Дмитрий Грудинин, Avanpost: Многофакторная аутентификация против искусственного интеллекта: кто кого?

Как новые тенденции в сфере информационных технологий влияют на защиту пользователей? Как изменится она, в частности, под влиянием прогрессирующих генеративных технологий ИИ? О новых угрозах и рисках, а также о релевантных им способах управления контролем доступа нам рассказал Дмитрий Грудинин, руководитель по развитию продуктовой линейки решений для аутентификации в компании Avanpost.

Наш недавний эфир, посвящённый защите удалённого доступа, вызвал большой интерес. 28 процентов опрошенных зрителей захотели узнать больше по этой теме. Давайте поговорим об особенностях современных инфраструктур с точки зрения аутентификации и контроля доступа. Какие угрозы и риски существуют сейчас в этой сфере, чего нам всем стоит ожидать в будущем?

Д. Г.: Вопрос этот чрезвычайно важен, ведь все мы понимаем, что в мире информационных технологий в данный момент происходят огромные перемены. Например, появились и получают самое широкое применение генеративные технологии ИИ. Новости о достижениях в этой сфере поступают практически ежедневно. Безусловно, такое развитие — мощный драйвер и для поля информационной безопасности. Изменения неизбежно начнут происходить ускоренными темпами, ведь специалисты в ИБ будут просто вынуждены подстраиваться под новые реалии.

Теперь о рисках для аутентификации в контексте генеративного ИИ. Прежде всего это фишинг. Данная технология по-прежнему пользуется популярностью у мошенников, с развитием ИИ она будет меняться.

Важно, что новые инструменты на основе ИИ значительно снижают порог входа в поле преступной деятельности. При этом злоумышленники получают невиданные до сих пор возможности по части массовости атак в сочетании с их филигранной точностью.

Следующая угроза — это, несомненно, социальная инженерия. Инструменты на базе ИИ дают поистине неограниченные возможности по нелегальному сбору информации практически о любом человеке.

Безусловно, существуют меры по борьбе с такими правонарушениями, в том числе и на законодательном уровне. Эти меры будут и дальше развиваться, но угроза пока остаётся серьёзной.

С этими двумя угрозами — фишингом и социальной инженерией — в течение ближайших двух лет столкнутся многие компании как в России, так и за рубежом. Это объясняется схожестью темпов развития данных технологий.

Продолжая разговор об угрозах аутентификации, следует отдельно остановиться на таком факторе, как распространение мессенджеров. Возьмём, к примеру, Telegram. За последние два-три года он приобрёл большую популярность, работники многих компаний для внутренней коммуникации пользуются именно им.

После недавнего интервью Павла Дурова он, видимо, станет ещё популярнее.

Д. Г.: Вполне возможно, и это никак нельзя пресечь. Сотрудники продолжат пересылать коллегам как свои учётные данные, так и те, что находятся под их управлением. Все убеждены, что Telegram шифруется и там всё безопасно.

Фактически же здесь речь идёт о дополнительных уязвимостях. Например, сотрудник может потерять свой аккаунт, став жертвой точечной атаки. В таком случае злоумышленники получат доступ сразу к большому количеству учётных данных. К сожалению, на сегодняшний день Telegram не предлагает своим пользователям серьёзных мер защиты.

Будем надеяться, что наше интервью вдохновит руководство мессенджера на усиление мер по защите своих пользователей. Ваша компания, кажется, тоже подверглась подобной угрозе?

Д. Г.: Совершенно верно, и история вышла очень забавной. Началось всё с того, что некоторые сотрудники начали получать сообщения в Telegram, подписанные именем генерального директора и отправленные с нового аккаунта.

У нас нет практики рассылки оповещений сотрудникам лично самим генеральным директором. Разумеется, это вызвало всеобщее подозрение и вылилось в широкое обсуждение внутри компании. При этом важно сказать о том, что рассылка была очень адресной, точечной, буквально поимённой.

К сожалению, нам не удалось узнать, чего от нас хотели злоумышленники. Мы намеревались пройти этот квест до конца, но они сорвались с крючка. Впрочем, я думаю, это было лишь пробой пера и данная технология будет развиваться дальше.

Безусловно, подобные угрозы гораздо серьёзнее для тех компаний, у которых нет сильных специалистов в области ИТ и ИБ.

