Silne uwierzytelnianie jako element architektury IT przedsiębiorstwa

Silne uwierzytelnianie jako element architektury IT przedsiębiorstwa

Rok 2024 – czas DORA i NIS2

Nadchodzący rok, 2024, będzie okresem intensywnego wdrażania wymogów 2 regulacji unijnych: DORA (Digital Operational Resiliency Act), rozporządzania dla instytucji finansowych, a także dostawców technologii dla nich, oraz NIS2 (Network and Information Systems), dyrektywy obejmującej kilkanaście branż istotnych dla gospodarki i społeczeństwa, ale również wszelkie inne przedsiębiorstwa kwalifikowane jako co najmniej średnie w rozumieniu zaleceń Komisji Europejskiej. 

W obu tych dokumentach wymienione jest silne uwierzytelnianie, czyli wykorzystanie podczas logowania do systemów informatycznych dodatkowego – poza hasłem – czynnika poświadczającego naszą tożsamość.  Chcąc spełnić wymogi DORA i NIS2 (o których więcej dowiedzieć można się z tego specjalnego raportu) organizacje zapewne powołały już zespoły zajmujące się tym zagadnieniem.  I nie ulega wątpliwości, że członkami takich zespołów powinni być Architekci IT.

Raport Specjalny Analiza Regulacji DORA i NIS2 w Kontekście Cyberbezpieczeństwa Przedsiębiorstw w UE

Zadania dla Architektów IT

Tradycyjne podejście do implementacji silnego uwierzytelniania polega na modyfikacji aplikacji, dzisiaj głównie webowych (przeglądarkowych) tak, aby każdą z nich rozbudować o wymóg użycia przez jej użytkowników drugiego składnika uwierzytelniania.  Oznacza to konieczność zaangażowania własnych programistów i dostawców aplikacji, wykonania odpowiednich modyfikacji, migracji i testów, co wymaga czasu i pieniędzy.  A potem funkcjonalność ta musi być utrzymywana i zapewne rozbudowywana – cyberprzestępcy bowiem cały czas obmyślają i stosują coraz nowsze techniki ataku na konta użytkowników.

Aby uniknąć tych wszystkich prac i kosztów w Secfense opracowaliśmy rozwiązanie, które pozwala na szybkie i łatwe zabezpieczenie wszystkich aplikacji webowych w całej organizacji poprzez dodanie do nich dowolnego drugiego składnika uwierzytelniania – bez konieczności jakiejkolwiek modyfikacji ochranianych systemów.  W dalszej części artykułu opiszemy, jak dzięki niemu Architekci Korporacyjni mogą włączyć silne uwierzytelnianie jako elementy architektury IT całego przedsiębiorstwa, Architektów Rozwiązań uzbroimy w wiedzę na temat funkcjonalności rozwiazania User Access Security Broker, a Architektom Systemowym pokażemy, jak ono działa.

Firmy mają coraz mniej czasu na wzmocnienie swojego bezpieczeństwaFirmy mają coraz mniej czasu na wzmocnienie swojego bezpieczeństwa

Proste wdrożenie silnego uwierzytelniania

Dodanie silnego uwierzytelniania do dowolnej aplikacji webowej składa się z 3 kroków, które wykonują administratorzy IT, oraz z 4-tego, jaki należy już do użytkowników zabezpieczonych systemów.  Są to:

1. Instalacja brokera w sieci organizacji.  W formie maszyny wirtualnej (virtual appliance), ewentualnie sprzętu bądź skorzystanie z usługi “w chmurze”.  Broker może, a nawet powinien być w pełni izolowany, bowiem ani nie wysyła z wewnętrznej sieci przedsiębiorstwa żadnych informacji diagnostycznych czy statystycznych, ani też nie potrzebuje otrzymywać niczego z zewnątrz.  Dla podniesienia poziomu dostępności, rozłożenia obciążenia bądź z racji skomplikowanej topologii sieciowej broker może pracować w klastrze.

2. Przekierowanie ruchu sieciowego z końcówek użytkowników (ich komputerów, tabletów czy smartfonów) do serwerów z aplikacjami tak, żeby szedł on przez brokera (bądź brokery, jeśli mamy do czynienia z klastrem).  W centrum danych najczęściej wykonujemy prostą modyfikację na load balancer’ach, w architekturze “chmurowej” możemy dokonać oczywistej zmiany w serwisie DNS.

