Często zadawane pytania

Masz Pytanie?

To świetnie - mamy odpowiedzi

Pytania Dotyczące Silnego Uwierzytelniania

Bardzo dużo informacji na temat 2FA znajduje się na dedykowanej stronie poświęconej w pełni dwuskładnikowemu uwierzytelnieniu. Tutaj link prowadzący do dedykowanej strony. Poniższy FAQ jest rozszerzeniem informacji znajdujących się na stronie dedykowanej. Jeśli więc nie jesteś pewien, czy 2FA to właściwy wybór dla Twojej organizacji to ten FAQ powinien pomóc w uzyskaniu odpowiedzi na to pytanie

Kto korzysta z 2FA?

Uwierzytelnianie dwuskładnikowe jest szeroko rozpowszechnione w wielu branżach. Wszystkie osoby i organizacje, które cenią sobie bezpieczne uwierzytelnianie użytkowników i zaufanie urządzeń, zwykle wybierają silne dwuskładnikowe uwierzytelniania jako najlepszy dodatek do tradycyjnych haseł i loginów. Barierą, która zwykle pojawia się jako przeszkoda w pełnej adopcji 2FA w całej firmie jest oporność ludzi na zmiany oraz dostosowanie technologii do istniejącej infrastruktury. Poniższa lista pokazuje pięć najważniejszych branż, w których 2FA jest niezbędny do utrzymania bezpieczeństwa uwierzytelniania użytkowników:

  • Służba Zdrowia: Informacje medyczne są niezwykle wrażliwe, w przypadku kradzieży informacji można je natychmiast zidentyfikować i dopasować do konkretnej osoby. Szpitale i inne organizacje opieki zdrowotnej często padają ofiarą ataków phishingowych, ponieważ cyberprzestępcy wiedzą, jak cenne informacje mogą pozyskać. Uwierzytelnianie dwuskładnikowe służy zatem do ochrony kont osobistych pacjentów, lekarzy jak i administracji. Jedną z dyrektyw, która wzywa organizacje medyczne do stosowania silnego 2FA, jest choćby amerykańska dyrektywa HIPAA (ustawa o przenośności i rozliczalności ubezpieczeń zdrowotnych). Aby być zgodnym z HIPAA, instytucje medyczne muszą przyjąć silne mechanizmy uwierzytelniania w celu ochrony wrażliwych danych.
  • Finanse Bankowość i Ubezpieczenia: instytucje finansowe używają uwierzytelniania dwuskładnikowego w celu ochrony przed naruszeniem danych, a także w celu spełnienia rosnących wymagań bezpieczeństwa na poziomie krajowym i międzynarodowym. Najlepszym przykładem takich dyrektyw jest PSD2 (dyrektywa o usługach płatniczych) zarządzana przez Komisję Europejską w celu uregulowania usług płatniczych w Unii Europejskiej i Europejskim Obszarze Gospodarczym.
  • Administracja Publiczna: Instytucje i organizacje rządowe należące do sektora publicznego są stale narażone na cyberataki. W odpowiedzi organizacje odpowiedzialne za dane sektora publicznego i infrastrukturę IT mogą wdrożyć uwierzytelnianie dwuskładnikowe jako uzupełnienie tradycyjnej ochrony hasłem. Przy silnym 2FA cyberprzestępca musiałby ukraść urządzenie danej osoby, aby uzyskać dostęp do danych, nawet jeśli jej hasło wycieknie lub zostanie skradzione.
  • Edukacja: Instytucje edukacyjne niezależnie od tego, czy są to szkoły publiczne, prywatne czy uniwersytety, powinny stosować uwierzytelnianie dwuskładnikowe w celu ochrony danych swoich studentów i kadry nauczycielskiej. Uczniowie, nauczyciele i administracja mogą uzyskiwać dostęp do poufnych informacji w Internecie za pomocą silnego 2FA oprócz tradycyjnych loginów i haseł.
Jak skuteczne jest 2FA?

Uwierzytelnianie dwuskładnikowe chroni przed phishingiem, kradzieżą danych uwierzytelniających, inżynierią społeczną i atakami typu brute-force. 2FA zabezpiecza również proces logowania przed atakami wykorzystującymi słabe lub skradzione hasła. To znacznie poprawia bezpieczeństwo całego procesu logowania. Udowodniono również, że uwierzytelnianie dwuskładnikowe skutecznie powstrzymuje automatyczne ataki botów. Według raportu przeprowadzonego przez Verizon w 2018 około 81% potwierdzonych przypadków naruszenia danych dotyczyło skradzionych danych uwierzytelniających.

Która metoda uwierzytelniania jest najlepsza?

W Secfense jesteśmy silnymi ambasadorami FIDO2, czyli otwartego standardu uwierzytelniania w sieci znanego również jako WebAuthn. FIDO2 wykorzystuje lokalne urządzenia z czytnikami biometrycznymi do wykorzystania w procesie uwierzytelniania. Dzięki temu użytkownik może skorzystać z mechanizmu FIDO2 podczas logowania do serwisu za pomocą odcisku palca lub kamery na podczerwień rozpoznającej twarz. Klucze U2F (czyli poprzednik standardu FIDO2) zostały wybrane przez korporację Google jako narzędzie do ochrony wszystkich kont pracowników. Od 2017 r., kiedy to standard został wdrożony, nie odnotowano żadnego udanego ataku phishingowego na pracownika Google. User Access Security Broker firmy Secfense pomaga organizacjom w stosowaniu i skalowaniu tej samej technologii, którą korporacja Google wybrała jako standard uwierzytelniania. Dzięki rozwiązaniu Secfense organizacja nie musi mieć budżetu bezpieczeństwa takiego jak korporacja Google, aby móc skorzystać z najsolidniejszego standardu uwierzytelniania jaki istnieje.

Jaka jest różnica między 2FA a MFA?

Uwierzytelnianie dwuskładnikowe (2FA) to po prostu wersja uwierzytelniania wieloskładnikowego, w której stosowane są tylko dwa czynniki uwierzytelnienia. Istnieją różne sposoby potwierdzania tożsamości osoby, a metoda uwierzytelniania, która wprowadza trzy lub więcej czynników, jest uważana za uwierzytelnianie wieloskładnikowe (MFA). 2FA jest najpopularniejszą wersją MFA, ponieważ wymaga tylko dwóch czynników uwierzytelnienia, więc jest najwygodniejszy dla użytkownika końcowego.

Czy 2FA można stosować w dowolnej aplikacji?

To skomplikowane. A przynajmniej może to być skomplikowane, jeśli mowa o tradycyjnym modelu wdrażania, w którym 2FA musi być powiązane z chronioną aplikacją i wymaga ingerencji w kod. Niektóre aplikacje można łatwo wyposażyć w silne 2FA, niektóre wymagają jednak długich i kosztownych prac programistycznych. W przypadku niektórych jest to czasem niemożliwe. Zdarza się to często w przypadku starszych aplikacji (legacy), paneli administratora lub aplikacji, które ze względu na blokady dostawcy (vendor lock-in) mają długie i skomplikowane cykle konserwacji (maintenance).

User Access Security Broker firmy Secfense rozwiązuje ten problem i umożliwia korzystanie z 2FA w dowolnej aplikacji internetowej, niezależnie od stopnia skomplikowania infrastruktury.

User Access Security Broker od Secfense działa jako pośrednia warstwa bezpieczeństwa i może być wstawiony pomiędzy aplikację i użytkownika w ciągu kilku minut (a w przypadku skalowania 2FA w całej organizacji w przeciągu kilku dni). Dzięki rozwiązaniu Secfense odpowiedź na postawione wyżej pytanie przestaje być skomplikowana. Tak. 2FA można w łatwy sposób stosować w dowolnej aplikacji.

Co jeśli dana osoba straci swoje urządzenie uwierzytelniające?

2FA działa, gdy dana osoba ma przy sobie urządzenie uwierzytelniające w momencie uwierzytelnienia. Utrata lub uszkodzenie tego urządzenia może spowodować utratę dostępu na zawsze. Ważne jest więc, aby dobrze planować i łączyć metody uwierzytelniania lub w przypadku wyboru standardu uwierzytelniania FIDO2 zarejestrować więcej kluczy i przechowywać je w bezpiecznym miejscu na wypadek zgubienia lub uszkodzenia klucza głównego.