В нашем эфире, посвящённом защите удалённого доступа, вы говорили о том, что поведение заказчиков изменилось. Поменялись их требования, а сами они стали действовать более осознанно. При этом возросла их лояльность по отношению к программным средствам защиты. С чем это связано и на что это влияет?

Д. Г.: Действительно, заказчики стали гораздо более лояльными к новым подходам и технологиям. Связано это прежде всего с тем, что сейчас в инфраструктурах постепенно размывается понятие защищённого периметра.

Уже никого не удивить тем, что наём сотрудников происходит абсолютно из любой локации, в том числе из-за рубежа. Зачастую, особенно в департаментах ИТ, они работают удалённо. Естественно, иначе выглядят и возможности взаимодействия с такими сотрудниками. Они находятся всегда за периметром, из-за чего их деятельность гораздо сложнее контролировать.

Безусловно, существует классический подход к защите периметра в виде VPN и VDI. Но мне представляется, что в нём также в ближайшее время произойдут большие изменения.

Так, VPN будет использоваться только для критических сервисов. Практика применения VPN в широком масштабе, для всех сотрудников, будет постепенно сходить на нет.

Когда это произойдёт окончательно, сказать трудно, но сейчас тенденция носит очень яркий характер.

Немалую роль в изменении поведения заказчиков сыграл и перенос ряда сервисов в облако. Переносятся, конечно, только некритические для бизнеса сервисы; тенденция избегать перемещения в облако сервисов из сферы ИБ сохраняется. Несомненно, перемещение в облака также приводит к размытию периметра, о чём уже говорилось ранее.

Ещё заказчики видят воочию, что политика и реалии импортозамещения приводят к развитию продуктов и сервисов, давая возможность экономии ресурсов. Так, очевидная выгода — это сокращение затрат и издержек на поддержку своих сервисов локально (on-premise).

Кроме того, на изменение поведения заказчиков оказывает влияние следующий фактор: сейчас мы наблюдаем постепенный уход от использования в работе корпоративных устройств — в пользу личных. Всё больше сотрудников начинают работать с персональных устройств, например домашних компьютеров.

В классической парадигме периметра весьма трудно контролировать их работу. Этим, по-видимому, и объясняется то, что заказчики начинают публиковать свои прежде внутренние ресурсы, например порталы и сайты. Тенденция эта будет сохраняться и дальше: зачем держать ресурсы внутри периметра, нагружая при этом сеть и инфраструктуру, когда их можно просто опубликовать, добавив дополнительный фактор аутентификации?

Что ещё изменилось во взгляде на защиту инфраструктуры и каким образом это в целом влияет на управление контролем доступа?

Д. Г.: В результате всех изменений, о которых шла речь ранее, постепенно меняется и концепция защиты инфраструктуры.

Защита всё больше приобретает точечный характер.

Если раньше превалировало убеждение о необходимости полной защиты, то теперь это не так. И здесь мы вспоминаем уже хорошо известную всем концепцию «нулевого доверия» (Zero Trust). Её принципы по-прежнему эффективны, российские компании давно уже переходят от теории к практике применения этого подхода.

В нашем недавнем эфире вы говорили, что компании разделятся теперь на два лагеря: одни закроются полностью, а другие перейдут на Zero Trust.

Д. Г.: В любом случае останутся организации, которые по требованиям информационной безопасности обязаны быть закрытыми. Они будут жить по классической периметровой схеме, а те компании, у которых есть возможность применять изменения, будут постепенно переходить к концепции Zero Trust.

При этом изменится даже сам подход к аутентификации. Для защиты периметра достаточно закрыть имеющиеся одну или две входные точки и добавить ещё какое-то СЗИ, например второй фактор, межсетевой экран или фильтр. В рамках же концепции Zero Trust возникает проблема: закрывать нужно уже не инфраструктуру, а конкретный конечный ресурс. Более того, текущая тенденция говорит о том, что использования централизованной аутентификации, одно- или многофакторной, для самого ресурса уже недостаточно. Аутентификация теперь нужна для выполнения определённых операций в рамках этого ресурса.

Таким образом, недостаточно просто предоставить пользователю доступ к какой-то информационной системе. Возникают критические с точки зрения бизнеса операции, их также необходимо подтверждать. А вот подходы к аутентификации здесь будут идентичными. Поэтому я думаю, что заказчики будут смотреть и в эту сторону.

