Gartner opublikował niedawno raport dotyczący bezpieczeństwa dostępu zdalnego. MFA odgrywa w nim kluczową rolę.

gartner-opublikowal-niedawno-raport-dotyczacy-bezpieczenstwa-dostepu-zdalnego-mfa-odgrywa-w-nim-kluczowa-role

Cały raport zatytułowany ‘Enhance Remote Access Security With Multi Factor Authentication and Access Management’ można zakupić tutaj, na oficjalnej stronie firmy analitycznej Gartner. Ten artykuł skupia się na zagadnieniach związanych z MFA wspomnianych w tym raporcie.

Prognozy Gartnera na 2021: Cyberbezpieczeństwo

Raport Gartnera skupia się na popularyzacji pracy zdalnej i roli jaką pandemia odegrała w przyspieszeniu tego istniejącego już trendu. Praca zdalna wymusiła na działach bezpieczeństwa IT szybsze działanie w celu zabezpieczenia pracowników zdalnych. Aby tego dokonać firma Gartner sugeruje organizacjom inwestycje w uwierzytelnianie wieloskładnikowe (MFA). Dodaje również, że silnym uwierzytelnianiem powinna zostać objęta cała organizacja (skalowanie rozwiązania).

Wyzwania związane z MFA

Zabezpieczenie zdalnego dostępu do aplikacji lokalnych wymaga jednoczesnego wykorzystania różnych technologii. MFA ma tutaj kluczowe znaczenie. Gartner podkreśla jednak, że wdrożenie i skalowanie MFA jest trudne do wprowadzenia i napotyka na wiele wyzwań technologicznych.

Zalecenia związane z MFA

Gartner zaleca wprowadzenie i skalowanie MFA dla wszystkich pracowników zdalnych. Metoda oparta o SMSy powinna być rozwiązaniem wyłącznie tymczasowym. W dłuższej perspektywie organizacje powinny przejść na MFA oparte o mobilny push lub o tokeny sprzętowe (U2F lub FIDO2). Jeśli możliwe jest pominięcie metody opartej o SMSy i od razu zastosowanie silniejszych mechanizmów uwierzytelniania – tym lepiej.

Problemy związane z wprowadzeniem wieloskładnikowego uwierzytelniania

Przewidywania Gartnera

W 2021 r. przedsiębiorstwa, które umożliwiają zdalny dostęp pracowników bez wdrożonego MFA, mogą doświadczyć pięciokrotnie więcej incydentów przejęcia kont niż te, które z MFA korzystają.

Narzędzia do pracy zdalnej i MFA

Praca zdalna w wielu przedsiębiorstwach może być wspomagana technologiami takimi jak VPN, ZTNA czy CASB. Jednak bezpieczny dostęp zdalny do aplikacji lokalnych i chmurowych wymaga kontroli IAM, a wyżej wymienione narzędzia nie zapewniają go natywnie.

Jak organizacje mogą chronić pracę zdalną przy pomocy MFA?

Określenie wymagań

Gartner wskazuje jeden konkretny błąd jako najistotniejszy przy uruchamianiu dowolnej technologii dostępu zdalnego. Tym błędem jest nie zdefiniowanie wymagań przed zakupem i wdrożeniem nowej technologii. Błąd ten powoduje słabą wydajność, niezadowolenie użytkownika i obniżenie standardów bezpieczeństwa. Użytkownicy próbują bowiem przechytrzyć wdrożone rozwiązanie, aby zachować wygodę użytkowania.

Wdrożenie lub rozszerzenie usługi MFA

Wszystkie scenariusze związane z dostępem zdalnym są w dużym stopniu narażone na ataki phishingowe. Usługa MFA może znacznie zmniejszyć ryzyko przejęcia kont użytkowników. Aplikacje uwierzytelniające i inne metody TOTP można wprowadzić szybko i tym samym podnieść poziom bezpieczeństwa pracowników zdalnych. Jak wspomniano wcześniej SMS i metody oparte o TOTP nie są jednak tak bezpieczne, jak nowsze metody MFA.

Wybieranie metody uwierzytelniania

Większość dostawców usługi MFA oferuje metody „telefon jako token” lub tokeny sprzętowe z hasłami jednorazowymi (OTP). Metody te dominują we wszystkich segmentach rynku. Wiele przedsiębiorstw nadal używa starszych tokenów sprzętowych OTP, takich jak RSA SecurID. Zwykle w celu ochrony dostępu zdalnego przez VPN i tylko dla kilku pracowników.

Jednak tokeny sprzętowe są zazwyczaj drogie i trudne do dystrybucji. Użytkownicy nie szanują urządzeń i często użyczają je innym pracownikom. Przedsiębiorstwa, które rozszerzają zakres pracy zdalnej w całej organizacji, doświadczają ograniczeń związanych z tokenami i dlatego szukają innych metod MFA, które są łatwiejsze do zastosowania.

Problem adopcji jest jednym z powodów, dla których w ciągu ostatnich 10 lat powszechnie preferowano metody „telefon jako token”. Dostępnych jest kilka różnych opcji telefonu jako tokena, a najbardziej powszechne to:

  • Uwierzytelnianie pozapasmowe oparte na:

– Zautomatyzowanych połączeniach głosowych
– Wiadomościach tekstowych SMS
– Powiadomieniach mobile push za pośrednictwem aplikacji na smartfony

  • OTP na smartfony, które emulują starsze tokeny sprzętowe OTP:

SMS-y i połączenia głosowe są najmniej bezpieczne i łatwe do złamania. Przedsiębiorstwa coraz częściej preferują metodę opartą o mobile push, która jest bezpieczniejszą metodą niż SMSy i połączenia głosowe i zapewnia lepsze user experience (UX) niż aplikacje OTP. Potrzeba używania smartfona do mobile push może być problematyczna, gdy użytkownicy nie mają firmowych telefonów. Dodatkowo niektórzy użytkownicy mogą nie chcieć używać do tego celu swoich osobistych telefonów.

