Ograniczanie dostępu czy silne uwierzytelnianie?

ograniczac-dostep-czy-chronic-przed-przejeciem-hasla

Spotkałem się z opinią, że alternatywą do wdrożenia silnego uwierzytelniania  jest mocne zabezpieczenie sieci wewnętrznej poprzez wprowadzenie maksymalnych ograniczeń na dostęp do hostów, portów, typu przesyłanych danych, itd.  W ten sposób nawet przy przejęciu konta użytkownika konsekwencje włamania będą zminimalizowane.  No cóż, powiedziałbym, że ograniczenia dostępu i silne uwierzytelnianie doskonale się uzupełniają. Zwróciłbym też uwagę na kilka faktów:

1. Według wszelkich raportów najczęstszym sposobem włamania do systemów komputerowych jest przejęcia hasła – przez jego złamanie bądź kradzież.  Oto przykład jednego z zestawień sposobów ataku:

NEys gNmyEg7iHH5TZ7YlqDCMArDAx4MzY48yFLdZFJUiD5CcOsfoVeUL IrsAJVcspW MOMVjBRl8pTUO3OfE38KpIF0xxi5Vep DcDfGZiUGGPAc80A0DSggnRb4cVPXyI8 Ks

Z tego wynika, że zabezpieczenie haseł uchroni nas przed zdecydowaną większością zdarzeń dot. cyberbezpieczeństwa.  Ale oczywiście nie możemy zaniedbywać pozostałych.

2. Ponieważ w przypadku włamania restrykcje mają zadziałać dopiero po zdarzeniu, uwierzytelnianie zaś ma mu zapobiec, traktowałbym silne uwierzytelnianie  (zwane z angielska MFA – Multi-factor authentication) jako pierwszą linię obrony, ograniczenia zaś jako drugą.  To oznacza, że mogąc zająć się w danym czasie tylko jedną kwestią (np. z powodów budżetowych, technicznych czy organizacyjnych), zacząłbym od MFA.

3. Trzeba również spojrzeć na stosunek nakładu pracy do uzyskanych efektów.  W punkcie 1. pokazaliśmy, że załatwiając sprawę słabych i skradzionych haseł eliminujemy ponad 80% włamań.  Łatwość wdrożenia zabezpieczeń w sieci wewnętrznej wygląda inaczej w każdej organizacji, i pewnie często dzięki stosowaniu środowiska homogenicznego bądź narzędzi kompleksowo zarządzających heterogenicznym da się szybko wdrożyć politykę bezpieczeństwa.  Trzeba jednak najpierw ją opracować, to jest poznać kto, z czego i jak korzysta, a potem omówić to wszystko z poszczególnymi działami biznesowymi czy wręcz pojedynczymi użytkownikami.  No i nigdy nie będzie gwarancji, że osiągnięty konsensus będzie obowiązywał po wsze czasy.  Z drugiej strony wdrożenie MFA również wymaga sporego nakładu – przynajmniej w podejściu tradycyjnym, kiedy to musimy zmodyfikować każdą aplikację tak, żeby nie bazowała jedynie na haśle, ale wymagała także użycia drugiego składnika uwierzytelniania  (zwanego z angielska 2FA – two-factor authentication), jak na przykład podania jednorazowego kodu, użycia klucza sprzętowego czy zeskanowania odcisku palca.  A co, kiedy tych aplikacji mamy dużo?  I nie wszystkie da się – przynajmniej łatwo – przerobić (bo pochodzą one od firm trzecich czy bazują na starej, nieużywanej już technologii)?  Na szczęście istnieje na rynku rozwiązanie firmy Secfense, które pozwala na wdrożenie silnego uwierzytelniania  kompletnie eliminując konieczność modyfikacji aplikacji.  Działa ono bowiem jako pośrednik pomiędzy użytkownikiem a aplikacją.  Dla użytkownika Secfense wprowadza 2FA, czyli dodatkowy składnik uwierzytelniania, po użyciu którego użytkownik łączy się z istniejącą aplikacją.  Z punktu widzenia aplikacji zaś powoduje, że mają do niej dostęp wyłącznie użytkownicy, którzy uwierzytelnili się w prawidłowy, bezpieczny sposób.

Tak więc wdrożenie silnego uwierzytelniania za pomocą Secfense nie tylko zabezpiecza nas przed największym źródłem zagrożeń, ale także realizowane jest w szybki i prosty sposób.

Podsumowując przedstawiony tok rozumowania namawiam zarówno do zabezpieczania sieci wewnętrznej poprzez wprowadzanie różnego typu ograniczeń, jak i do wdrożenia silnego uwierzytelniania.  I na rozpoczęcie przygody z MFA/2FA od zapoznania się z rozwiązaniem Secfense.

Krzysztof Góźdź drives sales and new business development. Krzysztof has more than 20 years of experience in Information Technology & Services sales and has previously worked for IBM and Hewlett-Packard bringing on board enterprise customers and cooperating with them. Czytaj więcej

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.