Другим важным моментом является то, что у нас развиваются контейнерные технологии. Несомненно, они будут прогрессировать и дальше, так как позволяют компаниям серьёзно экономить ресурсы инфраструктур за счёт масштабирования типовых сервисов. Для защиты контейнерных сред также требуется аутентификация.

В данный момент на рынке нет готовых решений для защиты этих сред.

Как вы учитываете перечисленные изменения в ваших решениях?

Д. Г.: Мы всегда ориентируемся на нужды наших заказчиков. Например, в отношении контейнерных сред у нас часто бывают запросы на компактные легковесные решения, которые можно разместить на любом наборе контейнеров (pod). Этот пункт у нас есть в дорожной карте, и я думаю, что к концу 2024 года нам будет что предложить нашим заказчикам.

 

 

Как распределяются ваши решения в зависимости от размера компании-заказчика? Ориентируетесь ли вы на какой-то отдельно взятый сектор?

Д. Г.: В нашей линейке есть два продукта, которые позволяют закрыть потребности клиентов разного масштаба. Так, продукт Avanpost FAM предназначен для крупных территориально распределённых инсталляций с десятками и сотнями тысяч пользователей. Например, в одном из наших кейсов их насчитывается 65 тысяч.

Запросы клиентов подобного масштаба сходны в том, что им требуется выстроить единую систему аутентификации.

При этом часто происходит так, что клиенты приходят к нам с одной-двумя задачами, а потом открывают для себя и дополнительные возможности нашего решения. Они видят определённые функции в действии, понимают, что те реально работают, и начинают их также использовать. Например, это может быть вход по QR-коду, аутентификатор для мобильного приложения и ещё многое другое.

А что вы можете предложить предприятиям малого и среднего бизнеса?

Д. Г.: Сегменту СМБ мы предлагаем решение Avanpost MFA+. Оно ориентировано на простое развёртывание и использование в локальной инфраструктуре, при этом по уровню защиты сопоставимо с регистрацией аккаунтов в облачных решениях.

Несомненно, существует разница в особенностях использования, но весомое преимущество локальной инсталляции заключается в том, что она всегда под контролем. Если продукт легко устанавливается и его легко поддерживать, то выгода очевидна.

В эфире AM Live вы отметили тенденцию оттока из облаков. Она и дальше будет сохраняться?

Д. Г.: Действительно, за последние два года мы наблюдали такую тенденцию. Происходило это потому, что облака были преимущественно зарубежными. Сейчас российские вендоры работают над развитием собственных облачных систем для замены ушедших. Логично поэтому в течение ближайших двух-трёх лет ожидать обратной волны.

При этом важно помнить, что существуют сервисы критические и некритические, а информационная безопасность существенно более консервативна. Поэтому с уверенностью говорить о том, сколько лет займёт развитие облачных сервисов для предприятий среднего и крупного бизнеса, весьма трудно. Разумеется, небольшой организации удобнее опция аутсорсинга. В то же время несомненно и то, что с развитием облачных сервисов переход на них будет становиться всё более массовым. Сейчас же пока на коне локальное развёртывание.

Что ж, пожелаем российским вендорам удачи в развитии отечественных облачных инфраструктур.

Давайте поговорим теперь о стандарте FIDO. Почему он так важен?

Д. Г.: Прежде всего потому, что он есть сейчас на всех наших устройствах: смартфонах, ноутбуках, компьютерах. Благодаря FIDO устраняется важная проблема классической аппаратной аутентификации и классической биометрии, заключающаяся в высокой стоимости внедрения, первичной инсталляции и эксплуатации оборудования. Нужно его закупить, настроить и поддерживать в рабочем состоянии.

FIDO нивелирует эту проблему за счёт того, что все устройства сейчас поддерживают аутентификаторы этого стандарта. Это не обязательно должны быть ключи доступа (passkeys) — самое последнее поколение аутентификаторов FIDO2. Достаточно и классических, например U2F или WebAuthn.

Несомненно, это найдёт своё применение в корпоративных инфраструктурах. Мы уже говорили о том, что всё больше пользователей переходят сейчас на использование личных устройств. При этом установить необходимые драйверы и пакеты на личное устройство сотрудника администратору компании очень трудно, так как у него просто нет доступа.

