W ostatnich tygodniach Uber, Rockstar Games i Revolut dołączyli do listy tegorocznych ofiar hakerów, obok takich tuzów technologicznych, jak Nvidia czy Okta. Jak to się dzieje, że nawet twórcy technologicznych innowacji dają się przechytrzyć hakerom? Eksperci od cyberbezpieczeństwa twierdzą, że to wina zaniedbań, lekceważenia cyberprzestępców, a także przywiązania do narzędzi bezpieczeństwa, których funkcjonalność ma się nijak do obecnych czasów. 

Obecnie pracownicy korzystają z rozmaitych urządzeń, łączą się z różnych miejsc z zasobami korporacyjnymi. W związku z tym poleganie wyłącznie na ochronie każdego urządzenia i konta, które może łączyć się z systemami firmy, jest nie tylko trudne, ale często katastrofalne, ponieważ atakujący przechodząc przez jedne drzwi zyskują dostęp do całego „królestwa”.

Dlatego coraz częściej wspomina się o stosowaniu zasady Zero Trust, opartej na przekonaniu, że każdy użytkownik, urządzenie oraz adres IP uzyskujący dostęp do zasobów stanowi zagrożenie dla bezpieczeństwa firmowej sieci i danych. Dopóki nie udowodni, że jest inaczej.

– Sam fakt, że ktoś przebywa w budynku, nie upoważnia go do tego, aby mieć dostęp do ważnych rzeczy i miejsc, które się w nim znajdują – obrazowo mówi Anshu Sharma, CEO Skyflow, startupu zajmującego się projektowaniem systemów bezpieczeństwa IT.

Liczne przykłady pokazują, że cyberprzestępcy mogą uderzyć z dowolnego miejsca, a napastnicy wcale nie muszą być wytrawnymi hakerami, aby osiągnąć zamierzony przez siebie cel. W Darknecie za niezbyt wygórowane sumy można znaleźć narzędzia służące do przeprowadzania różnego rodzaju ataków, w tym także ransomware. Nie bez przyczyny niektórzy przedsiębiorcy zaczynają powątpiewać w skuteczność stosowanych od lat technologii i rozwiązań. Nowym batem na hakerów ma być właśnie koncepcja Zero Trust. Przyjęcie takiej linii obrony wymaga zmiany wielu wielu warstw zabezpieczeń.

Jedną z kluczowych kwestii jest dodanie uwierzytelniania wieloskładnikowego na kontach firmowych oraz ograniczenie do niezbędnego minimum użytkownikom oraz systemom dostępu do zasobów i infrastruktury. Dobrym pomysłem jest również umieszczenie najbardziej wrażliwych danych w jednym miejscu, zamiast rozrzucać je po różnych bazach danych firm. Tyle teoria, a jak wygląda to w praktyce?

Częściową odpowiedź na to pytanie przynoszą wyniki badań przeprowadzonych wśród 185 amerykańskich firm przez TeleGeography. Wynika z nich, że 35 proc. respondentów wdrożyło w ubiegłym roku jeden lub więcej elementów zabezpieczeń typu Zero Trust (ZTS) i Secure Access Service Edge (SASE) w 2021 r. Co ciekawe, blisko 100 proc. ankietowanych, którzy przyjęli ZTS, zastosowało uwierzytelnianie wieloskładnikowe MFA (Multi-Factor Authentication). Poza tym uczestnicy badania wymieniali regułę pojedynczego logowania (single sign-on), zasady dostępu zdalnego użytkowników i urządzeń oraz zarządzanie dostępem uprzywilejowanym. Natomiast znikomy odsetek badanych wykorzystywał oprogramowanie do analizy zachowania użytkowników.

Zdaniem analityków TeleGeography do postępującej adaptacji modelu Zero Trust w znacznym stopniu przyczynił się wzrost liczby zdalnych pracowników. Warto też zauważyć, że wśród decydentów rośnie świadomość odnośnie do nowej koncepcji bezpieczeństwa. O ile w 2019 r. zasady Zero Trust znało zaledwie 8 proc. badanych, o tyle w roku ubiegłym ten wskaźnik wyniósł już 20 proc.

Mali ufają bardziej

Jednym z rozwiązań wspierających administratorów w realizacji zadań związanych z weryfikacją tożsamości jest uwierzytelnianie wieloskładnikowe. Według większości specjalistów systemy MFA powinny stanowić nieodzowny element rozwiązań bezpieczeństwa IT. Uwierzytelnianie wieloskładnikowe wymusza na użytkowniku, który chce dostać się do strzeżonych zasobów, co najmniej dwuetapową weryfikację (2FA). Nie wystarczy samo podanie hasła i loginu. W przypadku bardzo zaawansowanych systemów elementów weryfikacji może być znacznie więcej niż dwa.

MFA stanowi dodatkowe zabezpieczenie kont użytkowników. Takie rozwiązanie daje niemal 100-procentową pewność, że każdy, kto uzyskuje dostęp do informacji firmy i loguje się do jej systemów, jest naprawdę tym, za kogo się podaje. W ten sposób w dużym stopniu minimalizujemy ryzyko włamania niepowołanych osób do uprzywilejowanych kont. Jednak należy podkreślić, że odnotowano już przypadki, kiedy hakerzy potrafili oszukać system MFA.

Adaptacja MFA w większych firmach oraz instytucjach postępuje stosunkowo szybko, czego nie można powiedzieć o segmencie MŚP. Jak wynika z raportu Cyber Readiness, sporządzonego na podstawie badań przeprowadzonych wśród małych i średnich firm z Ameryki Północnej, Australii, Azji oraz Europy, zaledwie 28 proc. respondentów wymaga stosowania MFA na swoim oprogramowaniu, sprzęcie i urządzeniach sieciowych.

– Wśród małych i średnich firm 2FA jest bardzo rzadko spotykanym rozwiązaniem. Myślę, że na polskim rynku z uwierzytelniania wieloskładnikowego korzysta z niego mniej niż jedna czwarta. Co nie zmienia faktu, że administratorzy bardzo pozytywnie reagują na 2FA, gdyż używają go w życiu prywatnym. Inaczej wygląda to w przypadku dużych przedsiębiorstw, gdzie tego rodzaju zabezpieczenia są stosowane znacznie częściej niż w segmencie MŚP – tłumaczy Kamil Budak, Product Manager Senhasegura w Dagmie.

Nie ulega wątpliwości, że upowszechnienie się MFA na rynku konsumenckim sprzyja adaptacji MFA w małych i średnich firmach. Szefowie chętniej wydadzą pieniądze na coś, co nie jest dla nich czarną magią, ale zwykłą czynnością wykonywaną przynajmniej kilka razy w tygodniu.

Natomiast z punktu widzenia rodzaju aplikacji oraz kont wymagających uwierzytelniania wieloskładnikowego, na szczycie listy Cyber Readiness znalazły się bazy danych (45 proc.), a następnie oprogramowanie finansowo-księgowe i HR. Inne usługi wymagające pomocy MFA obejmowały konta w mediach społecznościowych, programy do obsługi poczty e-mail i kalendarzy, jak też aplikacje zwiększające wydajność oraz zdalny dostęp.

Użytkownicy mogą korzystać z różnych metod MFA. Firmy biorące udział w badaniu Cyber Readiness najczęściej wymieniały: powiadomienia push na telefon lub alternatywny adres mejlowy (29 proc.), jednorazowe hasła (28 proc.),urządzenia bazujące na tokenie (15 proc.), automatycznie generowane kody (12 proc) czy biometrię (7 proc.).