«Скажи „друг“ и войди» — это настолько фантастически устаревший способ аутентификации, что от незамысловатой парольной защиты постепенно отказываются всё больше солидных компаний по всему миру, прежде всего из сферы ИТ. Вместе с тем уверенно идентифицировать подключающихся через Интернет сотрудников и других легитимных пользователей всё же необходимо: классический офис неумолимо превращается в гибридный по множеству вполне объективных причин. И без многофакторной аутентификации тут никак не обойтись.
По данным
свежего обзора ‘Verizon 2022 Data Breach Investigations Report’, 66% инцидентов, завершившихся преодолением системы кибербезопасности предприятия, были сопряжены с применением атакующими фишинговых средств, программ-вымогателей или же украденных данных вполне легитимных учетных записей. По
оценке Positive Technologies, только за прошлый год (значительно более спокойный, чем нынешний, в том числе в плане активности киберпреступников) число кибератак выросло на 6,5% от уровня 2020-го. Словом, расслабляться некогда, особенно в условиях, когда одним из основных векторов несанкционированного проникновения становится использование злоумышленниками добытых тем или иным способом пар «логин-пароль».
Пропустить нельзя заблокировать
Пандемия, разразившаяся в 2020-м, на какое-то время создала у сотен миллионов белых воротничков по всему миру впечатление, что отныне и навсегда с постылыми офисными буднями покончено, ну или что по крайней мере посещать присутственное место можно будет по желанию не чаще двух-трех раз в неделю. Надежды эти не оправдались: возврат в офисы сегодня уверенно фиксируется по
довольно неплохим показателям поставок корпоративных ПК (настольных и ноутбуков) на фоне общего спада спроса в этом сегменте ИТ-рынка.
И тем не менее значительная часть бизнес-структур и в глобальном масштабе, и в России практикует теперь если не удаленную, то гибридную занятость куда чаще, чем в предковидном 2019 году. Онлайн-взаимодействия, в том числе деловые, стали новой нормальностью, а удобство полноценного удаленного доступа к ресурсам предприятия невозможно более игнорировать ни с точки зрения роста производительности труда, ни из чисто экономических соображений. Тем более что экономия на аренде офисных площадей за счет перехода к гибридному режиму занятости лишней в сегодняшних экономических условиях точно не станет.
Вместе с тем применять для удаленного подключения к офисной ИТ-инфраструктуре привычную связку «логин-пароль» сегодня по меньшей мере неразумно. Утечка или намеренная кража этой пары-тройки десятков символов у не слишком внимательного сотрудника может обернуться для его работодателя такими напастями, как прямой либо косвенный финансовый ущерб, порча репутации и уход разочарованных уровнем кибербезопасности клиентов, кража интеллектуальной собственности и/или коммерческой тайны.
Наконец, не следует забывать и о санкциях со стороны госрегуляторов за несоблюдение нормативных требований в плане кибербезопасности: итоговая сумма убытков практически наверняка превысит ту, что непредусмотрительный руководитель предприятия «сэкономил», не позаботившись об обеспечении на должном уровне безопасности и надежности аутентификации при удаленных подключениях.
Уязвимость удаленных подключений к локальной инфраструктуре порождена самим фактом того, что сотрудник или иной легитимный пользователь работает чаще всего с устройства, кибербезопасность которого ИТ-служба работодателя напрямую в каждый момент времени не контролирует. Такое недоверенное устройство в гораздо большей степени, чем ПК внутри периметра корпоративной информационной безопасности, подвержено проникновению вирусов и фишинговым атакам, а сами сотрудники в отсутствие информированного специалиста по ИБ в непосредственной доступности становятся особенно уязвимыми для методов социальной инженерии.
Так или иначе, заполучить на удаленном компьютере вожделенную пару «логин-пароль», особенно в ходе целевой атаки, злоумышленнику значительно проще, чем на установленном в том самом постылом (зато надежном!) офисе. Более того, нерасторопность внутренних служб (и отдела кадров, и ИБ), объективно обусловленная сложностью быстрого и четкого обмена данными в условиях гибридного офиса, открывает дорогу для подключения к ресурсам организации как со скомпрометированных аккаунтов, так и с не заблокированных вовремя учетных записей только что уволенных сотрудников.