Продолжая разговор о стандарте FIDO, также важно отметить следующее. Аутентификаторы FIDO имеют различные формфакторы: это может быть встроенный в смартфон считыватель отпечатков пальцев, Face ID, Windows Hello c защитным ПИН-кодом и прочие. Существуют и аппаратные аутентификаторы; здесь FIDO также имеет прекрасные перспективы и может составить серьёзную конкуренцию в корпоративной среде даже классической аутентификации PKI.

Разумеется, некоторые задачи — например, по части подписи документов — необходимо решать только при помощи PKI. Другие же, такие как подтверждение личности лица получающего доступ, логичнее выполнять при помощи таких инструментов, которые специально для этого и созданы. Как аппаратная замена FIDO здесь очень удобен.

С начала текущего года у нас на рынке появились предложения по российским аппаратным аутентификаторам, совместимым с FIDO. Так, компания «Рутокен» выпустила свой аутентификатор «Рутокен MFA».

Это говорит о том, что российские компании идут в ногу со временем и выводят на рынок новые продукты.

Стоит отметить и тот факт, что данный продукт стоит дешевле западных аналогов.

Как скоро это приобретёт массовый характер?

Д. Г.: На Западе это уже нашло широкое применение. Такие компании, как Google, Apple и Microsoft, обеспечивают информационную безопасность в рамках концепции единой экосистемы. Это реализовывается при помощи такой функциональности, как миграция ключа между различными устройствами. Так, если пользователь работает в экосистеме Apple, его ключ FIDO будет работать на всех его устройствах.

Таким образом, пользователям эта технология уже доступна и её широкое применение — лишь вопрос времени. Вероятно, это произойдёт тогда, когда сервисы начнут предлагать данный способ аутентификации как единственный доступный.

Аутентификатор FIDO — это прежде всего замена пароля для клиентских сервисов.

Если мы говорим про его использование в корпоративной структуре, то здесь есть ряд нерешённых вопросов. Прежде всего это — сложность управления: «фидошный» аутентификатор управляется пользователем.

На текущий момент не существует готовых аппаратных аутентификаторов для корпоративных сред. По мере их появления и развития будет расширяться и использование стандарта FIDO при решении задач аутентификации в этом секторе.

Этот стандарт очень удобен для удалённых сотрудников. Можно просто приобрести в магазине свой личный токен, привязать его к аккаунту и использовать.

Кроме того, если мы возьмём такие аутентификаторы, как YubiKey, то они также могут применяться для хранения SSH-ключей или любых других реквизитов привилегированного доступа. Поэтому такой формфактор, как флешка, на которую можно записать ключ, имеет отличные перспективы.

Ещё одним важным и неоспоримым преимуществом аутентификаторов FIDO является то, что секреты, которые на них содержатся, неизвлекаемы. Этого не могут дать программные средства аутентификации, поскольку любую программную сущность можно извлечь. Аппаратный же ключ защищает от копирования. Поэтому для серьёзных сервисов следует использовать именно аутентификаторы FIDO.

Кроме того, аутентификаторы FIDO можно было бы также применять для защиты серверов и внутренних компонентов инфраструктуры. В связке с системой аутентификации это также мог бы быть отличный кейс. Возможно, прямо сейчас это не очень востребованно в силу того, что нет пока предложений по аппаратным аутентификаторам. Но, безусловно, это — ещё одно интересное направление для развития.

Сейчас все методы аутентификации, которые опирались на знание чего-либо, например даты рождения или клички собаки, будут использоваться лишь для доступа к некритической информации.

Говоря о других способах контроля доступа, можно отметить, что будет и дальше применяться TOTP как технология. Правда, здесь есть определённое неудобство: программный аутентификатор TOTP можно скопировать. Разные вендоры решают эту проблему по-своему, но в целом она сохраняется, так как существует изначально (by design).

Таким образом, очевидно, что по мере роста числа фишинговых атак будет возникать потребность в аутентификации теми методами, которые невозможно скопировать.

Как эта экспертиза, которой вы с нами поделились, учитывается в ваших дорожных картах?

