Rozwiązania informatyczne coraz częściej wykorzystują szybki mobilny dostęp do aplikacji i chmury, a w przedsiębiorstwach rośnie liczba użytkowników uprzywilejowanych, o prawach wcześniej zarezerwowanych wyłącznie dla administratorów. Takie trendy jak Bring Your Own Device czy Internet rzeczy, a także rozmywanie się brzegu sieci (i coraz mniejsze znaczenie „zasieków na granicy”) sprawiają, że rośnie ranga zarządzania tożsamością, technik uwierzytelniania i szyfrowania obejmującego niemal każdy aspekt środowiska IT.

Informacje na temat lekkomyślnego postępowania użytkowników z hasłami są alarmujące (patrz: ramka na str. 40). Dlatego nie dziwi fakt, że zdecydowanej większości włamań do sieci dokonuje się za pomocą wykradzionych danych uwierzytelniających. Aby zapewnić większe bezpieczeństwo firmowych zasobów, można doradzać klientom stosowanie uwierzytelnienia wieloskładnikowego (Multi-Factor Authentication). Wybrane rozwiązanie powinno chronić dostęp do danych i aplikacji, a przy tym gwarantować prostotę logowania.

Wprowadzenie dwuskładnikowego uwierzytelniania (2FA) zwiększy bezpieczeństwo logowania i będzie chronić poufne dane nawet wtedy, gdy dane uwierzytelniające zostaną wykradzione (np. w wyniku zainfekowania złośliwym kodem) albo w inny sposób „wyciekną” z systemu informatycznego. Jeśli 2FA zostanie zastosowane do połączeń z firmowym VPN-em, systemem CRM czy udostępnianymi na zewnątrz usługami webowymi, będzie nie tylko chronić pracowników klienta, ale także użytkowników zewnętrznych, np. partnerów firmy (zwiększając tym samym zaufanie do niej).

W procesie dwuskładnikowego uwierzytelniania zwykle wykorzystywane jest coś, co osoba logująca się do sieci posiada. Często są to rozwiązania oparte na technice haseł jednorazowych (One-Time Password), ważnych wyłącznie podczas jednej sesji logowania i używanych wraz z podstawowym, statycznym hasłem. W powszechnym użyciu jest technika OTP bazująca na generowaniu SMS-ów z jednorazowym hasłem. Stosują ją np. banki i operatorzy różnych usług, w tym chmury obliczeniowej.

 

Na rynku jest wiele rozwiązań sprzętowych do tworzenia jednorazowych kodów – systemów z tokenami. Wygenerowanie kodu może być automatyczne, np. przy próbie logowania się do danej platformy, lub mechaniczne – użytkownik naciska specjalny przycisk lub wprowadza komendę w odpowiednim urządzeniu (tokeny USB). Oferowane są także urządzenia wyposażone w klawiaturę – tzw. kalkulatorki – wykorzystujące mechanizm challenge-response. Zarówno tokeny bez klawiatury, jak i challenge-response mogą mieć format karty płatniczej. Istnieją również rozwiązania z tokenami wirtualnymi, czyli programowymi. Instalowane najczęściej na urządzeniach mobilnych, mają podobne funkcje jak ich sprzętowe odpowiedniki, np. generują hasła jednorazowe.

Rozwiązania OTP pomagają pokonać największą słabość haseł statycznych, czyli możliwość powtórnego ich wykorzystania do ataku. Przestępca, który w jakiś sposób wejdzie w posiadanie jednorazowego hasła, nie zdoła wykorzystać go do ponownego zalogowania się do systemu. Niestety, nie jest to rozwiązanie doskonałe. Wykazano, że bywa podatne na ataki typu „man-in-the-middle”. Klientom, którzy wykorzystują OTP i muszą się zabezpieczyć przed zaawansowanymi technicznie atakami (dotyczy to np. banków), dostawcy oferują nowe generacje rozwiązań, zwiększające ochronę jednorazowych haseł przez analizę behawioralną, dodatkową weryfikację transakcji i „odcisk palca” (fingerprinting) urządzeń klienckich.

