Часовые на посту готовы предпринять самые решительные меры, чтобы помешать всем, кто не знает текущего пароля, пройти на охраняемый объект. Проблема в том, что пароль могут узнать не только свои...
По данным компании Positive Technologies, почти в половине случаев проникновение в корпоративную сеть осуществляется с использованием недостатков парольной защиты — путем подбора словарных паролей. В 79% систем на публичных ресурсах в Интернете использовались пароли, которые легко подобрать, причем они встречались как на уровне веб-приложений, так и для аутентификации доступа к сетевому и серверному оборудованию.
«Основными рисками, на снижение которых в первую очередь направлены средства идентификации и аутентификации, являются риски несанкционированного доступа к ИТ-ресурсам: компьютеру, сети, информации на сайтах, к почте и т. д. При этом антропогенные угрозы и связанные с ними уязвимости стоят на первом месте», — поясняет Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.».
По наблюдениям Михаила Башлыкова, руководителя направления информационной безопасности компании «Крок», классическая парольная защита постепенно уходит в прошлое, так как не обеспечивает должного уровня безопасности. На смену приходят одноразовые пароли и другие средства многофакторной аутентификации. «В некоторых банках при аутентификации транзакций одноразовый пароль на стороне клиента формируется в зависимости от типа транзакции, — добавляет Башлыков. — Например, если клиент хочет перевести деньги с одного счета на другой, одноразовый пароль на его стороне формируется в зависимости от введенных параметров операции. Если злоумышленник перехватит платеж и подменит номер счета, одноразовый пароль при проверке на стороне системы будет отличаться от введенного клиентом и аутентификация не пройдет».
«Применение новейших разработок в области аутентификации позволяет существенно снизить вероятность неправомерной авторизации пользователей, вторжения злоумышленников в информационную среду предприятия, а также несанкционированных действий инсайдеров», — считает Александр Колесников, технический директор компании Tegrus. Вместе с тем интеграция таких новинок в систему ИБ компании несет в себе определенные риски организационного характера. В частности, биометрическая аутентификация может быть негативно воспринята консервативными сотрудниками. Планируя внедрение таких решений, лучше заранее оповестить персонал о готовящихся изменениях, рассказать об организации хранения персональных данных и процедуре идентификации — это позволит свести риски негативного восприятия новинок практически к нулю.
Что эффективно сегодня?
В зависимости от уровня и частоты возникновения вероятных опасных событий можно применять те или иные технологии и средства аутентификации, поясняет Сабанов. Он рекомендует разделить их условно на три уровня: простая аутентификация (например, с помощью пароля), усиленная (например, одноразовый пароль) и строгая (двусторонняя, или взаимная, аутентификация с применением электронной подписи). В зависимости от уровня организации (точнее, степени «доверенности») процессов регистрации пользователя, хранения, предъявления аутентификатора, корректности применения протоколов аутентификации, проверки валидности электронного удостоверения и принятия решения «свой-чужой» можно использовать простую, усиленную или строгую аутентификацию. При этом риски должны не только оцениваться на этапе проектирования, но и отслеживаться в процессе эксплуатации выбранных средств.
«Одноразовые пароли на сегодняшний день оптимальны для аутентификации по соотношению цены и качества, — комментирует Башлыков. — Что касается инноваций, стоит упомянуть биометрические средства защиты: по сетчатке глаза или кровеносным сосудам в глазном яблоке, по отпечатку пальца, по 3D-слепку лица и даже по сердцебиению. Такие системы обеспечивают максимальный уровень безопасности и одновременно являются самым дорогим решением. Потому их уместно использовать для особо крупных транзакций, доступа к критичным для бизнеса системам, защиты данных топ-менеджеров». Впрочем, по мнению Сабанова, технологии RFID и NFC, как и любая биометрия, могут всего лишь помогать лучше идентифицировать, но не аутентифицировать пользователя.
«Говоря об эффективности решений для аутентификации, я бы не разделял понятия надежности и целесообразности применения каждого вида этих систем для различных уровней доступа к корпоративным данным, поскольку с повышением надежности неизменно растет стоимость их внедрения, — замечает Колесников. — На мой взгляд, проектировать систему аутентификации пользователей необходимо в строгом соответствии с иерархией доступа сотрудников к критически важной информации: чем выше уровень их доступа, тем более надежные средства аутентификации должны применяться».
Мобильная аутентификация
Конструктивные особенности подавляющего большинства смартфонов и планшетов, к сожалению, оставляют единственную возможность аутентификации пользователей — на основании паролей, сетует Колесников. Повысить эффективность защиты в таком случае сможет более частая смена паролей и ограничение возможностей пользователя при доступе с мобильного устройства. Ноутбуки, в отличие от них, позволяют использовать для аутентификации аппаратные USB-ключи с функцией генерации одноразовых паролей.
