Ostatnie lata przyniosły znaczny wzrost incydentów związanych z kradzieżą tożsamości. Hakerzy umiejętnie wykorzystują luki w oprogramowaniu, architekturze systemów operacyjnych i mechanizmach uwierzytelniania. Według „Verizon Data Breach Investigations Report 2020” ponad 80 proc. włamań do sieci jest realizowanych przy pomocy skradzionych haseł. Autorzy publikacji ostrzegają, że ze względu na liczne oszustwa związane z COVID-19 oraz lawinowy przyrost zdalnych pracowników, na koniec roku ten wskaźnik może jeszcze wzrosnąć. Szczególnie zdalni pracownicy są, rzecz jasna, postrzegani przez hakerów jako nowe punkty dostępu do firmowej sieci.

Jednak prawda jest taka, że również przed epidemią cybeprzestępcy bez nadmiernego trudu zdobywali zbyt słabo chronione dane uwierzytelniające. Rok temu firma Positive Technologies przeprowadziła test, w którym zleciła wynajętym hakerom przejęcie kontroli nad infrastrukturą teleinformatyczną określonych przedsiębiorstw. Pentesterzy wykonali swoje zadanie w 100 proc. Zazwyczaj potrzebowali około trzech dni na pokonanie zabezpieczeń, a w jednym przypadku wystarczyło zaledwie 10 minut. Zleceniodawcy testu informują, że aż w 61 proc. firm znaleźli łatwy sposób na przejęcie uprawnień administratora.

Positive Technologies zwraca przy tym uwagę na inny poważny problem, jakim jest wykrycie aktywności hakera w sieci. Niemal połowa czynności przeprowadzonych przez pentesterów nie została zauważona, bowiem wykonywane przez nich operacje wtapiały się w zadania realizowane przez użytkowników bądź administratorów (przeciętny atak, mający na celu zdobycie przywilejów admina, składał się z sześciu etapów). Działania te polegały między innymi na tworzeniu nowych uprzywilejowanych użytkowników na hostach sieciowych, eksportowaniu gałęzi rejestru i wysyłaniu żądań do kontrolera domeny.

Pożegnanie z hasłami

Dostawcy systemów bezpieczeństwa poszukują różnych rozwiązań, których celem jest ograniczenie do minimum ryzyka kradzieży danych uwierzytelniających. W tym kontekście eksperci Cisco przedstawili cztery trendy, które pozwalają spojrzeć na kwestie bezpieczeństwa w realiach nowej normalności. Jeden z nich zakłada… rezygnację ze stosowania haseł. Zdaniem przedstawicieli koncernu z San Jose tradycyjne hasła nie mają przyszłości, a zastąpią je zabezpieczenia biometryczne, udzielające dostępu do urządzenia czy aplikacji na podstawie zapisu linii papilarnych, ewentualnie obrazu twarzy czy tęczówki. Zwolennicy tego modelu duże nadzieje pokładają w standardzie FIDO2, który umożliwia uwierzytelnianie bez hasła przy użyciu wewnętrznych lub powiązanych systemów uwierzytelniania, w tym biometrii, albo urządzeń zewnętrznych (kluczy zabezpieczających, smartfonów, smart-watchy). Nie ulega wątpliwości, że jest to krok w odpowiednim kierunku, bowiem tradycyjne hasła często zawodzą, za co należy winić głównie ich użytkowników.

Ciekawe dane na ten temat przynosi analiza sporządzona przez studentów Wydziału Inżynierii Komputerowej Uniwersytetu Cypryjskiego. Młodzi badacze wzięli pod lupę ponad miliard kombinacji loginów oraz haseł, które wyciekły w wyniku różnego rodzaju naruszeń. W puli znalazło się niemal 169 milionów haseł oraz 393 miliony loginów, co oznacza, że bardzo lubią się one powtarzać. Oczywiście najpopularniejszym hasłem pozostaje nieśmiertelne „123456”, które pojawiło się 7 milionów razy. I choć powinno to dać nam wszystkim do myślenia, to siła przyzwyczajenia jest na tyle duża, że przedsiębiorcy jeszcze na długo pozostaną przy tradycyjnych sposobach uwierzytelniania. Tego zdania jest spory odsetek ekspertów ds. bezpieczeństwa.