Banki i firmy, których systemy wymagają najsilniejszych zabezpieczeń, muszą szukać nowych sposobów ochrony klientów także z powodu zmiany ich zachowań, do jakiej doszło w ostatnich latach. Dawniej telefony były drugim narzędziem typu out-of-band (niezależnym od podstawowej formy komunikacji), bo logowanie do usług on-line odbywało się zwykle na komputerze. Obecnie dodatkowe uwierzytelnianie za pomocą kodu z SMS-a, wysyłanego na numer telefonu, przestaje należycie pełnić swoją rolę, gdyż to samo urządzenie jest wykorzystywane zarówno do pełnego uwierzytelniania, jak i do korzystania z usług. Szybki wzrost ilości złośliwego kodu tworzonego do urządzeń mobilnych i stosowanie coraz bardziej wyrafinowanych technik ataków sprawiają, że bezpieczeństwo takiego uwierzytelniania maleje.

Nieodpowiedzialni pracownicy

Jeśli chodzi o posługiwanie się hasłami, pracownicy potrafią się wykazać wyjątkową nieodpowiedzialnością. Beztrosko udostępniają je współpracownikom, używają tego samego hasła do wielu zastosowań, a nawet deklarują chęć ich sprzedaży (!), gdyby była taka okazja.

Oto zatrważające wnioski z ankiety „SailPoint Market Pulse Survey 2016” przeprowadzonej wśród tysiąca pracowników firm z Australii, Francji, Niemiec, Holandii, Wielkiej Brytanii i USA.

Większość badanych (65 proc.) przyznała się do wykorzystywania tego samego hasła do wielu aplikacji, a jedna trzecia do współużytkowania ich z kolegami.  Pracodawców może napawać przerażeniem informacja, że co piąty pracownik jest skłonny sprzedać swoje hasła (w ubiegłorocznym badaniu co siódmy). Wśród chętnych do takiej „transakcji” 44 proc. zrobiłoby to za mniej niż 1 tys. dol. Bardzo niepokojące jest także to, że ponad 40 proc. respondentów ankiety przyznało się do posiadania dostępu do firmowych kont po rozstaniu się z pracodawcą.

Do problemów z hasłami dochodzi sprawa tzw. Shadow IT. Jeden na trzech pracowników mówi, że wykupił aplikację w modelu SaaS bez wiedzy działu IT (wzrost o 55 proc. w stosunku do wyników z ubiegłorocznego badania). Z kolei ponad jedna czwarta (26 proc.) przesyła poufne dane do chmury z zamiarem korzystania z nich poza firmową siecią.

 
Biometria coraz popularniejsza

Skutecznym zabezpieczeniem przed niepowołanym dostępem mogą być rozwiązania biometryczne, które od chwili powstania wydawały się najlepszym sposobem na kłopoty z hasłami. Ich zastosowanie rozwiązuje problem zarządzania danymi uwierzytelniającymi, które jest zarówno kosztowne, jak i czasochłonne. Zwalniają użytkowników z konieczności pamiętania wielu haseł, które – jeśli mają skutecznie chronić – powinny być przecież skomplikowane. Dostęp do danych może zabezpieczać wygodny w użyciu biometryczny system pojedynczego logowania (Single Sign-On). Przez lata jednak rozwiązania biometryczne, np. czytniki linii papilarnych, systemy rozpoznające geometrię dłoni, brzmienie głosu czy tęczówkę oka, nie zyskiwały popularności z powodu wysokiej ceny oraz niedoskonałości technicznej.

Wygląda na to, że czasy biometrii w końcu nastały, gdyż coraz większe zainteresowanie tego typu rozwiązaniami wyraża zarówno sektor prywatny, jak i publiczny. Najwięksi producenci branży IT, wśród nich Apple, Intel i Microsoft, stosują rozwiązania biometryczne w swoich urządzeniach. Szybki postęp w tej dziedzinie powoduje, że powstaje także wiele start-upów chcących dostarczać bezpieczne i wygodne w użyciu – a przede wszystkim nowatorskie – zabezpieczenia oparte na rozpoznawaniu cech biometrycznych. VAR, który stworzy własne oprogramowanie lub wykorzysta gotowe, może je oferować klientom wraz ze specjalizowanym sprzętem biometrycznym. Wartość dodana dotyczyć będzie usług, które mogą objąć: dostosowywanie rozwiązania do specyficznych potrzeb klienta, integrowanie, wdrożenie, szkolenie oraz doradztwo dotyczące rozwijania systemu.

