Niemal co tydzień media donoszą o poważnych wyciekach danych. Jak dotąd, liderem niechlubnego rankingu jest Yahoo, które pozwoliło hakerom przejąć… 3 mld kont użytkowników. W pierwszej trójce znalazły się poza tym serwisy Adult Friend Finder oraz eBay, z których wyparowały dane dotyczące (odpowiednio) 412 mln oraz 145 mln kont internautów. O ile pierwsza pozycja zestawienia wydaje się być raczej niezagrożona, o tyle dwaj pozostali usługodawcy mają duże szanse, aby w miarę szybko opuścić swoje wyjątkowo wstydliwe miejsca. Ryzyko wycieku danych w najbliższych latach będzie rosło za sprawą cyfrowej transformacji, upowszechniania się usług chmurowych oraz coraz większej liczby pracowników z dostępem do istotnych informacji firmowych.

Według raportu IBM Security w 2017 r. na całym świecie wyciekło ponad 2,9 mld rekordów – niemal 25 proc. mniej niż rok wcześniej. Statystyka na pierwszy rzut oka wygląda dość obiecująco, niemniej jednak jej autorzy podkreślają, że spadek jest rezultatem przedefiniowania strategii hakerów, którzy mocniej skoncentrowali się na atakach ransomware. Wspólny element większości skomplikowanych cyberataków stanowi zdobycie przez przestępców danych uwierzytelniających do kont użytkowników uprzywilejowanych. Potwierdzają to wyniki sondażu przeprowadzonego w 2017 r. przez firmę Thycotic, w którym 31 proc. hakerów wskazało konta uprzywilejowane jako najszybszy i najłatwiejszy dostęp do wrażliwych danych. Na drugim miejscu respondenci wymieniali konta e-mail (27 proc.), a na trzecim komputery (21 proc.). Natomiast według analizy Forrestera ok. 80 proc. incydentów kradzieży informacji odbywa się za pomocą przejęć kont pracowników.

 

Ważna linia obrony

Człowiek od lat jest najsłabszym elementem systemu bezpieczeństwa. Mimo wielu akcji edukacyjnych ludzie wciąż popełniają te same błędy. Niestety, w dużej społeczności zawsze znajdzie się osoba, która coś zlekceważy, zapomni lub przeoczy. Co gorsza, przechwycenie jednego rekordu pracownika może spowodować efekt domina i doprowadzić do wycieku milionów profili gromadzonych w firmowych bazach danych. Systemy uwierzytelnienia tworzą pierwszą linię obrony przed niefrasobliwymi lub celowo działającymi na szkodę przedsiębiorstw pracownikami. Jednak firmy stosunkowo rzadko sięgają po tego typu rozwiązania. Istnieje liczne grupa przedsiębiorców kompletnie niezainteresowanych uwierzytelnianiem.

Twierdzą, że nie potrzebują tego typu produktów – mówi Marta Zborowska, Sales Director w Connect Distribution.|

Jarosław Eitelthaler
Product Manager Entrust Datacard, Veracomp

Systemy uwierzytelniania powinny być skalowalne, bo wdraża się je nie tylko w dużych przedsiębiorstwach, ale także w niewielkich biurach – najmniejsze mogą obsłużyć 25 użytkowników. To produkty łatwe we wdrożeniu i codziennym utrzymywaniu. Jednak modernizacja lub wymiana wiąże się zwykle z przemodelowaniem wewnętrznych procedur, co jest często największym hamulcem takich przedsięwzięć. Trzeba pamiętać, że instalacji systemów autentykacji, które nie są zbyt drogie, najczęściej nie uznaje się za samodzielny projekt informatyczny, tylko za zakupy przy okazji wymiany serwerów lub rozbudowy infrastruktury.

 

W jaki sposób do nich dotrzeć i zmienić ich sposób myślenia?

– Niektóre firmy poważnie traktują rekomendacje organizacji Center of Internet Security zalecającej uruchomienie weryfikacji dwuetapowej, czyli 2FA lub uwierzytelniania wieloskładnikowego, a więc MFA, w każdej aplikacji biznesowej. Najczęściej przedsiębiorstwa zaczynają od rozwiązań 2FA, które następnie aktualizują do MFA. Dopiero w kolejnych etapach rozważają wdrożenie systemów IAM oraz PAM – tłumaczy Marcin Gryga, IT Security Architect w netology.

Kluczową kwestą wydaje się dobór rozwiązania adekwatnego do potrzeb i możliwości finansowych potencjalnego nabywcy. W mniejszych firmach proces nadawania uprawnień i zarządzania tożsamością jest dość prosty i nie wymaga zastosowania specjalistycznych narzędzi.