Кто здесь?
Необходимость многофакторной аутентификации (MFA) для уверенного отождествления удаленных сотрудников постепенно становится очевидной для все более широкого круга заказчиков в России. На рынке соответствующих решений традиционно сильны западные разработчики, по понятным причинам в настоящее время не оказывающие услуги заказчикам из РФ: Auth0, Cisco, Fortinet, Microsoft, Thales и т. д. Да, если импортное MFA-решение было развернуто не в облаке, а on-premises, оно чаще всего продолжает работать даже в отсутствие вендорской поддержки (при содействии квалифицированных интеграторов). Но на перспективу в любом случае имеет смысл рассматривать отечественные платформы многофакторной аутентификации — и тут уже стоит выбирать продукт, который в наибольшей мере позволит снять все обеспокоенности заказчиков по поводу надежности удаленных подключений.
Обеспокоенности эти имеют различную природу, и едва ли наиболее серьезная среди них — это то, как предполагаемая к развертыванию платформа будет адаптироваться под инфраструктуру Linux. Отечественные реестровые ОС в основном базируются именно на этом программном ядре с открытым кодом, а активность киберзлоумышленников в отношении Linux-систем в последние годы неуклонно растет. Уже нельзя, как с десяток лет назад, считать априори защищенным (тем более от целевых атак) домашний компьютер с отличной от Windows и macOS операционкой, и актуальное решение MFA обязано быть адаптировано для использования в корпоративной Linux-инфраструктуре.
Внедряя мультифакторную аутентификацию в гибридном офисе, нельзя оставлять без внимания удобство пользования системой для рядовых сотрудников при неизменно высоком уровне ее надежности. Чем сложнее организовано получение разовых кодов доступа и иные протоколы MFA, тем сильнее необходимость их регулярного применения будет раздражать персонал, добавляя ненужного стресса и побуждая сотрудников к поиску обходных путей. К примеру, если для защищенной переправки файла удаленным работником коллеге, который трудится в офисе, необходимо приложить чрезмерно много усилий, появится искушение быстренько воспользоваться каким-нибудь общедоступным бесплатным хостингом — а значит, многократно вырастут риски компрометации и утечки данных.
Предпочтение следует отдавать тем средствам MFA, которые предлагают простые и заведомо безопасные методы подтверждающей идентификации пользователя. Так, вместо ставших за последнее время привычными отправки SMS или звонка с псевдослучайного номера (последние его четыре цифры обычно предлагается использовать в качестве кода верификации) система MFA может организовать доставку push-сообщений через собственное приложение, доступ к которому защищен вдобавок встроенными биометрическими средствами пользовательского смартфона.
Еще один крайне важный момент: программный агент системы MFA по необходимости действует внутри периметра информационной безопасности предприятия, так что требования к заведомому отсутствию всевозможных уязвимостей, закладок и попросту неоптимально организованного кода здесь чрезвычайно велики. Многие средства мультифакторной аутентификации, в том числе глобально признанные, по традиции полагаются на подход security through obscurity: чем более узкому кругу лиц известно, как работает данное ПО, тем оно якобы безопаснее.
Однако день за днем появляющиеся сообщения об уязвимостях «нулевого дня» как раз во всемирно популярных проприетарных системах свидетельствуют, что само по себе отсутствие независимого аудита программного кода вовсе не делает невозможными эффективные атаки на скомпилированные на его основе программные агенты. При выборе системы MFA оптимальной представляется именно такая, код агента которой изначально открыт (что заодно облегчает интеграцию его в любые, даже не самые стандартные Linux-системы) и доступен для всестороннего изучения силами широкого ИБ-сообщества.
При всём богатстве выбора
Среди доступных сегодня в России MFA-решений особое внимание привлекает отечественная система двухфакторной аутентификации и контроля доступа MULTIFACTOR, готовая к работе с любыми средствами удаленного подключения — RDP, VPN, VDI, SSH и др. — и наделенная возможностями корпоративного SSO. В нынешних условиях особенно важно, что потенциальному заказчику не предлагают программного кота в мешке предварительной оплаты незнакомого ПО: к системе, если с ней работают до трех пользователей, предоставляется бесплатный доступ, что позволяет всесторонне изучить и протестировать MULTIFACTOR в реалиях повседневного применения.