Д. Г.: В наших планах — большая работа по развитию функциональности управления аутентификаторами FIDO. Очевидно, это потребует исследований (R&D), в силу того что эта тематика пока не развита ни в России, ни на Западе. Мы также уверены, что наши продукты FAM / MFA+ в силу своей функциональности найдут самое широкое применение.

Давайте теперь вернёмся к теме мобильных аутентификаторов.

Д. Г.: Это направление сейчас очень популярно на Западе. Опросы сотрудников показывают, что мобильные аутентификаторы представляются наиболее безопасным решением. Также это, безусловно, очень удобно.

Можно сказать, что этот способ управления доступом делает «тихую революцию» в области подходов к аутентификации. Тому есть ряд причин. Во-первых, мобильное приложение имеет доступ к большему числу параметров устройства, чем другие методы. Кроме того, мобильное приложение может контролировать среду выполнения. Здесь нет ограничения с точки зрения хранения секретов. При условии применения аппаратных модулей шифрования мобильные приложения в этой части могут сравняться с аппаратными аутентификаторами FIDO.

Уже отмечалось, что мобильные приложения очень удобны для пользователя. Например, они оповещают о входе и позволяют выполнять операции с аккаунтом прямо на сервере системы аутентификации. Пользователи воспринимают их очень позитивно.

За последние два-три года предложения вендоров в этом сегменте значительно расширились. Все компании, которые занимаются двух- и многофакторной аутентификацией, выпустили свои приложения-аутентификаторы. Все они различны по функциональности. Например, наш продукт поддерживает сразу три метода входа. Один из них — это запрос на доступ, или пуш-запрос, который приходит в шторку уведомлений пользователя.

Вход также может осуществляться посредством QR-кода. Кроме того, в качестве резервного способа используется TOTP. Мы называем его усиленным: проблема передачи секрета в классическом TOTP решена путём сканирования QR-кода. Сканирование уязвимо: секрет можно скопировать. В нашем же аутентификаторе секрет скопировать нельзя.

Насколько безопасны другие мобильные аутентификаторы на российском рынке?

Д. Г.: Это хороший вопрос. Дело в том, что специфика работы мобильных приложений изнутри на сегодняшний день многими просто не раскрывается. Безусловно, существуют риски. Как и любое другое программное средство подтверждения аутентификации, мобильные приложения подвергаются различного рода атакам, в том числе фишинговым.

Существуют и средства защиты. Во-первых, это использование криптографии на открытых ключах. Важно, чтобы в мобильном приложении все запросы подписывались ключом, который нельзя изъять из этого приложения.

Не менее важно следить и за тем, каким именно образом хранится секретная информация по аккаунту, по этому приложению на устройстве. Желательно, чтобы эту информацию было максимально сложно извлечь, скопировать и перенести на другое устройство.

Третий важный момент касается необходимости обеспечить функции контроля за устройством со стороны администраторов. Мобильное приложение-аутентификатор является своеобразным агентом аутентификации. Это такой её компонент, который позволяет контролировать происходящее на устройстве, а также собирать информацию, которая может быть очень полезна самим администраторам.

Очень важно, чтобы эта информация никуда не передавалась и была доступна только заказчику системы аутентификации. Речь идёт о весьма большом объёме информации, к которой можно применить определённые поведенческие механики, построив на этой основе риск-адаптированную аутентификацию. Также можно собирать аналитику: отслеживать то, с каких устройств работает сотрудник.

Мы планируем развивать мобильные приложения именно в сторону риск-адаптивной аутентификации. Уже практически готов релиз, в котором поддерживается функциональность контроля за устройствами. Мы умеем регистрировать их, идентифицировать и применять это при доступе в различные системы. В набор входят информация о самом устройстве и сведения, которые могут быть использованы для определения сценария аутентификации, а также для принятия решения о запрете доступа в текущий момент.

Этот потенциал и позволяет нам развивать направление риск-адаптивной аутентификации. За основу берётся некая модель рисков, которая позволит расставить весовые коэффициенты, привязать их к политикам доверия и аутентификации и в целом сделать процесс аутентификации более точечным.

Мы надеемся вывести решение с функциональностью риск-адаптивной аутентификации на российский рынок в декабре 2024-го либо в первом квартале 2025 года. Для сравнения, один из западных лидеров на рынке решений по аутентификации — компания Okta — выпустила продукт с функциональностью контроля за устройствами и риск-адаптивной аутентификации буквально в начале текущего года.

