Czym jest Zero Trust?
Tradycyjny model cyberbezpieczeństwa przypomina twierdzę, gdzie całą firmę otacza wysoki mur, chroniący organizację przed zagrożeniami z zewnątrz, a dostać do niego można było się po zalogowaniu z wewnątrz organizacji lub za pośrednictwem VPN. Dzisiejszy świat IT ewoluował, większość organizacji przeszła w jakimś stopniu do chmury, korzystając z zewnętrznych usług udostępnionych w data center znajdującym się poza lokalną siecią firmy. Obserwować można coraz większą liczbę pracowników mobilnych, nierzadko używających prywatnego sprzętu, a pandemia wymusiła na większości przedsiębiorstw home office dla sporej grupy zatrudnionych.
Zero Trust to podejście do zagadnienia bezpieczeństwa cyfrowego w odmienny sposób do tradycyjnego – zmieniły się zagrożenia, które aktualnie wymierzone są w urządzenia, aplikacje i tożsamość. Atak może zostać przeprowadzony zarówno z zewnątrz, jak i wewnątrz firmy. Atak najczęściej ma początek z urządzenia końcowego, jakim jest notebook czy telefon. W modelu zerowego zaufania organizacja musi zapewnić segmentację zasobów, uwierzytelnianie użytkowników (i systemów) i ich uprawnienia. „Zero Trust” oznacza podział infrastruktury sieciowej na niewielkie, odizolowane strefy (np. wydziały czy oddziały firmy, strefę pracowników biurowych i gości), systemów uwierzytelniania wieloskładnikowego (MFA) oraz polityki ograniczonych uprawnień
W skład architektury „Zero Trust” powinny wchodzić mechanizmy identyfikacji i autoryzacji użytkowników i urządzeń w sieci; narzędzia do monitorowania aktywności i zachowań użytkowników, które mogą naruszyć politykę bezpieczeństwa firmy, systemy szyfrowania danych (przechowywanych i transferowanych); rozwiązania DLP (Data Leak Protection/Prevention) i oczywiście ochrona punktów końcowych. Całość systemu cyberbezpieczeństwa powinny spinać narzędzia do monitorowania dostępu do danych i sieci oraz systemy SIEM.
Co to jest MFA?
Uwierzytelnianie wieloskładnikowe (ang. multi-factor authentication, w skrócie MFA) – to sposób zabezpieczenia systemów komputerowych i autoryzacji podczas logowania przed skorzystaniem z konta użytkownika polegający na podaniu dwóch niezależnych składników uwierzytelniających. Najczęściej polega to na wprowadzeniu identyfikatora użytkownika i hasła uwierzytelniającego, a także podania uzyskanego kod lub frazy np. ze swojego urządzenia przenośnego (np. smartfonu, tabletu), kodu z wiadomości pocztowej wysłany przez serwis, na którym użytkownik próbuje się zalogować lub za pośrednictwem specjalnej karty, tokenu, odcisku linii papilarnych palca czy siatkówki oka.
Po co MFA?
MFA przede wszystkim pozwala na silną weryfikację tożsamości użytkownika. Hakerzy mogą przejąć, pozyskać login i hasło do aplikacji, serwisu, natomiast dużo trudniej byłoby im w tym samym czasie uzyskać dostęp do naszego telefonu mobilnego, skrzynki pocztowej czy spreparować odcisk palca. Nierzadko użytkownicy aplikacji czy serwisów używają tych samych loginów i haseł do różnych usług. W takim przypadku wyciek danych z jednego miejsca powoduje, że inne systemy czy aplikacje są narażone na przejęcie tożsamości – dlatego właśnie MFA pozwala na uzyskanie dużo wyższego poziomu bezpieczeństwa. Według danych zawartych w 10 edycji raportu Verizon Data Breach Investigations Report aż 81% wycieków danych spowodowanych atakami hakerów wykorzystuje skradzione i/lub słabe hasła.
Rodzaje MFA
Wyróżnić możemy dwa rodzaje systemów MFA: przeznaczone dla rynku konsumenckiego i rozwiązań typowo biznesowych mających zastosowanie w przedsiębiorstwach i podmiotach publicznych. Przykładem rozwiązań „consumer” są systemy bankowe przeznaczone dla setek tysięcy czy milionów użytkowników, którzy oprócz loginu i hasła muszą potwierdzić swoją tożsamość lub uwierzytelnić transakcję kodem przesyłanym SMSem, odczytanym z karty z kodami albo ze specjalnego tokenu dostarczanego przez bank. Rozwiązania uwierzytelniania pracowników („workforce MFA”) pozwalają zapewnić bardzo wysoki system zabezpieczeń całej infrastruktury organizacji czy jej poszczególnych elementów w sposób w pełni zarządzalny i gwarantujący pewien poziom elastyczności, co do metod użycia drugiego składnika uwierzytelniania.
MFA a phishing
Uwierzytelnianie wieloskładnikowe jest doskonałym sposobem obrony przed atakami phishingowymi, które polegają na nakłonieniu użytkownika systemu do podania swoich danych logowania na podrobionej stronie przypominającej do złudzenia oryginalną. Link do takiej strony wysyłany jest w treści wiadomości pocztowej, zazwyczaj pod nadawcę takiej wiadomości podszywa się cyberprzestępca udający np. administratora w danej firmie.
Trzeba mieć świadomość, że przejęcie tożsamości przez hakera może skutkować wielkimi stratami dla organizacji, gdyż cyberprzestępca może przejąć istotne dane dotyczące kontrahentów, ofert, może spowodować ujawnienie wykradzionych danych, których rezultatem jest utrata wiarygodności firmy w oczach jej kontrahentów. Gdy organizacja używa narzędzi pozwalających na zaawansowany system potwierdzania tożsamości w postaci MFA, zwłaszcza w oparciu o klucze sprzętowe, taki atak hakerski skazany jest na niepowodzenie.
Rublon – polskie rozwiązanie MFA
Rublon to marka usługi pozwalającej na uwierzytelnianie wieloskładnikowe przeznaczone dla użytkowników biznesowych. Rozwiązanie pozwala na kilka metod uwierzytelniania: od tradycyjnych kodów SMS, kodów przesyłanych za pośrednictwem poczty elektronicznej, bardziej zaawansowane jak kody QR skanowane za pomocą aplikacji mobilnej czy notyfikację push na urządzeniu mobilnym, po sprzętowy klucz bezpieczeństwa czy zmieniające się kody generowane w aplikacji Rublon Authenticator na urządzeniu mobilnym. Zaletą rozwiązań Rublon jest dowolność implementacji w różnych środowiskach – systemach operacyjnych, aplikacjach webowych, aplikacjach desktopowych czy rozwiązaniach VPN. Przykładowe aplikacje integrowalne z Rublon to Microsoft Remote Desktop, Microsoft Office 365, Google Workspace, , Jira, Salesforce, a także VPN-y wielu znanych producentów takich jak Cisco, F5, SonicWall czy Citrix. Wśród klientów usługi Rublon można znaleźć firmy oraz instytucje z sześciu kontynentów, działających w sektorach takich jak finanse, służba zdrowia, produkcja, usługi, energetyka oraz public.
Więcej o Rublon możesz przeczytać na stronie https://rublon.com.
Chcesz wiedzieć więcej?
Jeśli zainteresował Cię ten temat możesz posłuchać w relacji wideo rozmowę Przemysława Kucharzewskiego z Michałem Wendrowskim, Dyrektorem Zarządzającym Rublon