Powszechną alternatywą dla mobile push są tokeny sprzętowe OTP. Organizacje coraz częściej wybierają YubiKeys od Yubico i zastępują nimi starsze tokeny ze względu na ich wygodę i szerokie wsparcie.

FIDO Universal Second Factor (U2F) i klucze bezpieczeństwa FIDO2 (od FEITIAN Technologies, Google i innych, a także Yubico) to kolejna alternatywa, która oferuje lepsze bezpieczeństwo, ale ponieważ technologia jest wciąż stosunkowo nowa – jest mniej powszechnie wspierana.

Obsługa szybkiego skalowania dostępu zdalnego

Skalowanie uwierzytelniania MFA może powodować wiele wyzwań.

Niewiele przedsiębiorstw ma wystarczającą liczbę tokenów sprzętowych, aby skorzystać z tej metody na szeroką skalę. Szybkie pozyskiwanie tokenów przy dużej ilości jest trudnym i kosztownym przedsięwzięciem. Łatwiej jest skalować metody oparte o telefon jako token. Najłatwiej jest wprowadzić SMS-y. Wystarczy znać numery telefonów komórkowych użytkowników.

Uwierzytelnianie SMS-ów można szybko skalować, jednak słabość tej metody powoduje, że należy ją traktować jedynie jako rozwiązanie przejściowe. Uwierzytelnianie SMS należy wymienić, gdy potrzeba przekracza dwa tygodnie. Zaleca się migrację użytkowników do tokenów mobilnych lub sprzętowych. Ustalanie priorytetów według ryzyka. Kierownictwo wyższego szczebla i użytkownicy biznesowi, którzy mają dostęp do systemów wrażliwych i krytycznych powinni być skierowani jako pierwsi do wprowadzenia silnego uwierzytelniania.

Użycie uwierzytelniania SMS może pozostać w użyciu tylko dla niektórych użytkowników niskiego ryzyka. Jednak numery telefonów komórkowych tych użytkowników stają się teraz wrażliwe na cyberataki. Zespoły ds. Bezpieczeństwa powinny następnie wprowadzić silniejsze procedury i zwiększyć świadomość użytkowników.

Niezależnie od metod zwiększanie MFA może mieć znaczący wpływ na koszty.

Plan działania dotyczący bezpieczeństwa pracy zdalnej

Oto, jak powinien wyglądać plan działania, jeśli chodzi o bezpieczeństwo pracy zdalnej z MFA.

Response

Reakcja. Rozszerzenie istniejącej usługi MFA lub wybranie dostawcy usługi MFA. Zaimplementowanie usługi MFA dla całego dostępu zdalnego zgodnie z harmonogramem i z priorytetami ryzyka.

Bezpieczeństwo pracy zdalnej – Reakcja

Recovery

Poprawa. Konsolidacja MFA do zdalnego dostępu, faworyzując wybrane narzędzie AM.

Bezpieczeństwo pracy zdalnej – Poprawa

Renewal

Odnowa. Przegląd strategicznej wizji MFA i AM we wszystkich przypadkach użycia dla pracowników i partnerów (oraz opcjonalnie dla klientów) poprzez ciągłą i adaptacyjną ocenę ryzyka i zaufania (CARTA).

Bezpieczeństwo pracy zdalnej – Odnowa

Brokerzy bezpieczeństwa

Istotną rolę w adopcji MFA w dużych przedsiębiorstwach mogą odgrywać rozwiązania takie jak user access security broker lub broker 2FA. Tego typu narzędzie łatwo uruchamia uwierzytelnianie wieloskładnikowe na dowolnej aplikacji bez zmiany kodu tej aplikacji. Największą zaletą brokerów jest fakt, że ich wykorzystanie eliminuje konieczność zmieniania kodu aplikacji (prac programistycznych).

Standardowym sposób wdrażania uwierzytelniania dwuskładnikowego polega bowiem na tym, że każda aplikacja musi być dostosowana przez programistów aby obsługiwała nową technologię. Broker, likwiduje ten krok i umożliwia uruchomienie każdej metody uwierzytelniania bez żadnej ingerencji w kod chronionej aplikacji. 2FA zostaje tym samym przeniesione z zakresu odpowiedzialności programistów do rąk administratorów bezpieczeństwa. Administratorzy za pomocą brokerów 2FA mogą instalować silne uwierzytelnianie na dowolnej kontrolowanej przez nich aplikacji. Nie potrzeba ingerować w kod aplikacji i dostosowywać go do nowych metod zabezpieczeń. Aplikacja może być w łatwy sposób ‘podłączona’ do 2FA bez kodowania, a jedynie poprzez modyfikację ruchu sieciowego, który teraz przepuszczany jest przez brokera 2FA. Niezależność, skalowalność i elastyczność tego podejścia to wskaźnik, który każe przypuszczać, że jego popularność wzrastać będzie w 2021 roku.

Czytaj więcej

Referencje

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.