– Popularność zabezpieczania za pomocą haseł cieszy się dużą popularnością i jak na razie nie zapowiada się, aby cokolwiek w tym zakresie miało ulec zmianie. Wprawdzie biometria jest świetną alternatywą dla tradycyjnych metod, ale od dłuższego czasu nie może ich zastąpić. Na pewno krokiem naprzód jest upowszechnienie biometrii w smartfonach. Proces ten postępuje, ale nawet FIDO2, pomimo swoich niewątpliwych zalet, będzie uzupełniać hasła, a nie je wypierać – tłumaczy Tomasz Fidera, IT Security Analyst w Netology.

Zero zaufania

Koncepcja Zero Trust, którą Cisco wymienia wśród czterech najważniejszych trendów w nowym świecie cyberbezpieczeństwa, jest niemal tak samo odważna jak rezygnacja z tradycyjnych haseł. W ostatnich miesiącach to jeden z najgorętszych tematów w branży nowych technologii. Polityka Zero Trust zakłada, że żaden użytkownik nie może uzyskać dostępu do firmowych zasobów, dopóki nie zostanie potwierdzona jego tożsamość. To bardzo ambitny cel, który wymaga od działów IT autoryzacji każdej próby dostępu. Poza tym samo przejście od tradycyjnej architektury bezpieczeństwa IT, budowanej w pewnym stopniu w oparciu o zaufanie do urządzeń i osób, w kierunku modelu, w którym nie ufamy nikomu, wymaga nie tylko nowych narzędzi, ale również innego sposobu myślenia.

Wiele projektów zabezpieczeń sieci bazuje na filozofii „zamku i fosy”. Wszystko, co znajduje się poza obwodem uważa się za wrogie, a rola firewalli, UTM-ów czy dostępu VPN polega na wzmocnieniu brzegu sieci. Natomiast wewnętrzne urządzenia podłączone do sieci oraz ich użytkownicy obdarzeni są na ogół zaufaniem. Jednak wraz z rosnącą liczbą udanych cyberataków, wiele osób w branży przekonało się, że przychodzi czas na zmianę paradygmatu bezpieczeństwa. Dodatkowym czynnikiem, który zachęca do zmiany strategii jest rosnące wykorzystanie chmury publicznej. Kiedy coraz więcej aplikacji, danych oraz usług zaczęło migrować do AWS-a czy Microsoft Azure, administratorzy bezpieczeństwa zorientowali się, że przepływy sieciowe nie przechodzą już tylko przez sieć korporacyjną, więc narzędzia zabezpieczające brzeg sieci stają się mniej skuteczne.

Wokół nowych trendów narasta wiele mitów. Marketerzy promujący politykę Zero Trust zapewniają, że sprawdzi się ona w każdym środowisku, niezależnie od stosowanego sprzętu oraz aplikacji. Jednak wdrożenie tego modelu jest łatwe tylko w tych przedsiębiorstwach, które dysponują nowoczesnymi rozwiązaniami sieciowymi. Ponadto wprowadzeniu Zero Trust nie sprzyjają popularne protokoły, takie jak P2P oraz Mesh. Drugi mit głosi, że koncepcja ta w żaden sposób nie dezorganizuje pracy firmy czy instytucji. A jednak, jeśli zrobi się to w nieudolny sposób, może ona przynieść de facto więcej kłopotów niż korzyści.