Metody mieszane (jak na przykład połączenie FIDO2 i TOTP) to w niektórych przypadkach dobry sposób, aby zapobiec trwałej utracie danych. Powiedzmy, że dana osoba zarejestrowała tylko jedno urządzenie FIDO2 i urządzenie to uległo uszkodzeniu lub zgubieniu. W takim przypadku osoba może nadal skorzystać z innej zarejestrowanej przez siebie metody 2FA. W naszym przypadku TOTP i aplikacja uwierzytelniająca. Administrator Bezpieczeństwa w firmie powinien wybrać najlepszą politykę uwierzytelniania, ponieważ ta osoba najlepiej zna kulturę firmy, świadomość zagrożeń bezpieczeństwa wśród pracowników firmy i może dostosować wymagania dotyczące zabezpieczeń uwierzytelniania do konkretnego środowiska firmy.

Czy mogę ograniczyć dostęp do niektórych aplikacji, ale nie innych?

Oczywiście. W rzeczywistości można zrobić znacznie więcej. Dzięki mikroautoryzacjom można nie tylko wyposażyć każdą aplikację w silne dwuskładnikowe uwierzytelnianie, ale także dodać żądanie uwierzytelnienia na każdym etapie podróży użytkownika w obrębie samej aplikacji. Oznacza to, że żądanie dodatkowego uwierzytelnienia może być wyzwolone na dowolnym etapie i w dowolnym momencie. Wszystko zależy od polityki bezpieczeństwa danej firmy i reguł uwierzytelniania zaprojektowanych przez administratora bezpieczeństwa. User Access Security Broker firmy Secfense umożliwia instalację dowolnej metody 2FA w dowolnej aplikacji i łatwe skalowanie rozwiązania na kolejne aplikacje. Mikroautoryzacje od Secfense z kolei pozwalają administratorom bezpieczeństwa dodawać reguły, które będą wyzwalać dodatkowe wymagania uwierzytelniające w dowolnym momencie i dowolnym miejscu wewnątrz aplikacji. Wszędzie tam gdzie jest to konieczne.

Czy mogę dodać dodatkowe wymagania uwierzytelnienia w aplikacji?

Tak są to właśnie mikroautoryzacje, czyli mechanizmy, które narzucają wymóg ponownego potwierdzenia tożsamości w ramach określonej aplikacji, nawet jeśli użytkownik zalogował się już wcześniej przy użyciu 2FA. Mikroautoryzacje to dodatkowa warstwa bezpieczeństwa, szczególnie przydatna, gdy istnieją określone obszary wewnątrz aplikacji i bazie danych, które powinny wywoływać specjalne ostrzeżenie po uzyskaniu dostępu.

Dobrym przykładem wykorzystania mikroautoryzacji jest ochrona aplikacji typu CRM przed masowym eksportem danych. W normalnym scenariuszu każda osoba z prawami dostępu może uzyskać dostęp do CRM i wyeksportować wszystkie dane klientów. W przypadku zastosowania mechanizmu mikroautoryzacji każdy eksport musiałby zostać potwierdzony każdorazowo poprzez stuknięcie w klucz bezpieczeństwa. To zachowanie uniemożliwiłoby masowy eksport danych jak również byłoby śledzone, monitorowane i rejestrowane przez administratora bezpieczeństwa w firmie.

Co to jest polityka dostępu użytkownika?

Polityka dostępu użytkownika to zestaw reguł, które określają, czy dana osoba może uzyskać dostęp do określonej aplikacji. Większe organizacje mają zwykle określony zbiór zasad, które pozwalają tylko niektórym użytkownikom z określonym poziomem bezpieczeństwa dostęp do krytycznych danych. Rozwiązanie Secfense umożliwia administratorom konfigurowanie reguł dostępu i zapewnienie, że tylko przypisane osoby, z przypisanymi urządzeniami i poświadczeniami, będą miały dostęp do określonych aplikacji.

Niektóre aplikacje wymagają bardziej rygorystycznych reguł uwierzytelniania niż inne, a niektóre urządzenia są bardziej godne zaufania niż inne. Dlatego menedżerowie bezpieczeństwa muszą brać pod uwagę te czynniki przy projektowaniu zasad dostępu dla konkretnej organizacji.

Aplikacje zawierające poufne informacje mogą wymagać uwierzytelnienia z wieloma czynnikami, podczas gdy narzędzia współpracy, takie jak kalendarze, mogą być dostępne z dwoma czynnikami uwierzytelniania, lub wyłącznie zabezpieczone hasłem, jeśli nie są tam przechowywane dane krytyczne.

Jak zwiększyć adopcję 2FA w mojej organizacji?

Uzyskaj właściwe liczby

Technologia dwuskładnikowego uwierzytelniania została zaprojektowana w celu ochrony przed rosnącym ryzykiem ataków cyberbezpieczeństwa na całym świecie.

  • Według raportu firmy Mimecast jeden na 61 e-maili w skrzynce odbiorczej zawiera złośliwy link, który prowadzi do phishingu.
  • Raport Verizon donosi, że ponad 80% naruszeń bezpieczeństwa było wynikiem phishingu i kradzieży danych uwierzytelniających.
  • Microsoft w swoim raporcie Security Intelligence Report twierdzi, że ataki phishingowe stale rosną, podczas gdy ataki z użyciem złośliwego oprogramowania (malware) spada.

Co tydzień pojawia się nowy raport, nowe statystyki lub nowe naruszenie bezpieczeństwa, które potwierdza alarmujące ryzyko phishingu, kradzieży danych uwierzytelniających i inżynierii społecznej. Wszystko to można zatrzymać za pomocą odpowiedniej metody silnego uwierzytelniania.

Przekonaj interesariuszy

Wprowadzenie dwuskładnikowego uwierzytelniania w organizacji wymaga przekonania decydentów, którzy są zwykle określoną grupą osób w firmie. Takie grupy mogą być tworzone przez kadrę kierowniczą, specjalistów ds. Bezpieczeństwa, zespoły IT lub kogokolwiek, kto ma jakieś uprawnienia w zakresie wprowadzania nowych technologii do firmy. Bardzo ważne jest, aby zrozumieć, kto podejmuje te decyzje, i współpracować z nimi, aby przyspieszyć zmianę. Informuj o zagrożeniach i korzyściach: kiedy umieścisz listę interesariuszy, którzy decydują o strategii bezpieczeństwa organizacji, podkreśl, co jest ważne dla każdej osoby. Inne argumenty są konieczne, aby przekonać dyrektora generalnego firmy, a inne przekonają CIO lub CISO.

Wiedza o tym, co jest ważne dla każdego decydenta, jest kluczowym składnikiem postępu we wprowadzaniu nowej polityki bezpieczeństwa w firmie i zmianie paradygmatu implementacji 2FA.

Wdrożenie

Wprowadzenie silnego dwuskładnikowego uwierzytelniania w organizacji może napotkać różne linie oporu. Od problemów związanych ze świadomością bezpieczeństwa pracowników, przez koszty wdrożenia, po strach przed trudną adopcją i komplikacjami, które może ona spowodować. Potrzebne są argumenty, które pomogą przekonać decydentów, że wszystkie te wątpliwości i przeszkody można łatwo rozwiązać i nie należy ich traktować jako blokady.

Jakie inne organizacje używają 2FA do zabezpieczenia swoich danych?

Silne uwierzytelnianie dwuskładnikowe pomaga organizacjom z najróżniejszych branż zabezpieczyć proces logowania użytkowników. Na co dzień słyszy się wyłącznie o cyberatakach, które miały miejsce, a informacje o których wyciekły. Rzadko można usłyszeć o firmach skutecznie zapobiegających atakom za pomocą silnych mechanizmów uwierzytelniania, ponieważ takie wiadomości nie trafiają na pierwsze strony portali informacyjnych.

Istnieje jednak świetne studium przypadku, które zawsze warto przedstawić, ponieważ skala jest ogromna, a firma jest znana każdemu. Oto artykuł o tym, jak silne dwuskładnikowe uwierzytelnianie pomogło korporacji Google ochronić swoich 85 tys. pracowników przed atakami na konta i całkowicie wyeliminować phishing w firmie. Odkąd korporacja Google zaczęła używać silnego uwierzytelniania opartego na U2F (U2F jest przodkiem FIDO2), od tego czasu nie ani jedno konto pracownika Google nie zostało skutecznie przejęte.

Co to jest odwrotny serwer proxy? (ang. reverse proxy)?