Do obserwowanego obecnie upowszechniania się tego typu zabezpieczeń w dużej mierze przyczyniają się urządzenia przenośne, za pomocą których uwierzytelnienia można dokonać w dowolnym miejscu. Służy do tego czytnik wbudowany w urządzenie bądź dołączany przez USB albo bezprzewodowo.

Zastosowanie czytników z rozwiązaniem biometrycznym w urządzeniach mobilnych przyczynia się do szerszego wykorzystania tej metody w autoryzacji dostępu do chmury obliczeniowej. Przechowywanie danych biometrycznych w chmurze, a nie w konkretnym urządzeniu, przyspiesza proces uwierzytelniania i stanowi dodatkowe zabezpieczenie.

Mariusz Stawowski

dyrektor Działu Technicznego, Clico

Stosowanie w firmie kryptograficznych zabezpieczeń danych, oprócz niewątpliwych korzyści, niesie także zagrożenia. Na przykład klucze szyfrowania mogą zostać zgubione lub świadomie zniszczone przez pracowników albo dostać się w niepowołane ręce, a niekompatybilność różnych narzędzi szyfrowania spowodować utratę dostępu do danych.

By uniknąć tych problemów, trzeba wprowadzić jeden standard kryptograficznej ochrony danych oraz wdrożyć adekwatne do potrzeb przedsiębiorstwa spójne i całościowe rozwiązanie szyfrujące.

 

Nie brakuje jednak sceptyków wątpiących w skuteczność uwierzytelniania opartego wyłącznie na jednej metodzie rozpoznawania unikalnych cech człowieka. Uzasadniają swą opinię, wskazując ograniczenia: brak efektywnego odsiewania zakłóceń oraz 100-proc. dokładności rozpoznania i uniwersalności, co zwiększa niebezpieczeństwo podszycia się pod osobę uprawnioną. Rozwiązaniem tego problemu jest zastosowanie uwierzytelniania opartego na kilku cechach jednocześnie.

 

Szyfrowanie przestaje być luksusem

Narastające problemy z zapewnieniem bezpieczeństwa poufnym informacjom sprawiły, że szyfrowanie zasobów stało się koniecznością. Chronione w ten sposób dane są niedostępne dla osób nieposiadających klucza/hasła. Szyfrowanie może obejmować zapisane dane i dotyczyć całych dysków (zarówno wewnętrznych pamięci masowych, jak i nośników zewnętrznych) lub tylko folderów czy plików. Można je zastosować do baz danych, zarówno strukturalnych, jak i nieustrukturalizowanych.

Za pomocą szyfrowania chroni się także przesyłane dane. Mogą służyć do tego sieci VPN w zdalnej komunikacji, protokół SSL (Secured Sockets Layer) w wykorzystujących przeglądarkę połączeniach z serwerami webowymi, SSH (Secure Shell) w zastosowaniach terminalowych i przesyłaniu plików czy WPA/WPA2 w komunikacji bezprzewodowej. Przedmiotem szyfrowania może być cała komunikacja sieciowa lub wybrane aplikacje, takie jak np. poczta elektroniczna. Zaletą tego ostatniego zastosowania jest to, że nawet jeśli e-mail z wrażliwymi danymi zostanie przez pomyłkę wysłany do niewłaściwej osoby, nie będzie ona w stanie odczytać chronionych treści.

Dane mogą być zabezpieczane przez szyfrowanie oparte na układach sprzętowych lub wykorzystujące oprogramowanie. W tym pierwszym przypadku procesy enkrypcji i dekrypcji są dokonywane przez specjalny, przeznaczony do tych zadań procesor w urządzeniu szyfrującym. W przypadku programowego szyfrowania do zabezpieczania angażowane są współużytkowane zasoby sprzętowe. To oczywiście sprawia, że szyfrowanie sprzętowe jest procesem szybszym, a przechowywanie kluczy szyfrujących w wydzielonej i niedostępnej pamięci, czyni je także bezpieczniejszym.

 Wdrożenie szyfrowania na urządzeniach mobilnych, firmowych serwerach, komputerach znacząco ogranicza możliwość utraty wrażliwych danych w wyniku ataku z wykorzystaniem malware, utraty sprzętu czy nieautoryzowanego dostępu. Ponieważ ta metoda zabezpieczania informacji staje się wszechobecna (jest wbudowywana w aplikacje i elementy infrastruktury), to powstaje problem mnożenia się kluczy szyfrujących, którymi trzeba zarządzać. Posługiwanie się oddzielnymi kluczami szyfrowania do każdej aplikacji czy zasobu z pewnością nie jest rozwiązaniem optymalnym.