Когда западные вендоры вернутся на российский рынок, им придётся конкурировать с сильными отечественными решениями по аутентификации.

Для вас четвёртый квартал обещает быть насыщенным. Желаем вам удачи и следим за вашими успехами!

Ещё хотелось бы поговорить об IAM-решениях и их внедрении.

Д. Г.: Этот класс уже приобрёл широкую известность за рубежом, и при разработке своих решений мы использовали имеющийся зарубежный опыт. В целом, стратегия догоняющего развития показала свои преимущества. В этом можно убедиться на примере российской банковской отрасли.

В России какое-то время отсутствовала банковская ИТ-инфраструктура. Мы смогли развить собственную экспертизу, и теперь отечественные банки по части технологий (например, СБП) впереди многих западных. Безусловно, в сфере аутентификации в ближайшие три года мы также будем свидетелями догоняющего развития. Конечно, нам придётся смотреть на западные решения, чтобы не изобретать велосипеда.

Но вернёмся к IAM-решениям. Оба наших продукта, FAM и MFA+, базируются на принципе «провайдера идентификации» (Identity Provider, IdP). Это подход эпохи протокола OpenID Connect / OAuth с протоколом SAML как неким предшественником.

Классические решения, поддерживающие двухфакторную аутентификацию, по большей части базируются на тех подходах, которые ближе к протоколу RADIUS, потому что создавались в рамках концепции защищаемого периметра. Как следствие, исторически в них не было заложено такой функциональности, как, например, управление сеансами. Она отсутствовала потому, что в протоколе RADIUS такого просто нет.

Подход IAM, так же как и IdP, накладывает свои особенности на способы реализации функциональности. Поэтому в свои решения для корпоративных заказчиков мы включаем и классическую поддержку инфраструктурных сервисов — например, того же протокола RADIUS. Есть там и провайдеры, которые весьма далеки от подходов IAM и IdP. Таким образом, мы сохраняем то, что уже доказало свою эффективность, развивая при этом тематику IdP.

Чаще всего с запросами на решения в рамках подхода IdP обращаются те из наших заказчиков, у которых уже накоплена внушительная экспертиза в части разработки своих сервисов и систем. Поэтому в подобных случаях протокол OpenID Connect / OAuth находит всё более широкое применение.

Сейчас в мире разработки уже никого не удивить протоколом OpenID Connect, корпоративные инфраструктуры постепенно берут это себе на вооружение. И это очень правильная тенденция.

Чего вам хотелось бы пожелать своей компании, заказчикам и российскому рынку в целом?

Д. Г.: Компании Avanpost я желаю стать российской Okta, не меньше. Вообще тема аутентификации вызывает сейчас большой интерес, заставляя уходить в тень другие, например UEM (Unified Endpoint Management). Российским вендорам есть над чем работать.

А какими должны стать российские заказчики и рынок, чтобы вы могли стать отечественной Okta?

Д. Г.: Заказчикам следует стремиться применять и практиковать новые подходы, а также, что очень важно, побуждать вендоров поддерживать современные протоколы аутентификации. Мы со своей стороны, в рамках партнёрства с вендорами, также призываем их к этому.

Таким образом, практика использования современных подходов IdP будет шириться. Наши заказчики в результате получат готовые «коробочные» продукты и мультифункциональные сервисы, надёжные с точки зрения современных подходов к информационной безопасности.

Практически в каждом интервью мы говорим о том, как важно общаться и рассказывать о своих проблемах, давать корректную развивающую обратную связь. Можно с уверенностью сказать, что взаимодействие между вендором и заказчиком — это залог успеха.

Д. Г.: Совершенно верно, и тому есть много практических примеров. Это — очень позитивная тенденция.

Вендоры готовы общаться, дружить и интегрировать свои решения.

Заказчики при этом, безусловно, получают дополнительные выгоды.

Давайте тогда обратимся сейчас к заказчикам и призовём их следовать вашему совету, заставлять вендоров реализовывать пожелания. Тогда мы все вместе непременно придём к успеху!

Разрешите поблагодарить вас за содержательное и интересное интервью, а нашим читателям мы, как всегда, желаем оставаться в безопасности!