silne uwierzytelnianie na dowolnej kontrolowanej przez nich aplikacji. Nie potrzeba ingerować w kod aplikacji i dostosowywać go do nowych metod zabezpieczeń. Aplikacja może być w łatwy sposób ‘podłączona’ do 2FA bez kodowania, a jedynie poprzez modyfikację ruchu sieciowego, który teraz przepuszczany jest przez brokera 2FA. Niezależność, skalowalność i elastyczność tego podejścia to wskaźnik, który każe przypuszczać, że jego popularność wzrastać będzie w 2021 roku.