Odwrotny serwer proxy to rodzaj serwera proxy. W przeciwieństwie do tradycyjnego serwera proxy, który służy do ochrony klientów, odwrotny serwer proxy służy do ochrony serwerów. Odwrotny serwer proxy to serwer, który akceptuje żądanie od klienta, przekazuje żądanie do innego z wielu innych serwerów i zwraca wyniki z serwera, który faktycznie przetworzył żądanie do klienta, tak jakby serwer proxy przetworzył samo żądanie. Klient komunikuje się tylko bezpośrednio z odwrotnym serwerem proxy i nie wie, że jakiś inny serwer faktycznie przetworzył jego żądanie.

Co to korporacyjna magistrala usług (ang. Enterprise Service Bus, ESB)?

Korporacyjna magistrala usług (ESB) to rodzaj platformy oprogramowania znanej jako oprogramowanie pośredniczące, która działa w tle, aby wspomóc komunikację między aplikacjami. ESB to rodzaj magistrali, która odbiera informacje z jednego systemu i dostarcza je do innego.

Co to jest logowanie jednokrotne (ang. single sign-on, SSO)?

Logowanie jednokrotne (SSO) to metoda uwierzytelniania, która umożliwia użytkownikom bezpieczne uwierzytelnianie w wielu aplikacjach i witrynach internetowych przy użyciu tylko jednego loginu.

Co to jest zarządzanie tożsamością i dostępem (ang. Identity & Access Management, IAM)?

Zarządzanie tożsamością i dostępem (IAM) zapewnia, że odpowiednie osoby i role w organizacji mają dostęp do narzędzi potrzebnych do wykonywania swoich zadań. Systemy zarządzania tożsamością i dostępu umożliwiają organizacji zarządzanie aplikacjami pracowników bez logowania się do każdej aplikacji jako administrator.

Co to jest Active Directory (AD)?

Active Directory to usługa katalogowa opracowana przez firmę Microsoft. Active Directory przechowuje informacje o obiektach w sieci i ułatwia administratorom centralnie zarządzać kontami użytkowników, a użytkownikom logowanie się i uzyskiwanie dostępu do swoich zasobów.

Co to jest LDAP (Lightweight Directory Access Protocol)?

LDAP (Lightweight Directory Access Protocol) to otwarty i wieloplatformowy protokół używany do uwierzytelniania usług katalogowych takich jak na przykład Active Directory (AD). LDAP zapewnia komunikację między aplikacją i serwerami usług katalogowych. Usługi katalogowe przechowują dane o kontach użytkowników oraz udostępniają te informacje innym podmiotom w sieci.

Co to jest dostawca tożsamości (IdP)?

Dostawca tożsamości to podmiot, który przechowuje i uwierzytelniania tożsamości używane przez użytkowników do logowania się na swoich urządzeniach, aplikacjach, serwerach plików i nie tylko, w zależności od konfiguracji. Ogólnie rzecz biorąc, większość dostawców tożsamości to implementacje Microsoft Active Directory (AD) lub OpenLDAP.

Co to jest dostawca usług (SP)?

W przypadku logowania jednokrotnego (SSO) zazwyczaj „dostawcą usług” jest podmiot, który otrzymuje token SSO, a następnie wysyła zapytanie do „dostawcy tożsamości”, aby zweryfikować token i ustalić tożsamość zalogowanego użytkownika przed świadczeniem żądanych usług biznesowych.

Co to jest SAML?

SAML to otwarty standard wymiany danych uwierzytelniających i autoryzacyjnych między dostawcą tożsamości a dostawcą usługi. SAML najczęściej wykorzystywanym sposobem implementacji logowania jednokrotnego (SSO).

Co to jest OIDC?

OpenID Connect (OIDC) to podobnie jak SAML, protokół uwierzytelniania powszechnie używany do implementacji logowania jednokrotnego (SSO).

Czym SAML różni się od OIDC?

Podczas gdy zarówno SAML jak i OIDC służą najczęściej do implementacji logowania jednokrotnego (SSO) to istnieje między nimi różnica w podejściu do implementacji. Podczas gdy SAML nie łączy się dobrze z niektórymi aplikacjami (np. aplikacjami mobilnymi), OpenID, działa dobrze zarówno z aplikacjami internetowymi, jak i mobilnymi. SAML jest jednak protokołem, który pojawił się już w 2005 roku i też ze względu na ten czas jest protokołem wielokroć popularniejszym niż OIDC.

Co to jest tożsamość jako usługa (Identity-as-a-Service, IDaaS)?

Tożsamość jako usługa (IDaaS) obejmuje oparte na chmurze rozwiązania służące zarządzaniu tożsamością i dostępem (IAM). W modelu IDaaS usługi tożsamości i dostępu są świadczone przez Internet przez dostawcę zewnętrznego, a nie wdrażane lokalnie.

Dlaczego powinno mnie obchodzić ujednolicenie polityk bezpieczeństwa w firmie?

Ponieważ zarządzanie różnymi politykami bezpieczeństwa, różnymi dla każdej aplikacji, znacząco utrudnia lub wręcz uniemożliwia zarządzanie i kontrolę bezpieczeństwa danych w organizacji.

Co to jest uwierzytelnianie jako usługa (Authentication as a Service, AaaS)?

Uwierzytelnianie jako usługa (AaaS) to usługa umożliwiająca uwierzytelnianie w chmurze, dzięki czemu organizacje mogą bezpiecznie kontrolować dostęp do swoich aplikacji i serwerów z różnych urządzeń i sieci.

Pytania Dotyczące Brokera Secfense

Co to jest User Access Security Broker?

User Access Security Broker to rozwiązanie stworzone przez firmę Secfense, które umożliwia implementację dowolnych metod  uwierzytelniania wieloskładnikowego (SMS, TOTP, FIDO2 / WebAuthn itp.) w dowolnej aplikacji internetowej. Narzędzie działa jako reverse-proxy, a wdrożenie nie wymaga żadnego dodatkowego kodowania. Implementacja wymaga jedynie skonfigurowania maszyny wirtualnej wewnątrz organizacji, a następnie przekierowania ruchu (reverse-proxy) i zastosowania mechanizmu uczenia się, aby broker Secfense mógł nauczyć się wzorców ruchu. Po zaimplementowaniu nauczonych wzorców rejestracja uwierzytelniania 2FA zostanie uruchomiona przy kolejnej próbie logowania dla każdego użytkownika. Całe wdrożenie i konfiguracja odbywa się w ciągu kilku dni i można je łatwo skalować do nieograniczonej liczby aplikacji wewnątrz organizacji. Narzędzie działa jako reverse-proxy i jest w pełni niezależne od stosu technologicznego.

User Access Security Broker firmy Secfense w dużym uproszczeniu jest formą warstwy bezpieczeństwa działającą jako reverse-proxy, który znajduje się między dowolną aplikacją wewnętrzną, a użytkownikiem zewnętrznym.

Broker Secfense to także szyna integracyjna (ESB) dla modułów bezpieczeństwa, takich jak uwierzytelnianie dwuskładnikowe (2FA). Każda metoda 2FA jest całkowicie niezależna od chronionej aplikacji. Oznacza to, że można ją wymienić natychmiast na inną metodę, bez wpływu na działanie chronionej aplikacji.

Broker Secfense ma dwa główne cele:
1. Uczynienie procesu uwierzytelniania odpornym na ataki typu phishing
2. Dodanie customizowanych kroków uwierzytelnienia tam, gdzie jest to konieczne (mikroautoryzacje)

Co odróżnia user access security broker od innych narzędzi uwierzytelniania?
  • User Access Security Broker firmy Secfense jest instalowany jako urządzenie wirtualne w infrastrukturze klienta i od tego momentu jest całkowicie własnością klienta. Broker Secfense nie jest produktem SaaS i nie dotyka żadnych wrażliwych danych użytkownika.
  • Konfiguracja User Access Security Broker od Secfense zajmuje kilka minut i może być łatwo powtórzona na dowolnej liczbie aplikacji internetowych.
  • Nie ma ingerencji w kod chronionej aplikacji.

User Access Security Broker firmy Secfense zwykle najbardziej sprawdza się tam, gdzie zbyt trudno jest wprowadzić SSO, czyli systemy legacy, niestandardowe aplikacje, panele administracyjne itp.

Nie słyszałemnie sł o Secfense. Dlaczego powinienem wam zaufać?