– Klienci zamiast tokenów sprzętowych często wybierają aplikacje na smartfony. Dużą popularnością cieszą się też rozwiązania w chmurze, bowiem nie wymagają instalowania kolejnego urządzenia w firmowej serwerowni – utrzymuje Michał Jarski, VP EMEA w Wheel Systems.

Niemniej jednak skala trudności związanych z zarządzaniem tożsamością niewspółmiernie wzrasta w przypadku większych przedsiębiorstw. W sukurs przychodzą dostawcy systemów Identity & Access Management, które zapewniają podstawowe funkcje związane z dostępem użytkowników do zasobów informatycznych, takich jak aplikacje, bazy danych, zasoby pamięci masowej i sieci. Według MarketsandMarkets globalne przychody ze sprzedaży IAM w 2021 r. osiągną 14,8 mld dol. Dla porównania w 2016 r. przekroczyły nieznacznie 8 mld dol. Analitycy przewidują, że skumulowany roczny wskaźnik wzrostu w latach 2016–2021 wyniesie 13 proc.

Co różni PAM-y, PIM-y, SUPM-y i IAM-y?

PAM to skrót od Privileged Account Management (zarządzanie kontami uprzywilejowanymi). W fachowych publikacjach często można spotkać też pojęcie PIM, pochodzące od Privileged Identity Management, oznaczające zarządzanie uprzywilejowanymi tożsamościami. Pojęcia PAM oraz PIM stosowane są zamiennie. Specjalną grupę tworzą narzędzia SUPM (Superuser Privilege Management), czyli służące do zarządzania przywilejami superużytkowników. Klasycznym przykładem jest Sudo (Super User Do) – polecenie w systemie Linux oraz Unix, które umożliwia wywoływanie programów z uprawnieniami innych użytkowników, w szczególności administratora nazywanego rootem, bez znajomości haseł. W systemach Microsoft Windows występuje analogiczna komenda „run as”. Z kolei IAM (Identity & Access Management) to system do zarządzania tożsamością i dostępem użytkowników.

 

Eksperci od zabezpieczeń nie ukrywają, że wdrożenie IAM rozwiązuje tylko część problemów z zarządzaniem dostępem. Najbardziej łakomym kąskiem dla hakerów, co pokazują m.in. wyniki cytowanego wcześniej badania Thycotic, są użytkownicy mający uprzywilejowane prawa dostępu. Do tego ekskluzywnego grona wchodzą zazwyczaj administratorzy IT, informatycy oraz serwisanci. Ich wiedza, a także niemal nieograniczone możliwości w zakresie penetrowania sieci i pamięci masowych, mogą zagrażać bezpieczeństwu przedsiębiorstwa.

Receptą na zminimalizowanie ryzyka jest zainwestowanie w system Privileged Account Management. Oprogramowanie wspomaga monitorowanie i zarządzanie kontami o specjalnych uprawnieniach oraz umożliwia nadzór nad sesjami uprzywilejowanymi. Jeszcze do niedawna były to niszowe produkty – w 2016 r. przychody na globalnym rynku PAM nie przekroczyły miliarda dolarów. Ich przyszłość rysuje się jednak w jasnych barwach. Firma badawcza MarketsandMarkets prognozuje, że sprzedaż PAM w latach 2016–2021 będzie rosnąć w tempie 30 proc. rocznie. Ciekawe są też spostrzeżenia analityków Gartnera. Ich zdaniem do 2020 r. ponad połowa incydentów naruszających bezpieczeństwo usług IaaS oraz Paas będzie efektem braku rozwiązań PAM oraz odpowiedniej polityki bezpieczeństwa w zakresie użytkowników uprzywilejowanych.

 

Czego nie lubią hakerzy?

Dostawcy produktów do zarządzania tożsamością oraz zindywidualizowanym dostępem liczą, że polski rynek zacznie się bardziej otwierać na tego typu rozwiązania. Nadzieje opierają zwłaszcza na nowych ustawach (RODO, PCI DSS), a także na narastającej fali wycieków danych spowodowanych kradzieżą haseł.

– 62 proc. zgłoszonych naruszeń bezpieczeństwa to ataki na punkty końcowe. Kiedy ich zabezpieczenia zostaną pokonane, hakerzy mogą dostać się do uprzywilejowanych kont i zdobywać dodatkowe uprawnienia umożliwiające penetrowanie sieci i wykradzenie najważniejszych informacji firmowych – twierdzi Marta Zborowska.

W wielu przypadkach tradycyjne systemy bezpieczeństwa, takie jak firewalle i antywirusy, nie stanowią poważnej przeszkody dla cyberprzestępców pragnących uzyskać dostęp do najważniejszych danych. 43 proc. hakerów biorących udział w badaniu Thycotic uznało oprogramowanie antywirusowe oraz antymalware za najmniej efektywne i najłatwiejsze do sforsowania rodzaje zabezpieczeń. Z kolei 30 proc. palmę pierwszeństwa w tej niezbyt chwalebnej kategorii przyznało firewallom. Za najcięższe do przejścia przeszkody ankietowani uznali wielostopniowe uwierzytelnianie (38 proc.) oraz szyfrowanie (32 proc.).