Jacek Starościc

prezes zarządu, Perceptus

Dwuskładnikowe uwierzytelnianie 2FA to znacznie pewniejszy sposób weryfikowania tożsamości użytkownika i ochrony jego danych niż pojedyncze hasło. Powinny z niego korzystać nie tylko duże firmy, ale także mniejsze. Często nie mają one bowiem polityki bezpieczeństwa i w związku z tym są bardziej narażone na ataki. Badania dowodzą, że przyczyną ponad trzech czwartych naruszeń bezpieczeństwa sieci są słabe hasła lub skradzione dane logowania. Dobrą ochroną jest w tym przypadku dwuskładnikowa autoryzacja, łącząca pewność zabezpieczeń, niską cenę oraz prostotę użycia tokenu sprzętowego lub aplikacyjnego.

 

Znacznie rozsądniejsze będzie zaproponowanie klientowi wdrożenia wspólnej platformy zarządzania nimi. Tworzy ona programową infrastrukturę ochrony danych, służącą do wydawania cyfrowych certyfikatów i kluczy szyfrujących przeznaczonych dla osób, oprogramowania, sprzętu (takiego jak serwery czy urządzenia mobilne) oraz systemów. Pozwala także zarządzać nimi w całym cyklu życia. Platforma taka powinna być kompatybilna z powszechnie dziś wykorzystywanymi różnymi rodzajami urządzeń końcowych oraz być łatwa w obsłudze.

Do obsługi szyfrowania w systemach bezpiecznego obiegu informacji można wykorzystać sprzętowe moduły kryptograficzne (Hardware Security Module) – w formie zewnętrznych urządzeń sieciowych lub specjalnych kart PCI. Urządzenia HSM zapewniają sprzętową ochronę poufnych danych (w tym certyfikatów, kluczy podpisu, kluczy szyfrujących). Umożliwiają tworzenie i zarządzanie tysiącami kluczy kryptograficznych, używanych do zabezpieczania wielu aplikacji i serwerów baz danych. Służą do szyfrowania danych w procesach i transakcjach biznesowych, zabezpieczania dokumentów elektronicznych w urzędach i instytucjach, zarządzania kluczami dostępu itp. Przy użyciu HSM można tworzyć „strefę bezpieczeństwa” także w środowiskach, do których nie ma się bezpośredniego dostępu, takich jak zewnętrzne centra danych. Takie rozwiązanie zapewni klientowi spokój, bo wszystkie operacje przeprowadzane przez użytkowników i administratorów urządzenia są zapisywane w logach audytowych, a próby nieautoryzowanej manipulacji w modułach HSM kończą się zniszczeniem poufnych danych.

 

Właściwa ochrona Internetu Rzeczy

Im więcej połączonych rozmaitych urządzeń, tym więcej wektorów ataku. I nie trzeba nawet przywoływać obrazu samochodu, nad którym w czasie jazdy napastnik przejmie kontrolę, czy „zhakowanych” pomp insulinowych lub urządzeń wspomagających pracę serca, by stwierdzić, że sprawa jest bardzo poważna. W ostatnim raporcie CERT Orange pojawiły się informacje o wzroście liczby ataków związanych z Internetem rzeczy. Choć urządzenia połączone z siecią to potencjalne cele ataku, niestety podczas ich projektowania kwestiom bezpieczeństwa nie poświęca się należytej uwagi. „Jeśli nawet lodówce, pralce czy inteligentnej żarówce nie da się zrobić wielkiej krzywdy, to zawsze mogą służyć jako urządzenia zombie, wzmacniające siłę ataku botnetu” – czytamy w raporcie operatora.

W miarę przybywania urządzeń połączonych ze sobą przez Internet of Things ich uwierzytelnianie i szyfrowana komunikacja będą miały coraz większe znaczenie. Kompetencje i rozwiązania w zakresie ochrony instalacji IoT staną się częścią bardzo perspektywicznego biznesu na rynku bezpieczeństwa w najbliższych latach. Integrator, który zadba o swój rozwój w tym obszarze, będzie mógł liczyć na satysfakcjonujący zwrot z poczynionych inwestycji.