Firma Secfense została założona przez ludzi, którzy zajmują się cyberbezpieczeństwem od ponad dwóch dekad – zarówno po stronie klienta, jak i dostawcy. Dlatego tworząc User Access Security Broker od Secfense robiliśmy to z myślą o wszystkich specjalistach od cyberbezpieczeństwa, którzy z natury są bardzo sceptyczni wobec rozwiązań typu SaaS (którym rozwiązanie Secfense nie jest). Mamy świadomość, że niechęć do SaaS jest uzasadniona. Rozwiązania SaaS są trudne do kontrolowania w kontekście danych, które firma musi udostępnić dostawcy.

Rozwiązanie Secfense instalowane jest jako fizyczne lub wirtualne urządzenie (appliance) w infrastrukturze klienta. Rozwiązanie Secfense nigdy „nie dzwoni do domu” (czyli, że u producenta nie ma centralnego zarządzania). Broker Secfense staje się częścią infrastruktury klienta, podobnie jak inne urządzenia sieciowe, takie jak load balancery, WAF, itp.

Należy również wspomnieć, że rozwiązanie Secfense nie ingeruje w kod chronionej aplikacji. Analizowany ruch pozostaje na urządzeniu i nigdy nie jest analizowany w chmurze.

Inną ważną rzeczą jest to, że broker bezpieczeństwa Secfense nigdy nie przetwarzamy ani nie przechowuje żadnych danych uwierzytelniających ani haseł. Pomimo tego, że pod względem architektury rozwiązanie stoi w miejscu, w której ma możliwość podglądu całego ruchu (w tym haseł), to świadomie jednak hasła nie są przetwarzane, ponieważ nie są one w żaden sposób potrzebne do poprawnego działania rozwiązania od Secfense.

To 7-minutowe demo pokazuje jak proces wdrażania rozwiązania Secfense wygląda w rzeczywistości. W nagraniu pokazana jest cała i kompletna instalacja. Jest to proces, który krok po kroku administrator bezpieczeństwa w firmie może powtórzyć aby zainstalować Secfense na dowolnej aplikacji wewnątrz organizacji.

Aby zarejestrować się na darmowy trial naszego rozwiązania zachęcamy do umówienia się na krótką rozmowę z naszym konsultantem tutaj

Czym jest User Access Security Broker firmy Secfense?

User Access Security Broker od Secfense to rozwiązanie umożliwiające wprowadzenie dowolnej metody silnego dwuskładnikowego uwierzytelniania na dowolnej aplikacji bez żadnych zmian w kodzie tej aplikacji.

Główne korzyści wynikające z wprowadzenia User Access Security Broker firmy Secfense to:

  • zwiększenie poziomu bezpieczeństwa procesu uwierzytelniania
  • dodawanie konfigurowalnych kroków autoryzacji wszędzie tam, gdzie jest to konieczne,
  • możliwość wprowadzenia ujednoliconych polityk bezpieczeństwa dla całej organizacji
Jaki problem rozwiązuje User Access Security Broker od Secfense?

Secfense walczy ze złożonością i nieefektywnością w obszarze cyberbezpieczeństwa. W dużych organizacjach setki aplikacji wciąż chronione są wyłącznie przy pomocy haseł, co często prowadzi do licznych problemów i incydentów związanych z bezpieczeństwem danych. Wprowadzenie silnego dwuskładnikowego uwierzytelniania było do tej pory czasochłonne i kosztowne. Wprowadzenie silnego dwuskładnikowego uwierzytelniania często kolidowało lub musiało być wpisane w długoterminowy plan rozwoju aplikacji. Czasem było wręcz niemożliwe ze względu na ograniczenia licencyjne. Silne 2FA zostało wprowadzone na 1 aplikacji a kolejnych 99 pozostawało niezabezpieczone i podatne na zagrożenia związane z cyberatakami. Secfense to zmienia.

Rozwiązanie Secfense całkowicie eliminuje ryzyko phishingu i ryzyko kradzieży danych uwierzytelniających użytkownika. Z Secfense dwuskładnikowe uwierzytelnianie może być wprowadzone w łatwy sposób w dowolnej aplikacji i w zaledwie kilka minut. Dlatego organizacje nie muszą już dokonywać trudnej selekcji, które aplikacje ochronić silnym uwierzytelnienie, a które pozostawić wyłącznie z hasłem. Teraz można wprowadzić dowolną metodę 2FA do wszystkich aplikacji i chronić całą organizację za pomocą sprawdzonego w walce odpornego na phishing silnego uwierzytelniania.

Jak zbudowany jest User Access Security Broker firmy Secfense?

Rozwiązanie Secfense w dużym uproszczeniu jest formą warstwy bezpieczeństwa. Działa jako odwrotny serwer proxy (reverse-proxy), który znajduje się między dowolną aplikacją a użytkownikiem zewnętrznym.

User Access Security Broker Secfense to także magistrala usług korporacyjnych (ESB) dla modułów bezpieczeństwa, takich jak uwierzytelnianie dwuskładnikowe (2FA). Każda wprowadzona dzięki Secfense metoda 2FA jest całkowicie niezależna od chronionych aplikacji. Oznacza to, że wybraną metodę silnego uwierzytelniania można dowolnie wymienić bez wpływu na działanie aplikacji.

Jak uruchomić 2FA z Secfense?

Uwierzytelnianie dwuskładnikowe jest naprawdę łatwe do skonfigurowania za pomocą User Access Security Broker firmy Secfense. Oto kroki prowadzące do uruchomienia silnego uwierzytelniania 2FA w organizacji.

Konfiguracja administrtatora:

  • Instalacja maszyny wirtualnej Secfense
  • Przekierowanie ruchu sieciowego przez rozwiązanie Secfense (reverse-proxy)
  • Uruchomienie mechanizmów uczenia, które uczą się wzorców ruchu
  • Zarejestrowanie „użytkownika testowego”, w celu nauczenia Secfense wzorców ruchu
  • Gotowe. Każdy użytkownik będzie teraz zmuszony do skorzystania z 2FA, aby zalogować się do chronionej przez Secfense aplikacji.

Konfiguracja użytkownika końcowego:

  • Użytkownik loguje się do aplikacji tak jak zwykle
  • Przy logowaniu pojawia się okno rejestracji, zmuszające osobę do dodania metody 2FA
  • Następnym razem, gdy osoba będzie się logować, zostanie poproszona o uwierzytelnienie za pomocą 2FA.

Próbne wdrożenie User Access Security Broker firmy Secfense (czyli tak zwany POC) jest przeprowadzane za darmo i można je zamówić po odbyciu wstępnej rozmowy zapoznawczej z naszym konsultantem. Rozmowę zaplanować można tutaj

Jak wdrożenie User Access Security Broker firmy Secfense wygląda w szczegółach?

Cała integracja User Access Security Broker firmy Secfense z aplikacjami zamyka się w kilku krokach:

Krok 1:

Utworzenie wirtualnego hosta dla aplikacji w narzędziu Secfense (zdefiniowana jest nazwa DNS i bieżący adres IP aplikacji)

Krok 2:

Ruch sieciowy do aplikacji jest kierowany przez reverse-proxy Secfense (ta akcja odbywa się poza narzędziem Secfense i jest wykonywana przez administratora sieci). Teraz User Access Security Broker firmy Secfense pośredniczy w ruchu, ale na tym etapie nic z tym ruchem nie robi, zachowuje się całkowicie pasywnie.

Krok 3:

Etap uczenia się – próba zalogowania się do aplikacji z 'inituser”- użytkownik rozumiany tylko przez rozwiązanie Secfense (“etap uczenia się” jest opisany poniżej).

Krok 4:

To koniec integracji. W rozwiązaniu Secfense tworzony jest wzorzec dla danej aplikacji, który po uruchomieniu wymusza na użytkownikach korzystanie z uwierzytelnienia 2FA. Metody uwierzytelniania dwuskładnikowego w rozwiązaniu Secfense można przypisać do aplikacji wszystkim użytkownikom lub wybranej grupie użytkowników, w zależności od wybranej polityki bezpieczeństwa.