3. Asysta brokerowi podczas fazy nauki aplikacji.  Broker sam rozpoznaje, w jaki sposób zabezpieczana aplikacja dotychczas logowała swoich użytkowników.  I sekwencję opartą jedynie o nazwę użytkownika i jego hasło rozbudowuje o możliwość dodania drugiego składnika uwierzytelniania.  W szczegółach wygląda to następująco:

a. Po zalogowaniu się do brokera administrator wybiera, jakie typy drugich składników uwierzytelniania udostępni użytkownikom.  Może też niektórych z nich zmusić do korzystania z konkretnego typu second factor’a.  Do dyspozycji mamy:

  • klucz kryptograficzny
  • odcisk palca
  • kontur twarzy
  • PIN, jako “wyjście bezpieczeństwa” dla powyższych 2 metod biometrycznych
  • bardzo wygodną w użyciu aplikację mobilną Secfense Authenticator
  • kody TOTP generowane przez dowolną aplikację mobilną typu Authenticator
  • kody jednorazowe wysyłane SMS-em
  • kody jednorazowe wysyłane e-mail’em

Możemy również zintegrować się z istniejącymi już w firmie dedykowanymi systemami uwierzytelniania, o ile tylko korzystają one z otwartych protokołów RADIUS lub OIDC, i w ten sposób rozszerzyć ich funkcjonalność na wszystkie aplikacje w przedsiębiorstwie.

zCULUVujmL9E9u3RMbewtINA7Bszmp3F1FWSZduVBUap 73Ym8GerACxetHUMLcL OFV1HChbwV SGO4okHot W8KjMezeMZ5r8M rirrLzFsb2paagYGU q9XmvhHq9HjS027zPv2PUc3osH z7bRo

b. Administrator decyduje również o tym, czy jeszcze pozwoli użytkownikom na korzystanie z aplikacji bez konieczności dodania sobie drugiego składnika uwierzytelniania (Soft User enrolment Policy), czy też będą oni musieli to zrobić, aby móc zalogować się do tak zabezpieczonego systemu (Hard User enrolment Policy)

c. Następnie uruchamia fazę nauki.  Przechodzi do zabezpieczanej aplikacji, widoczny na dole baner o treści “Secfense learning mode” upewnia go, że broker monitoruje proces logowania, i loguje się za pomocą użytkownika – sondy (domyślnie: inituser) oraz dowolnego hasła.

vjaqhgru90AO

4. Po wykonaniu tych czynności aplikacja jest zabezpieczona i gotowa na przyjęcie użytkowników., którzy przy najbliższym logowaniu wybiorą sobie drugi składnik uwierzytelniania, zarejestrują go i będa korzystać z niego podczas kolejnych wejść do systemu.

B T1WHwbaVRzkFmFP8P3C02cU4388a9guSOCkY8KdpK5nlnsza5ttFSJySvRIJi3ylUZ7gHVQDGM8F 33Hl1i 4sFCsmsVfCG 4sIcf3Sq3ACT6

Opisane rozwiązanie spełnia wszelkie wymogi dotyczące przyjazności dla użytkowników z jednej strony i ich bezpieczeństwa z drugiej.  Pozwala na elastyczne polityki w kwestii stosowania drugiego składnika uwierzytelniania, obsługuje proces pomocy tym, którzy na przykład wykorzystują klucz kryptograficzny, jednak go zapomnieli, a muszą pracować, zapisuje wydarzenia w lokalnym dzienniku i wysyła je do firmowego systemu SIEM.

Zainteresowani?

Chętnie demonstrujemy działanie naszego User Access Security Brokera na aplikacjach zainteresowanych nim klientów.  Udostępnimy im również wersję testową do zapoznania się z jego funkcjonalnością we własnym środowisku.

Silne uwierzytelnianie jako element architektury it przedsiębiorstwa

Architektów IT zapraszamy na nasze wystąpienie podczas odbywającego się 6 grudnia 2023 roku w Warszawie Forum Architektów IT, gdzie będzie można z nami porozmawiać i zadać każde pytanie.  Można to również zrobić już teraz wchodząc na naszą stronę WWW pod adresem: secfense.com.

Antoni takes care of all the marketing content that comes from Secfense. Czytaj więcej

Polecane artykuły

Bądźmy w kontakcie

Czytaj więcej

Jak wdrożyć 2FA bez polegania na telefonach komórkowych?

Specjaliści ds. cyberbezpieczeństwa pracujący w środowiskach korporacyjnych doskonale zdają sobie sprawę ze znaczenia silnych metod uwierzytelniania, takich jak FIDO i passkeys. Technologie te oferują silne,…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 4 MIN

Passkeys i zgodność z przepisami: Zgodność ze standardami PSD2, RODO, HIPAA i CCPA

Passkeys, opracowane w oparciu o standardy FIDO Alliance FIDO2 i U2F, są kluczami kryptograficznymi zaprojektowanymi w celu zastąpienia tradycyjnych haseł, zapewniając zwiększone bezpieczeństwo bez luk…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 5 MIN

Przewodnik po PSD3: Co to jest, kogo dotyczy i jak zapewnić zgodność

Co to jest PSD3? PSD3 (Payment Services Directive 3) to trzecia wersja unijnej dyrektywy regulującej rynek usług płatniczych. Głównym celem PSD3 jest zwiększenie bezpieczeństwa transakcji…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 4 MIN

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.