Czy praca zdalna przyspieszy ekspansję silnego uwierzytelnienia?

Od marca 2020 buduje się zupełnie nowy krajobraz bezpieczeństwa IT w biznesie. Zmieniają się priorytety, ogromny nacisk kładziony jest na zabezpieczenie pracy zdalnej i ochronę kont pracowników wykonujących swoje obowiązki z domu. W związku z tym rok 2020 może być rokiem znacznie szybszej ekspansji silnego, dwuskładnikowego uwierzytelnienia (w skrócie 2FA) niż to pierwotnie przewidywano . Do rozmowy na temat nowego krajobrazu cyberbezpieczeństwa zaprosiliśmy przedstawicieli producenta firmy Secfense specjalizującej się w bezinwazyjnej adopcji silnego uwierzytelniania oraz partnera handlowego firmę Advatech zajmującą się dostarczaniem zaawansowanych rozwiązań chroniących infrastrukturę teleinformatyczną oraz zabezpieczającą dane klientów będące w nieustającym ruchu sieciowym i podlegające wymianie między użytkownikami, organizacjami, włączając w to miejsca składowania danych jak chmury prywatne i publiczne.

Jeszcze do niedawna dwuskładnikowe uwierzytelnienie było przysłowiową wisienką na torcie cyber bezpieczeństwa. Czy sytuacja faktycznie ulega zmianie?

Tomasz Kowalski, CEO Secfense: Z naszych doświadczeń wynika że tak. Coś, co w lutym tego roku było rozpatrywane jako ciekawy dodatek, ma teraz szansę stać się nowym standardem. Duże i średnie firmy, z którymi współpracujemy w pierwszej kolejności zabezpieczają teraz najistotniejsze aplikacje - te najbardziej zagrożone atakiem z zewnątrz. Mam na myśli klientów poczty webowej (jak na przykład Outlook Web Access) czy narzędzia typu webVPN. Te aplikacje jako pierwsze zabezpieczane są drugim składnikiem uwierzytelnienia.

Marcin Szary, CTO Secfense: Rzeczywiście, w pierwszym tygodniu marca, jeden z naszych klientów zgłosił się do nas z prośbą o zabezpieczenie dostępu dla 3 000 pracowników, którzy skierowani zostali do pracy zdalnej. W odpowiedzi na to wprowadziliśmy dodatkowe silne uwierzytelnienie na ich kontach tak, aby każdy z pracowników korzystał z aplikacji uwierzytelniającej (Google Authenticator) lub klucza kryptograficznego (U2F) przy procesie logowania. Metoda uwierzytelnienia dopasowana została do rangi pracownika. Osoby z wyższym priorytetem ochrony danych otrzymali zabezpieczenie kluczami kryptograficznymi, reszta pracowników - aplikację uwierzytelniającą. Zabezpieczone w ten sposób zostały dwie aplikacje webowe wskazane przez klienta, a całe wdrożenie zajęło 2 dni, co było kluczowym aspektem tego wdrożenia.

Czy użytkownicy są gotowi na wprowadzenie dwuskładnikowego uwierzytelnienia? Czy jego wprowadzenie na masową skalę nie wprowadzi dodatkowego utrudnienia pracy?

Tomasz Kowalski: Wszystkie osoby posiadające internetowe konto bankowe w Polsce wiedzą już, czym jest silne uwierzytelnienie. W 2019 roku dyrektywa unijna wymusiła bowiem na wszystkich bankach w Polsce konieczność wprowadzenia logowania z wykorzystaniem drugiego składnika (przy użyciu SMSów lub aplikacji bankowej). W wyniku tego każdy klient logujący się do bankowości internetowej musi dodatkowo potwierdzić swoją tożsamość.

A jak ze skutecznością drugiego składnika? Hakerzy są już przecież w stanie obejść zabezpieczenie hasłami SMS.

Marcin Szary: Z hasłami SMSowymi jest pewien problem. Z jednej strony są bardzo przystępne i dają dodatkową ochronę w stosunku do statycznego hasła w przypadku wielu wektorów ataków. A z drugiej - mogą dawać złudne poczucie bezpieczeństwa w przypadkach, gdy ataki nie są masowe, a celowane w konkretną ofiarę. Wtedy w arsenale atakującego pojawiają się groźne "narzędzia": od przejęcia karty SIM, poprzez nasłuch komunikacji urządzeniami typu IMSI-catcher, po kradzież SMSów wprost z telefonu ofiary.

W jeszcze innych przypadkach, dobrze przeprowadzony atak phishingowy w modelu relay, zupełnie ignoruje fakt, że konto jest chronione SMSem - atakujący poczeka, aż ofiara nawiąże uwierzytelnioną sesję i ją ukradnie.