Etap uczenia się:

Na etapie wdrażania User Access Security Broker firmy Secfense unikalny użytkownik o nazwie „inituser” wysyłany jest do aplikacji. W aplikacji nie ma takiego użytkownika, ale rozwiązanie Secfense i tak otrzymuje odpowiedź zarówno z frontendu, jak i backendu aplikacji, która pozwala zidentyfikować proces logowania i obsłużyć go w locie. Następnie uczenie się jest wyłączane, a utworzony w ten sposób wzorzec jest zapamiętywany przez rozwiązanie Secfense.

Jak wyłączyć 2FA z User Access Security Broker Secfense?

User Access Security Broker firmy Secfense podobnie jak zaimplementowane z nim metody dwuskładnikowego uwierzytelnienia można łatwo wyłączyć bez zakłócania działania aplikacji docelowej. W takim przypadku 2FA jest usuwane, a wszyscy użytkownicy wracają do poprzednich ustawień uwierzytelniania, które były używane przed wdrożeniem.

Co się stanie, jeśli użytkownik zostanie zablokowany?

Wszystko zależy od wybranej metody 2FA. W niektórych przypadkach blokada jest łatwiejsza do rozwiązania i dana osoba może łatwo odzyskać dostęp do swojego konta. W innych sytuacjach może to wymagać użycia innego urządzenia, które zostało pierwotnie zarejestrowane jako alternatywna metoda uwierzytelniania.

Na przykład, jeśli osoba używa klucza bezpieczeństwa U2F, powinna mieć inny zarejestrowany wcześniej klucz, który mógłby zostać użyty w takiej sytuacji. W sytuacji utraty urządzenia mobilnego z aplikacją uwierzytelniającą powinno się zabezpieczyć poprzez wcześniejszą rejestrację innego urządzenia, które może wygenerować kod TOTP w przypadku zgubienia urządzenia głównego.

Uwierzytelnianie dwuskładnikowe to najlepszy sposób na ochronę przed phishingiem i zwiększenie ogólnego bezpieczeństwa organizacji, jednak musi być również dobrze ugruntowane w firmie, aby zminimalizować konsekwencje blokady.

Dlatego niezwykle ważne jest, aby administratorzy bezpieczeństwa zawsze mieli alternatywne uwierzytelniacze, aby uniemożliwić pracownikom organizacji całkowite zablokowanie i utratę dostępu do aplikacji na zawsze.

Czy można skonfigurować 2FA z User Access Security Broker na wielu urządzeniach?

Tak, jest to nie tylko możliwe, ale także stanowczo zalecane. Ponieważ silne 2FA może spowodować, że dana osoba zostanie zablokowana na zawsze, niezwykle ważne jest posiadanie różnych kluczy bezpieczeństwa U2F, kluczy FIDO2 lub urządzeń mobilnych z zarejestrowanymi aplikacjami uwierzytelniającymi na wypadek uszkodzenia lub utraty jednego z urządzeń.

Czy rozwiązanie Secfense może zastąpić VPN w organizacji?

Można śmiało powiedzieć, że VPN (szczególnie chroniony tylko hasłem) nie jest zbyt bezpieczny. Tradycyjna sieć obwodowa (network perimeter) ewoluowała i zgodnie z modelem Zero Trust musimy porzucić „ideę zaufanej sieci”. Zamiast tego lepiej polegać na silnie uwierzytelnionym użytkowniku. W tym aspekcie pomaga właśnie rozwiązanie Secfense. User Access Security Broker może być dodany do SSL-VPN jako dodatkowa warstwa bezpieczeństwa lub może zostać zamiennikiem – brokerem bezpieczeństwa, który zatrzyma przestępców i wpuści tylko uwiarygodnionych użytkowników.

Czy rozwiązanie Secfense przechowuje hasła?

Rozwiązanie Secfense nie przechowuje haseł. Aby działać, User Access Security Broker od Secfense nie musi przetwarzać i przechowywać haseł użytkowników. Uwierzytelnianie aplikacji pozostaje nienaruszone, a broker Secfense działa “ponad nim”.

Jak to możliwe, że rozwiązanie Secfense może zostać wdrożone w ciągu kilku minut, a nie miesięcy?

Zmieniamy paradygmat implementacji silnego dwuskładnikowego uwierzytelniania 2FA. Z brokerem bezpieczeństwa Secfense, dwuskładnikowe uwierzytelnianie przestaje być domeną oprogramowania, a staje się zagadnieniem związanym z siecią. Zamiast wiązać każdą aplikację indywidualnie z wybraną metodą 2FA – co jest czasochłonne, kosztowne oraz wymagające prac programistycznych – ruch sieciowy zostaje po prostu przekierowany aby płynął przez User Access Security Broker firmy Secfense. Instalacja rozwiązania jest tak prosta, jak zmiana wpisu DNS lub reguły firewalla.

Jakie metody 2FA są obsługiwane przez rozwiązanie Secfense?

User Access Security Broker firmy Secfense jest narzędziem niezależnym od metody uwierzytelnienia. Oznacza to, że ​​możliwe jest wykorzystanie dowolnej metody uwierzytelnienia dostępnej na rynku. Rozwiązanie Secfense umożliwia uruchomienie każdej metody silnego uwierzytelnienia. Metoda wybierana jest przez administratora po stronie klienta i dopasowana do polityki bezpieczeństwa w danej firmie.

Firma Secfense rekomenduje użycie metody opartej o standard FIDO jako że ta metoda w pełni eliminuje problem phishingu. Jednakże inne metody dwuskładnikowego uwierzytelniania, takie jak TOTP (kompatybilny z Google Authenticator), metoda oparta o SMS, a także starsze metody oparte o tokeny lub uwierzytelnianie biometryczne za pomocą głosu i twarzy również mogą być uruchomione.

Czy broker bezpieczeństwa Secfense jest dostępny lokalnie? Czy jest to SaaS?

Ze względu na wrażliwy charakter danych przepływających przez Secfense większość naszych klientów preferuje wdrożenia lokalne, jako urządzenie fizyczne lub wirtualne.

Która metoda 2FA jest rekomendowana przez Secfense?

Silne uwierzytelnienie oparte o standard FIDO (znane również jako WebAuthn) to jeden z najbezpieczniejszych i najskuteczniejszych sposobów korzystania z 2FA. Uwierzytelnienie FIDO zostało przetestowane w boju przez gigantów, takich jak Google, Facebook czy Twitter i obecnie są jedyną metodą 2FA w pełni odporną na phishing. Rozwiązanie działa natychmiast po wyjęciu z pudełka w większości środowisk oraz jest łatwe w obsłudze i zarządzaniu.

Klucze FIDO opierają się na kryptografii klucza publicznego, ale bez problematycznej infrastruktury starszych systemów PKI. Metoda FIDO oparte o lokalne urządzenia uwierzytelniające zamiast kluczy wykorzystuje urządzenia takie jak smartfon czy laptop, służące użytkownikowi do potwierdzenia swojej tożsamości.

Czy rozwiązanie Secfense ma sens w mojej firmie, jeśli mam już zainstalowane 2FA na niektórych aplikacjach?

Jeśli uwierzytelnienie dwuskładnikowe 2FA jest już wdrożone aby chronić najbardziej wrażliwe aplikacje, to wdrożenie Secfense nadal ma sens poniższych przypadkach:
– skalowanie używanej metody silnego uwierzytelnienia na kolejne (nawet wszystkie) aplikacje działające w firmie
– łatwa wymiana starszych metod uwierzytelnienia (takich jak SMS czy OTP) na nowsze metody dla wybranej aplikacji lub bazy użytkowników

Skąd rozwiązanie Secfense wie, jak chronić aplikację, nie znając jej kodu?

W fazie instalacji rozwiązania zwanej “etapem uczenia się” (learning mode) rozwiązanie Secfense bada docelową aplikację, aby zdobyć wiedzę na temat jej budowy. Po przeprowadzeniu analizy wzorców zarówno na back-endzie, jak i na front-endzie, broker bezpieczeństwa Secfense zapewnia niestandardową ochronę dla wybranej aplikacji.

Które klucze FIDO / U2F są obsługiwane przez Secfense?

Secfense obsługuje wszystkie klucze zgodne ze standardem FIDO (wcześniej standard U2F). Do klienta należy wybór który dostawca kluczy zostanie wybrany.

Czy rozwiązanie Secfense może zarządzać moimi certyfikatami SSL?

Tak. Secfense może użyć istniejących certyfikatów SSL lub wygenerować nowe. Może również ukryć się za urządzeniem terminującym SSL i używać niezaszyfrowany ruch.