Pod znakiem 2FA

Niektóre przedsiębiorstwa rozpoczynają swoją drogę do Zero Trust od wdrażania uwierzytelniania dwuskładnikowego (2FA). W myśl tej koncepcji użytkownik, aby uzyskać dostęp do zasobów musi w pierwszej kolejności wprowadzić login i hasło, a następnie w celu potwierdzenia poświadczeń użyć tokena. Czasami administratorzy stosują dodatkowe zabezpieczenia, chociażby czas wymagany na autoryzację lub zezwolenie na logowanie z określonych lokalizacji. W teorii istnieje możliwość zwiększania liczby składników uwierzytelniania, aczkolwiek wiąże się to z dodatkowymi kosztami, co  może zniechęcić użytkowników do stosowania tego rozwiązania.

– Wiele wskazuje na to, że firmy pozostaną przy 2FA, żeby niepotrzebnie nie komplikować procesów kontroli dostępu. Wyjątkiem mogą być służby specjalne czy wojsko oraz inne instytucje wymagające wyższego poziomu zabezpieczeń. Natomiast przyszłość należy do aplikacji mobilnych, które będą wypierać inne metody uwierzytelniania wieloskładnikowego – prognozuje IT Security Analyst w Netology.

I owszem, apki znajdują coraz szersze zastosowanie w uwierzytelnianiu dwuskładnikowym, niemniej warto odnotować, że w ostatnim czasie pojawiły się dodatkowe metody poświadczeń – push, kody QR czy biometria. Wydaje się również, że wśród małych i średnich przedsiębiorstw z coraz większą akceptacją zacznie spotykać się uwierzytelnianie wieloskładnikowe (MFA). Proces ten zresztą już się rozpoczął.

– Bariera obecności MFA w sektorze MŚP została przełamana. Ten dodatkowy składnik uwierzytelnienia jest funkcją systemu ochrony firewall (NGFW). W tym przypadku administrator rejestruje token sprzętowy lub mobilny w urządzeniu, przypisuje go użytkownikowi i proces można uznać za zakończony. Tam, gdzie wymagane są dodatkowe poświadczenia użytkownik zostanie o nie zapytany i wykorzysta jedną z dostępnych metod. MFA stało się proste, zarówno z punktu widzenia administracyjnego, jak i użytkowego – podkreśla Sebastian Mazurczyk, Senior System Engineer w Veracompie.

Blockchain a uwierzytelnianie  

 

Technologia blockchain wypełnia brakujący element ewolucji internetu. Tym składnikiem jest relacja zaufania pomiędzy stronami, a to czyni tę technologię novum w obszarze bezpieczeństwa. Samo uwierzytelnienie relacji, stanowiące podstawowy cel zastosowania blockchaina, nie ogranicza się wyłącznie do tego obszaru. Na horyzoncie pojawia się uwierzytelnianie danych, choć w tym obszarze umocniły się już alternatywne i dobrze znane technologie. Tak czy inaczej można powiedzieć, że w architekturze sieci pojawiają się nowe komponenty, które w sposób niezaprzeczalny pozwalają na zbudowanie relacji zaufania pomiędzy stronami, w rezultacie wiarygodności wymienianych danych.

blockchain-uwierzytelnianie-srodek

  

Klucze do królestwa

Liczne naruszenia danych, które stały się problemem nie tylko dla mniejszych firm, ale również globalnych koncernów, a także rozwój pracy grupowej, skutkujący współdzieleniem systemów i aplikacji, wymuszają na działach IT zmianę sposobu myślenia o bezpieczeństwie, a tym samym stosowania nowych narzędzi. Wydaje się niemal pewne, że beneficjentami nowego ładu powinni być dostawcy systemów zarządzania tożsamością IAM (Identity and Access Management) oraz PAM (Privileged Access Management). Pierwsze służą do zarządzania dostępem użytkowników do zasobów informatycznych, takich jak aplikacje, bazy danych, zasoby pamięci masowej i sieci. Zadaniem PAM jest zarządzanie kontami uprzywilejowanymi należącymi do administratorów IT, informatyków oraz serwisantów. Oprogramowanie tego typu wspomaga monitorowanie i zarządzanie kontami o specjalnych uprawnieniach Umożliwia też nadzór nad sesjami uprzywilejowanymi. Coraz częściej wykorzystywaną opcją jest PAM just-in-time, która pozwala nadawać uprawnienia tylko wtedy, gdy zaistnieje taka potrzeba, na dodatek w ściśle ograniczonym przedziale czasu. Znamienne, że w ubiegłym roku Gartner zamieścił oprogramowanie PAM na liście dziesięciu najważniejszych projektów w zakresie cyberbezpieczeństwa. Mamy więc do czynienia z kamieniem milowym w historii tego rodzaju rozwiązań.

