Secfense na EY Finance Demo Day
Secfense został zaproszony do udziału w EY Finance Demo Day: Innowacyjne rozwiązania dla finansów, wydarzeniu organizowanym przez EY. W imieniu Secfense na wydarzeniu wystąpił Krzysztof Góźdź, prezentując rozwiązanie User Access Security Broker, technologię która umożliwia wejście na ścieżkę do uwierzytelniania bez haseł (passwordless) i wdrożenie uwierzytelniania wieloskładnikowego (MFA) w całej organizacji. Poniżej znajduje się transkrypt prezentacji podczas której w ciągu zaledwie pięciu minut demonstrujemy jak w łatwy i bezinwazyjny sposób uruchomić silne uwierzytelnianie na dowolnej aplikacji.
Kradzież tożsamości
Dzień dobry. Chyba już każdy z nas zetknął się z jakimś incydentem cyberbezpieczeństwa. Ja kilka lat temu dostałem e-maila, w którym przestępca podał jedno z moich haseł, napisał, że dzięki jego znajomości opanował mój komputer, zdobył dane dostępowe m.in. do banku i żąda okupu. W używanym menadżerze haseł sprawdziłem, że skompromitowane hasło pochodziło z jednego z popularnych sklepów komputerowych, a w sieci znalazłem potwierdzenie wycieku danych stamtąd. W tym samym mniej więcej czasie moi znajomi z powszechnie używanego komunikatora dostali „ode mnie” rekomendacje różnego typu zakupów. Sprawdziłem, że moje hasło tutaj było podobne do tamtego. Wiedziałem, że zdobyte informacje uwierzytelniające są publikowane w sieci, często sprzedawane i wykorzystywane przez innych złoczyńców. Po tych doświadczeniach wszędzie, gdzie się dało włączyłem sobie drugi – obok haseł – składnik uwierzytelniania. Niestety, nie wszędzie się dało, a często dodatkowe zabezpieczenia były mało wygodne. I dla tych, którzy chcieliby mieć uwierzytelniane wieloskładnikowe wszędzie, i to działające w komfortowy sposób, stworzyliśmy Secfense.
Bezpieczeństwo aplikacji webowych
Nazywam się Krzysztof Góźdź i pokażę Państwu jak w prosty i szybki sposób zabezpieczyć swoją organizację przed większością włamań do systemów informatycznych. Większością, bowiem ponad 80% incydentów cyberbezpieczeństwa bierze swój początek w przejęciu konta użytkownika. W wymienionych przeze mnie przykładach najadłem się trochę strachu i wstydu. Włamanie do firmy oznacza dużo więcej: przestoje, utratę informacji, żądania okupu, kary za ujawnienie danych osobowych i utratę wizerunku, co za tym idzie – klientów. Żeby uniknąć tego wszystkiego należy zacząć od zabezpieczenia dostępu do używanych przez pracowników, partnerów i klientów aplikacji, dzisiaj głównie webowych. Secfense przychodzi z pomocą wtedy, gdy tych aplikacji jest sporo, nie mamy kontroli nad wszystkimi i chcielibyśmy zabezpieczyć je jak najszybciej. Krótko powiem, jak to działa i pokażę, jak szybko i łatwo zabezpiecza się przykładową aplikację webową.
Wdrożenie silnego uwierzytelniania z brokerem Secfense
Całość wdrożenia składa się z 3 kroków. W pierwszym instalujemy nasze rozwiązanie w formie oprogramowania, sprzętu bądź usługi w chmurze, i przekierowujemy połączenia użytkowników do ochranianych aplikacji, z bezpośrednich do przechodzących przez nasze zabezpieczenie. W demonstracji korzystam z usługi w chmurze i mam już – na moim komputerze – zdefiniowane odpowiednie przekierowanie. W drugim kroku pozwalamy Secfense’owi samemu nauczyć się sposobu logowania do zabezpieczanej aplikacji po to, żeby system rozbudował go o drugi składnik uwierzytelniania. Tutaj kończy się praca administratora, gdyż krok trzeci należy już do użytkowników zabezpieczonych aplikacji. Najpierw rejestrują oni wybrany dodatkowy składnik uwierzytelniania, a potem korzystają z niego podczas kolejnych logowań.