Jakie protokoły obsługuje rozwiązanie Secfense?

HTTP/HTTPS oraz SSH

W jaki sposób rozwiązanie Secfense skaluje się w organizacji?

Możliwe jest rozpoczęcie od jednego klastra wysokiej dostępności (high-availability) i w razie potrzeby dodać więcej węzłów. Dodatkowe węzły można rozpiąć między własnym centrum danych, chmurą prywatną i publiczną.

Czy Secfense zapewnia wysoką dostępność?

Tak. Wysoką dostępność (high-availability) zapewniają nadmiarowe węzły klastra (redundant nodes).

Pytania Dotyczące Demo, Trial I Testów Rozwiązania Secfense

Jak przetestować User Access Security Broker od Secfense w swojej organizacji?

W pierwszym kroku koniecznym jest umówienie się z nami na wstępną rozmowę zapoznawczą, którą można zaplanować tutaj

Podczas tej 30-minutowej rozmowy pokazujemy zwykle demo rozwiązania Secfense i wykonujemy jego pełną instalację na przykładzie działającej zewnętrznej aplikacji, której kodu nie kontrolujemy. Demo zobaczyć można podczas rozmowy, lub pod tym linkiem wersja zarejestrowana wcześniej.

Po obejrzeniu demo przechodzimy zwykle do rundy Q&A, która ma na celu odnalezienie konkretnych przypadków (case) po stronie klienta, w których rozwiązanie Secfense mogłoby pomóc.

Jeśli klient dostrzeże potencjał w rozwiązaniu i będzie chętny na przetestowanie rozwiązania na swojej infrastrukturze podpisujemy NDA i uruchamiamy wersję demonstracyjną naszego urządzenia wirtualnego do uruchomienia w swoim środowisku testowym klienta. Po wybraniu aplikacji do testowania administrator po stronie klienta przekierowuje ruch między użytkownikami testującymi a aplikacją (najczęściej poprzez zmianę wpisów DNS lub reguł firewall).

Testowanie rozwiązania Secfense jest darmowe i ograniczone do liczby aplikacji i użytkowników dla których silne dwuskładnikowe uwierzytelnianie może być uruchomione.

Czy demo na żywo może przeprowadzone być na mojej aplikacji?

Tak. Jeśli aplikacja jest dostępna publicznie Internecie, możemy zabezpieczyć ją User Access Security Broker i zademonstrować wszystkie funkcje bez konieczności wprowadzania jakichkolwiek zmian w chronionej aplikacji. W tym linku znajduje się demo, które zostało pokazane publicznie podczas konferencji Finovate na przykładzie aplikacji Amazon.com. Takie samo demo może być zrealizowane na dowolnej aplikacji. Można więc umówić się z nami na rozmowę i w formularzu kontaktowym wskazać witrynę, na której powinniśmy dokonać instalacji Secfense podczas naszej rozmowy.

Czy mogę używać rozwiązania Secfense do ochrony moich hostów z włączonym SSH?

Tak. Dzięki bramie Secfense SSH możemy przeprowadzić „dobry” atak typu „man-in-the-middle” na infrastrukturę klienta w celu zastosowania dodatkowych środków bezpieczeństwa (takich jak uwierzytelnianie dwuskładnikowe) na sesjach SSH użytkowników.

Czy broker bezpieczeństwa Secfense używa man-in-the-middle, aby uruchomić działanie drugiego składnika?

To pytanie pojawia się często i w różnych formach. Podczas naszej demonstracji na żywo, w której pokazujemy wdrożenie 2FA na przykładzie Amazon.com , lokalnie zmieniamy wpis DNS i powodujemy, że ruch płynie przez naszą sieć. Podczas demo ma to oczywiście prawo działać tylko na naszym laptopie, ponieważ nie kontrolujemy aplikacji Amazon. Celem demonstracji jest więc jedynie pokazanie, że możemy wdrożyć 2FA bez dotykania kodu aplikacji. Gdy User Access Security Broker od Secfense jest wdrażany w rzeczywistym środowisku, znajduje się on w pobliżu load balancera lub WAF.

Jeśli klient kontroluje DNS aplikacji, to na tych aplikacjach jest możliwość wdrożenia rozwiązania Secfense. O brokerze bezpieczeństwa Secfense należy myśleć jak o Cloudflare dla 2FA.

Czy rozwiązanie Secfense może chronić także Office365, Salesforce itp.?

Na tym etapie skupiamy się na aplikacjach należących do firmy, dlatego obecnie nie obsługujemy produktów SaaS. Jednak pracujemy nad rozszerzeniem działania rozwiązania Secfense na środowisko SaaS.

Co to znaczy, że Secfense jest brokerem 2FA, a nie dostawcą 2FA?

Bycie brokerem uwierzytelniania oznacza, że ​​aktywujemy dowolną metodę 2FA w dowolnej aplikacji. Nie jesteśmy producentem metod 2FA, ale integrujemy dowolne metody na naszej platformie, udostępniając je dla każdej aplikacji internetowej, którą rozwiązanie Secfense widzi w sieci. Oznacza to, że jeśli obecnie w organizacji działa określona metoda 2FA, podłączenie jej do szyny integracyjnej Secfense sprawi, że będzie to kolejna metoda do wyboru i będzie ona dostarczana do innych aplikacji w locie, w warstwie sieciowej.

Czy rozwiązanie Secfense działa tylko dla usług internetowych czy też dla aplikacji mobilnych?

Secfense został zaprojektowany z myślą o aplikacjach internetowych, ponieważ wykorzystuje standardy zarówno na poziomie protokołu, jak i po stronie klienta (przeglądarki). Może zostać wdrożony w niektórych środowiskach mobilnych, ale wymaga to dodatkowego wsparcia.

Jak wygląda integracja z rozwiązaniem Secfense? Jak wdraża się brokera bezpieczeństwa Secfense?

Rozwiązanie Secfense jest dostarczany klientowi w postaci urządzenia fizycznego lub wirtualnego. Rozwiązanie umieszczone jest pomiędzy użytkownikami a aplikacjami w taki sposób, że może analizować i modyfikować ruch HTTP(s) – zwykle w pobliżu load balancera lub firewalla. W zależności od preferencji klienta, broker bezpieczeństwa Secfense może działać jako serwer proxy zakończenia TLS lub pracować na już odszyfrowanym ruchu.

Ze względu na poufność przesyłanych danych Secfense nigdy nie komunikuje się z hostami zewnętrznymi ani nie „dzwoni do domu” w celu raportowania.

Opcje instalacji Secfense:

Czym jest „etap uczenia się” (learning mode) w rozwiązaniu Secfense?

Albo jak dokładnie wygląda etap inspekcji ruchu i uczenia się aplikacji? W etapie uczenia się, rozwiązanie Secfense uruchamia sondę w docelowej aplikacji, aby przeskanować ją w poszukiwaniu żądań (i odpowiedzi) związanych z uwierzytelnianiem użytkownika. Na tym etapie zbierane są zarówno wzorce ruchu sieciowego, jak i wzorce interfejsu użytkownika.

W większości przypadków proces uczenia się jest automatyczny i zajmuje tylko kilka sekund. W rzadkich przypadkach, gdy wzorce nie są rozpoznawane automatycznie, administrator przeprowadza ręczną konfigurację.

Po zastosowaniu wcześniej wyuczonego wzorca aplikacja zostaje natychmiast zabezpieczona wybraną metodą silnego dwuskładnikowego uwierzytelniania. Podczas następnego logowania użytkownicy aplikacji zostaną poproszeni o aktywację drugiego składnika.

Jest to możliwe dzięki przechwytywaniu żądań na poziomie interfejsu użytkownika i blokowaniu nieautoryzowanego ruchu w warstwie HTTP(s).

Użytkownik pozostaje w domenie chronionej aplikacji (bez przekierowania do usługi zewnętrznej), a proces rejestracji i dalszego używania 2FA wydaje się być integralną częścią chronionej aplikacji.

Mechanizm ten działa zarówno w przypadku tradycyjnych aplikacji (gdzie kod HTML jest renderowany w całości po stronie serwera), jak i tzw. SPA (Single-Page Apps).