По заявлению разработчика, многофакторная аутентификация MULTIFACTOR на 99% снижает риски неавторизованного доступа к ИТ-инфраструктуре и на 99% покрывает всё разнообразие аппаратно-программных средств, которые эту инфраструктуру могут образовывать в каждом конкретном случае. Принцип унифицированного входа в систему (SSO) подразумевает, что для каждого сотрудника организуется единая точка доступа ко всем корпоративным ресурсам, причем повсюду (а не только там, где такая техническая возможность предусмотрена изначально), производится внедрение второго фактора аутентификации.
Роман Башкатов, коммерческий директор компании «МУЛЬТИФАКТОР»: «За 3 года существования компании мы прошли путь от стартапа до стабильной узнаваемой компании на рынке ИБ с продуктом, у которого нет конкурентов!»
Подобная реализация подхода MFA значительно повышает эффективность сотрудников, не осложняя притом чрезмерно процедуру доступа к корпоративным ИТ-ресурсам. Двухфакторная аутентификация заключается в том, что сперва удаленный пользователь вводит в защищенном канале классическую пару логин-пароль, а затем внедренный в сеть заказчика агент MULTIFACTOR с открытым кодом формирует подтверждающий личность данного сотрудника второй фактор доступа. Только после успешного подтверждения идентичности вторым фактором пользователь получает возможность войти в систему.
В качестве второго фактора аутентификации MULTIFACTOR, в первую очередь рекомендует, как самый безопасный и надежный метод аутентификации – push-уведомление в приложении собственной разработки Multifactor, второй по надежности метод аутентификации – push-уведомление в Telegram, также может использовать текстовое сообщение через SMS, подтверждающий звонок с определенного номера, биометрические данные (если мобильное устройство сотрудника оснащено соответствующими аппаратными средствами), OTP-, FIDO- или U2F-токен. В отличие от многих сравнимых по функциональности систем, MULTIFACTOR включает элемент Ldap Adapter — LDAP proxy-сервер, специально разработанный для двухфакторной аутентификации пользователей в приложениях, использующих LDAP-аутентификацию.
Обширная функциональность, открытость кода агента и глубокая совместимость с Linux-системами не делают MULTIFACTOR запредельно дорогостоящим решением. По оценке разработчиков, стоимость владения им на всем протяжении жизненного цикла ПО выходит для заказчика в десятки раз меньше по сравнению с глобальными enterprise-решениями, особенно если учитывать немалую цену их внедрения, сопровождения и поддержки.
Собственное приложение Multifactor, доступное для платформ iOS, Android и Huawei (последнее особенно актуально для РФ и похвастать такой поддержкой готовы далеко не все MFA-системы) и поддерживающее биометрическую функциональность современных смартфонов, представляет собой основной и вполне надежный метод вторичной аутентификации, позволяя удаленному сотруднику подтверждать отправляемые ему системой push-уведомления буквально в одно прикосновение.
Немаловажное значение имеет простота развертывания и эксплуатации MULTIFACTOR, особенно для предприятий со значительным числом сотрудников. Простота подключения к системе новых пользователей с применением Inline enrollment снижает нагрузку на ИТ-службу, не создавая притом дополнительных ИБ-угроз. MULTIFACTOR как SaaS-решение пригоден для использования в любых отраслях за счет простой возможности добавлять необходимую бизнес-логику в базовую систему.
Успешность и эффективность выбранной компанией MULTIFACTOR стратегии подтверждают огромное количество реализованных ею с момента основания в 2019 году проектов по внедрению отечественной MFA-системы, а также охватывающая весь мир сеть из 60 партнеров и готовность сопровождать свой продукт на всех этапах его интеграции, учитывая особые пожелания заказчиков и предлагая всякий раз наиболее подходящую для каждого конкретного предприятия систему многофакторной аутентификации.