W praktyce całość przebiega w taki oto prosty sposób:
Jako przykład zabezpieczanej aplikacji wezmę serwis amazon.pl, aplikację webową, której nie modyfikujemy, jakiej budowy nie znamy i nie wiemy, jakich mechanizmów używa ona do uwierzytelniania użytkowników.
Po zalogowaniu się do Secfense’a definiuję nową aplikację, podaję jej nazwę, adres domenowy i pozwalam systemowi znaleźć jej adres IP. Włączam tryb nauki i wybieram dostępne dla użytkowników typu dodatkowych składników uwierzytelniania. Mogą to być: hasła jednorazowe, klucze sprzętowe, mechanizmy używane przez systemy operacyjne, tj. PIN, odcisk palca czy obraz twarzy bądź dedykowana aplikacja mobilna, integrujemy się również ze stosowanymi już w firmie rozwiązaniami.
Przechodzę do zabezpieczanej aplikacji i widząc belkę z napisem „Learning Mode” upewniam się, że Secfense uczy się sekwencji logowania. Przeprowadzam logowanie używając użytkownika – sondy, inituser. Amazon nie zna takiego loginu i odrzuca go, ja jednak w Secfense widzę, że system podczas tej operacji czegoś się nauczył, aplikuję zdobytą wiedzę i wychodzę z trybu nauki.
W tym momencie mam już zakończone zabezpieczanie aplikacji, a jej użytkownicy mogą korzystać z wybranych przez siebie drugich składników uwierzytelniania. Loguję się do Amazona już jako ja, pojawia mi się okno dialogowe Secfense’a i zaprasza do zarejestrowania dodatkowego składnika uwierzytelniania. Ponieważ odblokowuję telefon i loguję się do komputera za pomocą odcisku palca, do aplikacji webowych chciałbym dostawać się w ten sam sposób. Przesuwam palec po czytniku w moim komputerze i jestem zalogowany w Amazonie.
Żeby pokazać, że Secfense zabezpiecza aplikację, wylogowuję się z serwisu i loguję ponownie. Mając już zarejestrowany odcisk palca zostaję poproszony o jego zeskanowania. Specjalnie po czytniku przesuwam niewłaściwy palec i widzę, że tym razem Secfense mnie nie przepuszcza.
Tak oto w ciągu kilku minut wyposażyliśmy aplikację webową o nieznanej nam budowie w drugi składnik uwierzytelniania i w ten sposób zabezpieczyliśmy ją przed przestępcami, którzy weszliby w posiadanie hasła użytkownika. Jeśli chcielibyście Państwo tak samo ochronić swoją firmę, jesteśmy do Waszej dyspozycji i zapraszamy do kontaktu.
Jak wdrożyć silne uwierzytelnianie (MFA) w całej firmie
Jeśli Twoja organizacja jest gotowa na przejście na uwierzytelnianie bez haseł, czyli tak zwane passwordless, i chciałaby całkowicie zrezygnować z haseł, możemy Ci w tym pomóc. Zapytaj nas, jak pomogliśmy bankowi wejść na ścieżkę do uwierzytelniania bez haseł wykorzystując obecnie wykorzystywaną technologię bezhasłowego uwierzytelniania stacji roboczych i przeniesienia tego mechanizmu na całą organizację. Podczas krótkiej rozmowy opowiemy jak wyglądało to wdrożenie i jakie efekty przyniosło, jak również pomożemy Ci zdecydować jaki jest najlepszy sposób na zabezpieczenie twojej organizacji. Umów się na rozmowę tutaj.
Antoni Sikora 