Oto link do naszego 7-minutowego demo, które pokazaliśmy podczas konferencji Finovate Europe w Londynie. Demo przedstawia jak wygląda całe wdrożenie User Access Security Broker od Secfense i uruchomienie dwuskładnikowego uwierzytelnienia. Demo pokazane zostało na przykładzie Amazon.com, ale w praktyce może być pokazane na dowolnej innej aplikacji internetowej. Umawiając rozmowę z nami w formularzu rejestracyjnym można więc zaznaczyć na jakiej aplikacji powinniśmy zrealizować demo , a my pokażemy jak broker Secfense działa właśnie na tej aplikacji.

Czy rozwiązanie Secfense zbiera dane o użytkowniku przed pierwszym logowaniem?

Etap uczenia się to jednorazowy proces mający na celu nauczenie brokera Secfense cech aplikacji, która będzie chroniona uwierzytelnieniem dwuskładnikowym.

Cała integracja Secfense z aplikacjami mieści się w kilku krokach:

Krok 1: Tworzenie wirtualnego hosta dla aplikacji wewnątrz rozwiązania Secfense (zdefiniowana jest nazwa DNS i bieżący adres IP aplikacji).

Krok 2: Ruch sieciowy do aplikacji jest kierowany przez brokera Secfense na zasadzie reverse-proxy (ta akcja wykonywana jest przez administratorów sieci). Teraz broker Secfense widzi już ruch, ale nadal nic z nim nie robi, zachowuje się całkowicie pasywnie.

Krok 3: Proces uczenia się – należy dokonać próby zalogowania się do aplikacji ze specjalną nazwą użytkownika – rozumianą tylko przez rozwiązanie Secfense i przekazującą rozwiązaniu wiedzę o docelowej aplikacji.

To już koniec integracji. W brokerze bezpieczeństwa Secfense tworzony jest wzorzec dla danej aplikacji, który wystarczy zastosować i od uwierzytelnianie z wykorzystaniem drugiego składnika będzie wymagane. Metody 2FA w brokerze Secfense można przypisać wszystkim lub wybranym użytkownikom.

Oto link do naszego 7-minutowego demo, które pokazaliśmy podczas konferencji Finovate Europe w Londynie. Demo przedstawia jak wygląda całe wdrożenie User Access Security Broker od Secfense i uruchomienie dwuskładnikowego uwierzytelnienia. Demo pokazane zostało na przykładzie Amazon.com, ale w praktyce może być pokazane na dowolnej innej aplikacji internetowej. Umawiając rozmowę z nami w formularzu rejestracyjnym można więc zaznaczyć na jakiej aplikacji powinniśmy zrealizować demo, a my pokażemy jak broker Secfense działa właśnie na tej aplikacji.

Czy awaria rozwiązania Secfense uniemożliwi korzystanie z aplikacji?

Nie. W mało prawdopodobnym przypadku awarii rozwiązanie można łatwo wyłączyć bez zakłócania działania chronionej aplikacji.

Co to są mikroautoryzacje?

Jedną z kluczowych funkcji User Access Security Broker firmy Secfense są tak zwane mikroautoryzacje. Funkcjonalność ta umożliwia sprawdzenie lub zatrzymanie użytkownika, za każdym razem kiedy sięgnie po określone zasoby lub zechce wykonać określone akcje wewnątrz chronionej aplikacji.

Jeśli mikroautoryzacje są uruchomione działają one w jednym z dwóch scenariuszy:

1. Mikroautoryzacje w Modelu Właściciela, rozwiązanie Secfense prosi użytkownika o ponowne uwierzytelnienie.

2. Mikroautoryzacje w Modelu Przełożonego, rozwiązanie Secfense prosi osobę trzecią o autoryzację.

Ponieważ User Access Security Broker od Secfense działa jak niezależna warstwa bezpieczeństwa, dzięki temu mikroautoryzacje można dodawać do aplikacji w dowolnym jej miejscu, na dowolnym kroku podróży użytkownika przez aplikację.

Mikroautoryzacje w Modelu Właściciela wprowadzają zwiększony poziom granulacji na zasadzie najmniejszego przywileju (the Principle of Least Privilege). Oznacza to dodatkową ochronę przed atakiem na skradzioną aktywną sesję lub innymi atakami na już zalogowanego użytkownika, w tym phishing w czasie rzeczywistym czy złośliwe oprogramowanie.

Mikroautoryzacje w Modelu Przełożonego pozostawiają autoryzację szczególnie wrażliwych zasobów w rękach wybranych i zaufanych użytkowników. Oznacza to, że żądanie dostępu do określonych zasobów wewnątrz aplikacji musi zostać autoryzowane przez przełożonego.

Niezależnie od modelu dodatkowym efektem mikroautoryzacji jest ochrona wrażliwych zasobów przed zagrożeniami takimi jak:

  • automatyczny eksport danych za zgodą lub bez zgody użytkownika niekontrolowany wyciek poufnych informacji poprzez interfejs aplikacji

MIKROAUTORYZACJE MAJĄ SENS TYLKO WTEDY GDY NIE SĄ UCIĄŻLIWE W UŻYCIU I NIE KOLIDUJĄ Z PRACĄ UŻYTKOWNIKA

Najlepszym metodą uwierzytelnienia, która sugerowana jest do mikroautoryzacji jest metoda oparta o standard FIDO a więc klucze kryptograficzne lub lokalne uwierzytelniacze. Metody 2FA oparte na kodach jednorazowych (SMS, TOTP) nie będą sprawdzać się jako metoda mikroautoryzacji z powodu zbyt dużego zaangażowania użytkownika w proces.

W przypadku mikroautoryzacji w modelu przełożonego dostęp do chronionego zasobu wymaga od użytkownika jedynie dotknięcia klucza kryptograficznego lub wykorzystania lokalnego urządzenia uwierzytelniającego, który został użyty podczas pierwotnego uwierzytelniania.

W przypadku mikroautoryzacji w modelu przełożonego dostęp do chronionego zasobu wymaga takiej samej czynności jak powyżej, ale musi być wykonany przez uprzywilejowanego użytkownika posiadającego uprzywilejowany klucz kryptograficzny.

WSZYSTKIE ZDARZENIA ZWIĄZANE Z MIKROAUTORYZACJAMI ZAPISYWANE SĄ W REJESTRZE ZDARZEŃ (LUB WYSYŁANE DO ZEWNĘTRZNEGO SYSTEMU LOGOWANIA) I MOGĄ BYĆ ANALIZOWANE W CELU WYKRYCIA ANOMALII.

Więcej na temat mikroautoryzacji znaleźć można poniżej:

Jeżeli drugim składnikiem logowania są wiadomości SMS, to w jaki sposób rozwiązanie Secfense pozyskuje informację o numerze telefonu, skoro nie jest zintegrowane z aplikacją?

User Access Security Broker od Secfense analizuje zarówno ruch sieciowy jak i wydarzenia na front-endzie. Dla danej aplikacji wybierana jest domyślna metoda drugiego składnika (klucze kryptograficzne, kody TOTP, biometria itp.), która jest wprowadzana w ruch pomiędzy użytkownikiem, a docelową aplikacją.

Niezależnie od metody uwierzytelniania wyróżniamy dwa procesy: proces rejestracji oraz proces uwierzytelnienia. W procesie rejestracji wiążemy atrybut drugiego składnika z danym kontem w systemie (czyli w przypadku kodów SMS użytkownik podaje nr telefonu, a następnie wprowadza kod startowy z SMS). Przy kolejnym logowaniu Secfense zna już powiązanie użytkownika z danym atrybutem drugiego składnika, realizując swoja część zadania, a od użytkownika oczekuje poprawnego kodu.

Na podlinkowanym filmie od ok 2. minuty pokazujemy jak ten proces działa dla kluczy kryptograficznych standardu FIDO U2F (rejestracja w pierwszym kroku, a następnie uwierzytelnianie w kolejnych).

Jaka jest szansa, że serwer proxy Secfense będzie niedostępny i uniemożliwi to korzystanie z aplikacji docelowej? Jaka jest jego dostępność? Jakie są warunki SLA?

User Access Security Broker od Secfense “przykrywa” aplikacje, nie uzależniając jej od siebie. Dzięki temu, w razie nieprzewidzianej awarii, poprzez zmianę ruchu (DNS, firewall, routing) można pominąć brokera Secfense na czas przywrócenia stabilności. W tym czasie aplikacja wraca do stanu sprzed wdrożenia, a od użytkowników nie wymagany jest 2. składnik logowania. W wersji fizycznych appliance, rozwiązanie Secfense dostarczane jest w modelu wysokiej dostępności, w przypadku appliance wirtualnego, HA przeniesione jest na środowisko wirtualizacyjne.