Как отмечает Башлыков, для мобильной аутентификации сегодня самое популярное средство — это одноразовые пароли: «При оплате товаров или услуг пользователи получают их в большинстве случаев по SMS, вводя затем пароли на странице банка или через специальное приложение на мобильном устройстве». Есть и альтернативный способ получения пароля: клиент увидит его на экране телефона, но SMS при этом отправляться не будет. «Считается, что этот вариант более безопасен, так как интернет-канал, в отличие от SMS, можно зашифровать», — поясняет Башлыков.
Также достаточно активно развивается раздельная аутентификация, она особенно актуальна для банков. «Суть ее в следующем: у клиента банка имеется небольшой брелок, в корпусе которого зашиты два логически независимых устройства, формирующих одноразовые пароли. Одно устройство используется для строгой аутентификации в системе интернет-банкинга, а другое — для аутентификации сразу в нескольких других информационных системах (социальных сетях, порталах онлайн-игр, личной электронной почте и т. д.). Это делается для разграничения доступа к персональным и корпоративным данным», — рассказывает Башлыков.
Как бы то ни было, с точки зрения методологии оценки рисков аутентификации мобильный доступ мало отличается от традиционного, уверен Сабанов: «Видоизменяется и расширяется пространство угроз и уязвимостей. В частности, добавляются каналы возможных атак, а также отсутствие доверенной платформы и операционной системы. Поэтому возникает необходимость применять и более защищенные средства аутентификации. Выбор их необходимо осуществлять после исследования рисков».
Облачная аутентификация
По мнению Башлыкова, особой специфики в части аутентификации в облаках нет, и здесь наблюдаются те же тенденции развития, что и в области защиты «классических» систем и мобильных устройств. Колесников также согласен, что аутентификация в облаках принципиально не отличается от той, что производится в обычном аккаунте корпоративной информационной системы. Однако пока чаще всего используются пароли.
У Сабанова иное мнение: «Облако облаку рознь. В корпоративном облаке нет необходимости менять средства и механизмы аутентификации — все ресурсы находятся внутри защищенного периметра под контролем «своего» администратора безопасности. Совсем другое — публичные облака. Для безопасного управления доступом сотрудников к ним предприятиям необходимо будет перейти от распространенной парольной аутентификации к строгой».
Регламентная поддержка
Основной документ, регулирующий применение средств защиты корпоративных данных и разграничение прав доступа к ним, — корпоративная политика ИБ, напоминает Колесников: «Она должна определять, какими правами доступа и полномочиями действий в информационной системе должны обладать различные категории сотрудников, какие средства верификации личности должны применяться для каждой из этих категорий и так далее. Поэтому перед внедрением новинок в области аутентификации важно тщательно продумать иерархию прав пользователей и формализировать ее в виде отдельного документа, дополняющего общую политику ИБ».
Три года назад была утверждена новая версия закона об электронной подписи. Под его действие подпадают аутентификация и методом простых или одноразовых паролей (простая электронная подпись), и аутентификация через токены (усиленная квалифицированная и неквалифицированная электронная подпись), информирует Башлыков. В законодательстве описаны основные меры, которые необходимо предпринимать, чтобы обеспечить юридическую значимость такой аутентификации. Помимо этого, вопросы аутентификации решаются на уровне отдельных организаций: компании формируют политики безопасности, в них определяются требования к средствам аутентификации, регламенты их замены и т. д.
«Состояние нашей нормативной базы в части идентификации и аутентификации — это очень больной вопрос, — обеспокоен Сабанов. — Здесь мы отстаем от развитых стран минимум на 10 лет: выбор механизмов и средств идентификации и аутентификации сегодня отдан на откуп владельцам информационных систем. К сожалению, далеко не все понимают важность решения задач аутентификации и возможные способы корректного их решения. Возможно, толчком к развитию нормативной базы послужит обсуждаемая сегодня необходимость принятия федерального закона об идентификации и аутентификации».
Итак, аутентификация по паролю вполне может использоваться в системах, где требования к ее надежности не столь велики. Чтобы обеспечить более высокий уровень надежности аутентификации, есть другие, более хитрые и дорогостоящие средства. Очень важно, чтобы они были адекватны масштабам рисков и угроз, от которых они призваны защищать, поэтому выбор средств аутентификации необходимо проводить в тесном взаимодействии с бизнесом, опираясь на его видение рисков и отталкиваясь от его представлений о возможных потерях, — без этого никак.