– Jeśli nie korzystasz z narzędzi do zarządzania uprzywilejowanym dostępem, nadszedł czas, aby to zrobić. Złoczyńcy ścigają uprzywilejowanych użytkowników, bo oni mają dostęp do wrażliwych danych – mówi David Mahdi, Senior Research Director w Gartnerze.

W Polsce systemy PAM są bardzo często stosowane w dużych instytucjach. W  mniejszych firmach spotyka się je bardzo rzadko. Wynika to ze struktury administracyjnej mniejszych podmiotów i złożonej implementacji rozwiązań PrivilegedAccess Management. Ponadto do obsługi takich systemów trzeba oddelegować wykwalifikowanego pracownika. Nie zmienia to faktu, że rodzime firmy zaczynają coraz poważniej myśleć o kwestiach związanych z zarządzeniem tożsamością oraz kontrolą dostępu. Specjaliści sygnalizują pozytywne zmiany w postawach wśród użytkowników oraz integratorów. Ci ostatni myślą bardziej kompleksowo i zamiast przedstawiać klientowi pojedyncze rozwiązanie wskazanego producenta, zaczęli koncentrować się na prezentacji planu podniesienia bezpieczeństwa w określonych obszarach. I ten sposób wydaje się, na ten moment, najbardziej skuteczny i godny polecenia.

Zdaniem specjalisty

Sebastian Mazurczyk, Senior System Engineer, Veracomp Sebastian Mazurczyk, Senior System Engineer, Veracomp  

Polityki dostępu nie dotyczą już tylko samych użytkowników. Precyzyjna kontrola musi obejmować również urządzenia i aplikacje, ponieważ te odgrywają równie ważną rolę w przetwarzaniu danych. Proces implementacji tego typu mechanizmów składa się z kilku etapów. Trzeba określić i zdefiniować zasoby, które będą podlegały kontroli, czyli użytkowników, aplikacje i urządzenia, a następnie zastosować narzędzia, które będą integrowały się z istniejącymi systemami i umożliwiały określenie mniej lub bardziej szczegółowych polityk. Na przestrzeni ostatnich lat tego typu mechanizmy stały się jednym z podstawowych punktów zainteresowania większych firm i organizacji, które coraz bardziej koncentrują się na zabezpieczeniu zasobów o strategicznym i biznesowym znaczeniu dla przedsiębiorstwa. W mniejszych firmach proces ten postępuje znacznie wolniej.

  
Paweł Rybczyk, Senior Territory Sales ManagerCEE & CIS, Wallix Paweł Rybczyk, Senior Territory Sales ManagerCEE & CIS, Wallix  

Mobilne aplikacje mogą zastąpić sprzętowe tokeny przede wszystkim ze względu na dużą wygodę. Token to kolejny przedmiot, który użytkownik musi mieć przy sobie i o nim pamiętać. Dlatego szybko rozwija się uwierzytelnianie wykorzystujące czynniki biometryczne. Nowoczesne smartfony już posiadają funkcje rozpoznawania twarzy czy linii papilarnych użytkownika. Dlatego wydaje się, że przyszłość należy do tokenów programowych i biometrii. Osobną kwestią jest wykorzystanie tego typu rozwiązań w biznesie. O ile duże firmy już ich używają, o tyle małe i średnie pozostają pod tym względem w tyle. Niemniej również w ich przypadku obserwujemy trend wzrostowy. Może go przyspieszyć MFA oferowane w modelu as a service. Administrator skupia się na określeniu dostępów dla użytkowników i metod uwierzytelniania, platformę zaś utrzymuje usługodawca.