Z poziomem SLA związany jest czas reakcji na zgłoszony problem, w dotychczasowych instalacjach jest to od kilku do kilkunastu godzin (w przypadku kiedy klient decyduje się na możliwość zastosowania bypass ruchu sieciowego po swojej stronie).

Czy zmienny adres IP użytkowników może mieć wpływ na funkcjonowanie aplikacji?

Absolutnie nie.

Czy posiadacie Państwo wersję demo umożliwiająca sprawdzenie rozwiązania po stronie klienta?

Tak. W przypadku instalacji wersji trial i chęci przetestowania rozwiązania Secfense na aplikacjach klienta dostarczamy wersję brokera Secfense w formacie OVA, a następnie pomagamy w uruchomieniu i testach wybranej aplikacji. Aby zarejestrować się na bezpłatne testy rozwiązania należy umówić się na wstępną rozmowę z nami tutaj celu określenia szczegółów próbnego wdrożenia.

Czy rozwiązanie Secfense to narzędzie do implementacji różnych metod dwuskładnikowego uwierzytelniania, a nie dostawca takich metod?

Dokładnie tak, rozwiązanie Secfense to broker (enabler) umożliwiający implementację dowolnej metody 2FA na dowolnej aplikacji. Nie jesteśmy producentem metod 2FA, natomiast integrujemy je na swojej platformie czyniąc dostępnymi dla każdej aplikacji, którą rozwiązanie Secfense widzi w sieci.

Jeżeli aktualnie używają Państwo jakiejś konkretnej metody 2FA w swojej organizacji to wpięcie jej na szynę integracyjną Secfense spowoduje, że będzie ona kolejną metodą do wyboru i dostarczenia do aplikacji w locie, w warstwie sieci.

Czy rozwiązanie Secfense wprowadza uwierzytelnienie 2FA na aplikacjach mobilnych czy serwisach online?

Metody 2FA udostępniane przez rozwiązanie Secfense stosowane są względem aplikacji webowych (serwisów online). Broker Secfense jest urządzeniem (appliance), które instalowane jest w infrastrukturze firmy jako serwer proxujący (reverse-proxy), nie ma znaczenia z jakiego typu urządzeń będzie następował dostęp do aplikacji.

Poniższe obrazki dobrze pokazują możliwe scenariusze implementacji rozwiązania Secfense w infrastrukturze IT:

Czy „etap uczenia się” to oddzielna aplikacja mobilna, która zbiera dane o użytkowniku przed pierwszy logowaniem?

Nie. Nie jest to oddzielna aplikacja. Etap uczenia się w rozwiązaniu Secfense to proces jednorazowy mający na celu nauczyć brokera Secfense charakterystyki samej aplikacji webowej, która będzie chroniona uwierzytelnianiem 2FA. Całość integracji Secfense z aplikacjami zamyka się w kilku krokach:

Krok 1: Utworzenie w brokerze Secfense wirtualnego hosta dla aplikacji (definiowana jest nazwa DNS i aktualny IP aplikacji).

Krok 2: Ruch sieciowy do aplikacji kierowany jest przez reverse proxy Secfense. To działanie poza brokerem Secfense, wykonywane przez administratorów sieci. Teraz broker Secfense proxuje ruch ale jeszcze z nim nic nie robi, zachowuje się całkowicie pasywnie.

Krok 3: Etap uczenia się – próba zalogowania się do aplikacji użytkownikiem ‘Inituser’ – specjalny user rozumiany wyłącznie przez rozwiązanie Secfense – proces ten został opisany poniżej. To koniec integracji.

W brokerze Secfense powstaje wzorzec dla danej aplikacji, który wystarczy teraz zaaplikować i od tego momentu od użytkowników będzie wymagany składnik 2FA. Metody 2FA w rozwiązaniu Secfense mogą być przypisywane per aplikację dla wszystkich bądź wybranych użytkowników.

Etap uczenia się:

Na etapie zapięcia rozwiązania Secfense do aplikacji wysyłany jest unikalny użytkownik „Inituser”. Taki użytkownik w aplikacji nie istnieje, wykorzystywany jest wyłącznie do zainicjowania procewsu uczenia. Dzięki niemu otrzymujemy bowiem odpowiedź zarówno z front-end jak i back-end aplikacji, a to umożliwia nam identyfikację procesu logowania i obsłużenie go w locie.

Potem etap uczenia się zostaje wyłączony, a utworzony w ten sposób wzorzec zapamiętywany jest przez brokera Secfense.

Tutaj znajduje się link do naszego 7-minutowego demo, które pokazaliśmy podczas konferencji Finovate Europe w Londynie. Demo pokazuje jak wygląda cały proces wdrożenia User Access Security Broker firmy Secfense i uruchomienie dwuskładnikowego uwierzytelnienia. Demo wykonane jest na przykładzie aplikacji Amazon.com, ale w praktyce może być wykonane na dowolnej innej aplikacji. Umawiając rozmowę z nami w formularzu rejestracyjnym można zaznaczyć na jakiej aplikacji powinniśmy wykonać demo , a my pokażemy jak rozwiązanie Secfense działa właśnie na tej aplikacji.

Jak rozwiązanie Secfense ma się do SSO

Ze specyfiki branży większości naszych klientów wynika wymaganie, aby przygotowywane przez nas aplikacje służące głównie do obsługi procesów back office’owych, miały uwierzytelnienie użytkowników poprzez SSO.

SSO jest bardzo ważnym elementem całej układanki i gdziekolwiek to możliwe, namawiamy klientów do spinania swojej infrastruktury właśnie w taki sposób. Istotne jest wówczas, aby system weryfikujący tożsamość użytkowników miał zaimplementowane dwuskładnikowe uwierzytelnianie. Jeśli nie ma, można „schować” go za rozwiązaniem Secfense. Z naszego doświadczenia wynika też, że tylko część aplikacji jest wpięta do SSO. W takim przypadku zajmujemy się tą resztą, która z różnych względów nie znalazła się pod parasolem SSO. Warto też pamiętać, że rozwiązanie Secfense dostarcza usługi bezpieczeństwa także dla już zalogowanych użytkowników (tak zwane mikroautoryzacje), wchodząc tym samym na terytorium PAM (zarządzania dostępem uprzywilejowanych użytkowników) dla aplikacji web.

Modyfikowanie DNS to duże uprawnienie, które pozwala na przechwycenie ruchu z dowolnego linku w sieci. Czy rozwiązanie Secfense modyfikuje DNS?

est to niedomówienie, które często w rozmowach z klientami wymaga sprostowania. User Access Security Broker od Secfense nie nadpisuje serwerów DNS dla stacji klienckich (ani nic innego), a wyłącznie rekord A dla aplikacji, którą rozwiązanie Secfense ma chronić. Jeśli do tej pory np. aplikacja CRM miała rekord A wskazujący bezpośrednio na serwer web/aplikacyjny, to należy go zmienić tak, aby wskazywał na brokera Secfense. Wówczas użytkownicy łączący się z CRM przeźroczyście „przejdą” jeszcze przez serwer reverse-proxy w postaci Secfense. Takie rozwiązania są szeroko stosowane zarówno w chmurowych systemach anty-DDoS’owych, jaki i wewnątrzorganizacyjnych firewallach aplikacyjnych.

Jaka jest różnica między brokerem Secfense a SSL?

Jesteśmy bardziej elastyczną alternatywą dla SSL. Podczas korzystania z VPN użytkownik nie może w ogóle zobaczyć aplikacji, dopóki nie minie bramy VPN. Dzięki Secfense ochrona jest przejrzysta, użytkownik zostanie poproszony o podanie drugiego składnika podczas próby logowania, ale może poruszać się po publicznej stronie aplikacji. Jedną z najistotniejszych zaletą korzystania z rozwiązania Secfense w porównaniu z VPN jest to, że broker Secfense chroni użytkowników również od wewnątrz organizacji.

Na czym polega wysoka dostępność (high availability) rozwiązania Secfense?

Wysoka dostępność zapewniana jest przez klaster dwóch nodów brokera Secfense, które z jednej strony są bezstanowe a z drugiej strony całkowicie świadome swojej obecności. Ruch między użytkownikami a aplikacjami kierowany jest przez taki właśnie klaster wysokiej dostępności (HA).

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.