Na szczęście 2FA to nie tylko SMS - w roli drugiego składnika mogą wystąpić kody jednorazowe generowane lokalnie na telefonach albo, zdobywające coraz większą popularność, klucze kryptograficzne w standardzie FIDO2.

Jak informujecie na swojej stronie www specjalizujecie się w łatwej adopcji drugiego składnika. Co z adopcją jest nie tak i jak podchodzi do tego Secfense?

Tomasz Kowalski: Pytanie które nasuwa się samo - jeśli istnieją więc metody silnego dwuskładnikowego uwierzytelnienia, które w 100% likwidują ryzyko związane z kradzieżą danych uwierzytelnienia, czemu więc nie stały się one standardem? Cieszę się, że mogę odpowiedzieć na to pytanie.

Adopcja tej technologii była do tej pory trudna. Wymagała dużych nakładów inwestycyjnych. Każda aplikacja, która miała być wzmocniona drugim składnikiem wymagała dodatkowych prac programistycznych. W niektórych przypadkach taka metoda logowania nie była wręcz możliwa (np. panele administracyjne czy systemy legacy). Zatem prawie zawsze problematycznym był koszt, złożoność techniczna samej aplikacji lub środowiska wokół niej.

Stąd też adopcja w oparciu o klucze bezpieczeństwa była obecna albo w firmach o prawie nieograniczonych budżetach na cyberbezpieczeństwo (jak w korporacji Google, gdzie od 2017 roku ponad 85 000 pracowników korzysta przy logowaniu z kryptograficznych kluczy bezpieczeństwa) albo w instytucjach o najwyższym stopniu ryzyka (jak rząd Wielkiej Brytanii, Turcji, czy Departament Obrony USA, czy liczne banki zagraniczne).

Marcin Szary, Secfense

Co więc się zmieniło?

Tomasz Kowalski: Na początku 2018 zaczęliśmy w Secfense pracować nad zaadresowaniem tego problemu. Wiedzieliśmy, a może raczej przeczuwaliśmy, że prędzej czy później silne uwierzytelnienie stanie się koniecznością i firmy będą chciały się w tego rodzaju rozwiązanie zaopatrzyć. I wygląda na to, że ten czas właśnie nadszedł…

Marcin Szary: To prawda. Od połowy marca zanotowaliśmy kilkukrotnie większe zainteresowanie naszym produktem. Do tej pory to my pukaliśmy do drzwi naszych klientów próbując zainteresować ich naszą technologią. Od niedawna, klienci znajdują nas sami.

Tomasz Kowalski: W marcu zostaliśmy zaproszeni do współpracy z dwoma dużymi instytucjami finansowymi i jedną firmą z branży e-commerce. Jesteśmy na etapie wdrożeń pilotażowych naszej technologii w pięciu firmach i mamy już za sobą kilka zakończonych projektów, jak chociażby ostatnie wdrożenie w PKP Intercity.

No dobrze, na czym polega więc różnica między waszym podejściem, a powszechnie używanym podejściem do adopcji drugiego składnika?

Tomasz Kowalski: Naszym założeniem od samego początku było rozwiązanie problemu trudnej adopcji drugiego składnika i umożliwienie wprowadzenia go również tam, gdzie wcześniej nie było to możliwe. Stworzyliśmy więc brokera metod 2FA, czyli narzędzie umożliwiające wykorzystanie dowolnej metody silnego uwierzytelnienia (kody SMS, aplikacja uwierzytelniająca, urządzenie biometryczne oparte o standard FIDO2, klucze kryptograficzne, itp.) i przypięcie tej metody do dowolnej aplikacji webowej.

Różnica w podejściu brokera w porównaniu do tradycyjnej implementacji drugiego składnika polega na tym, że w pierwszym przypadku całkowicie wyeliminowany jest etap programistyczny. Stąd wdrożenie dowolnej metody trwa zaledwie kilka minut i jest łatwo powtarzalne (skalowalne) na dowolną ilość aplikacji webowych w firmie. Stąd też niezależnie czy instytucja decyduje się na zabezpieczenia dostępu do poczty korporacyjnej, usługi webVPN, systemów legacy czy pulpitów administracyjnych - wdrożenie w każdym przypadku trwa zaledwie kilkanaście minut, niezależnie od ilości chronionych użytkowników i komplikacji architektonicznej danej aplikacji.

Marcin Szary: Projekty, które obsługujemy w ostatnich miesiącach to zabezpieczenie od 1 do 20 aplikacji dla 100 do 5000 użytkowników. Liczby te są jednak w pełni ustalane wedle potrzeb danego klienta. Metoda uwierzytelnienia, z której dany użytkownik będzie miał możliwość skorzystać pozostaje zawsze do dyspozycji administratora po stronie klienta. Klient otrzymuje dostęp do pakietu wszystkich wyżej wymienionych metod i w dowolnym momencie może je konfigurować w oparciu o wewnętrzne polityki bezpieczeństwa firmy.