Zdaniem integratora

Marcin Gryga, IT Security Architect w netology

Największą popularnością wśród produktów w naszej ofercie cieszą się rozwiązania PAM 2FA oraz MFA. Te dwa rodzaje systemów są obecnie stosunkowo popularne ze względu na wprowadzane przepisy. W mojej ocenie rozwiązania IAM, umożliwiające weryfikację uprawnień użytkownika w wielu systemach jednocześnie, będą kluczowym systemem w przyszłości nawet w średniej wielkości przedsiębiorstwach. Monitorowanie dostępu do poszczególnych aplikacji staje się obecnie zasadniczym czynnikiem umożliwiającym zmniejszenie ryzyka wycieku danych po włamaniu.

 

Rozwiązania do wielostopniowego uwierzytelniania cieszą się rosnącym zainteresowaniem użytkowników. Wartość tego segmentu rynku w 2016 r. wyniosła na świecie nieco ponad 5 mld dol., a w 2022 r. ma nieznacznie przekroczyć 12 mld dol. Oczywiście prym w tym zestawieniu wiedzie autoryzacja dwuskładnikowa, w której oprócz loginu należy podać także dodatkowy kod, np. otrzymany SMS-em. Jednak firmy zaczynają też stosować rozwiązania do wielopoziomowej weryfikacji tożsamości. W takim systemie zabezpieczeń po podaniu nazwy użytkownika i hasła wykorzystywane są inne narzędzia do identyfikacji – tokeny, urządzenia biometryczne, certyfikaty lub karty magnetyczne.

 

Pokaż swoją twarz

Mimo rozwoju nowych technologii użytkownicy najczęściej korzystają z haseł tekstowych, a siła przyzwyczajenia jest na tyle duża, że nie ma co liczyć, iż szybko z nich zrezygnują. Jednak tradycyjne narzędzia muszą być wspierane innowacyjnymi metodami autentykacji. Dlatego rośnie popularność biometrii wykorzystującej indywidualne cechy człowieka: odciski palców, kontury dłoni, geometrię i obraz twarzy, wzór siatkówki lub tęczówki oka, próbki głosu itp. Jednak nie są to rozwiązania gwarantujące stuprocentowe bezpieczeństwo. Specjaliści od cyberochrony często prezentują na konferencjach możliwości oszukania czytników korzystających z biometrii. Na razie nie udało im się pokonać jedynie urządzeń skanujących układ żył, ale naukowcy i programiści nie ustają w wysiłkach, aby wyeliminować słabe punkty rozwiązań biometrycznych. Rozwijana jest biometria behawioralna umożliwiająca identyfikację człowieka na podstawie jego zachowań.

– Pracujemy nad metodami, które będą wykrywać zmiany zachowań wynikające z przemęczenia, pracy w stresie, szantażu albo siłowego przejęcia stanowiska pracy. Wszystko po to, aby przeciwdziałać w czasie rzeczywistym zarówno nadużyciom i włamaniom, jak i zwykłym pomyłkom – wyjaśnia Michał Jarski.

Obiecujące są też próby użycia, w procesach uwierzytelniania, bardzo modnej ostatnio technologii blockchain.

– Myślę, że może się ona sprawdzić w weryfikacji tzw. śladu audytowego lub autentyczności danych biometrycznych. Choć dziś trudno przewidzieć, w jakim kierunku podąży rynek – przyznaje Marcin Gryga.

Podane przykłady świadczą o ogromnym potencjale rynku systemów uwierzytelniania i kontroli dostępu. Potwierdzają to producenci rozwiązań ochronnych.
– Obserwujemy rosnące zainteresowanie systemami do kontroli i uwierzytelniania dostępu do danych wśród dużych firm, dojrzałych informatycznie. RODO zainicjowało przyspieszony kurs w tym zakresie i należy się spodziewać, że wzmożony popyt na wspomniane rozwiązania pojawi się ze strony średnich firm – twierdzi Bogdan Lontkowski, dyrektor regionalny Ivanti na Polskę, Czechy, Słowację i kraje bałtyckie.

Warto zatem zdobywać nowe kwalifikacje i certyfikaty, aby włączyć się do walki o segment rynku, na którym w najbliższych latach przewidywany jest znaczny wzrosty obrotów. Oprócz wiedzy technicznej przydadzą się też umiejętności sprzedażowe, bowiem wielu polskich przedsiębiorców nieufnie podchodzi do tematu autentykacji.