Istotny jest również fakt, że broker bezpieczeństwa na żadnym etapie nie przechowuje haseł użytkowników w przeciwieństwie do menedżerów haseł czy systemów typu PAM (Privileged Access Management). W wielu przypadkach jest to argument decydujący o wyborze tego typu technologii.

Jeśli nasi czytelnicy chcieliby dowiedzieć się więcej na temat proponowanego przez was podejścia w jaki sposób mogą tego dokonać?

Tomasz Kowalski: Temat silnego uwierzytelnienia jest wciąż stosunkowo nowy. Mamy nadzieję, że w tej rozmowie byliśmy w stanie zaciekawić państwa tematem adopcji drugiego składnika. Zdajemy sobie jednak sprawę, że w tym krótkim wywiadzie zaledwie dotknęliśmy tematu i z pewnością pojawi się gama pytań.

  • Jak dokładnie działa broker bezpieczeństwa?
  • Jak wygląda wdrożenie i wsparcie tego typu rozwiązania?
  • Jak zarządzać metodami dwuskładnikowego uwierzytelniania w firmie?

Na te pytania odpowiedzieć może Państwu Hubert Ortyl z firmy Advatech. Advatech to nasz partner handlowy i technologiczny, który odpowiada za sprzedaż rozwiązania Secfense w Polsce.

Hubert Ortyl, Advatech Sp.z o.o.

Hubert Ortyl, Business Development Manager Security Solutions Advatech: Firma Advatech jest integratorem największych marek technologicznych. Zdajemy więc sobie sprawę, że produkt proponujący zupełnie nową technologię i nowe podejście do tematu implementacji silnego uwierzytelniania może spowodować falę pytań. Tym bardziej zachęcamy Państwa do kontaktu z nami. Advatech rozpoczął współpracę z firmą Secfense już w 2018 dlatego znamy tę technologię i jesteśmy w stanie doradzić, w jakich obszarach ma ona najlepsze zastosowanie.

Dodam jeszcze, że jako Advatech bardzo cenimy sobie współpracę z Secfense. Z punktu widzenia partnera handlowego szalenie istotnym jest aby komunikacja z producentem oprogramowania była sprawna. Zwłaszcza w przypadku obszaru bezpieczeństwa gdzie działania proaktywne i wyprzedzające są kluczowe.

Tomasz Kowalski: Tak, działania wyprzedzające są szalenie ważne, dlatego większa część naszej komunikacji z klientami sprowadza się do edukowania i informowania o nowych standardach. Przez ostatni rok wszystkimi kanałami informacyjnymi informowaliśmy o nowym standardzie uwierzytelnienia zwanym FIDO2 i silnym uwierzytelnieniu w sieci.

Dbamy też o to aby nasze działania produktowe oparte były zawsze na potrzebach rynku, bo wierzymy, że tylko takie działanie przynosi efekt. Nowe wersje produktu doceniane są w zarówno w mediach Polskich (pozytywna opinia o produkcie portalu Zaufana Trzecia Strona i AVLab ) jak również rankingach międzynarodowych (znaleźliśmy się bowiem w zestawieniu magazynu Enterprise Security jako jeden z 10 najlepszych dostawców rozwiązań do uwierzytelniania wieloskładnikowego.

Jednym z czynników, który sprawia, że uzyskaliśmy już tak wiele opinii na temat rozwiązania, które funkcjonuje na rynku zaledwie od dwóch lat, jest fakt, że jest ono niezwykle łatwe do przetestowania. Tak zwany POC (proof of concept) w naszym wypadku to kwestia 1-2 dni i zaangażowania jednej osoby po stronie klienta, która skonfiguruje narzędzie.

Hubert Ortyl: I to jest jedna z bardzo istotnych zalet waszego rozwiązania. Czas implementacji. Łatwość przetestowania. Brak konieczności poświęcania zbyt dużych nakładów pracy po stronie klienta. Na rynku jest masa dostawców oferujących silne uwierzytelnianie ale pod względem szybkości, łatwości implementacji czy uniwersalności, mając cały czas z tyłu głowy najwyższy poziom bezpieczeństwa, Secfense nie ma sobie równych.

Marcin Szary: Jest jeszcze masa rzeczy o których bardzo chętnie byśmy opowiedzieli, ale ten wywiad musiałby trwać kilka godzin… Mikroautoryzacje, full site protection, różne studia przypadków w których nasze rozwiązanie jest szczególnie przydatne. Gorąco zapraszamy do kontaktu. W tym roku mieliśmy już zaplanowane wystąpienie na organizowanej przez ComputerWorld konferencji PureSec ale ze względu na koronawirusa event został odroczony. Najlepszą okazją do spotkania z nami są więc w chwili obecnej webinary, w tym najbliższy organizowany przez Xopero Software 27 maja. Zapraszamy!