После окончания онлайн-конференции AM Live «Выбор корпоративной системы многофакторной аутентификации (MFA)» у нас осталось немало вопросов от зрителей в комментариях и чате. Мы попросили спикеров прямого эфира выполнить «домашнее задание» и ответить на них. В результате получилось большое совместное интервью, затрагивающее самый широкий круг проблем, связанных с многофакторной аутентификацией.
- Введение
- Ответы экспертов на вопросы зрителей конференции AM Live
- 2.1. О сертифицированной многофакторной аутентификации «из коробки»
- 2.2. О рисках MFA в условиях удалённой работы
- 2.3. О перспективах развития виртуальных токенов
- 2.4. Об аутентификации с использованием поведенческого анализа
- 2.5. О перспективах криптозащиты в эпоху квантовых вычислений
- 2.6. Об аппаратных токенах для смартфонов
- 2.7. О биометрической двухфакторной аутентификации
- 2.8. О возможности использования IP-адреса или имени ПК в качестве второго фактора аутентификации и соответствии его ГОСТ 57580
- 2.9. О росте количества факторов аутентификации
- 2.10. О дороговизне биометрических средств аутентификации
- 2.11. О внедрении SSDLC у производителей аппаратных ключей
- 2.12. Об использовании вендорами своих разработок
- 2.13. О взаимодействии систем многофакторной аутентификации с SIEM
- 2.14. Об оценке рисков разработчиками средств аутентификации
- 2.15. Об анализе безопасности продуктов Silverfort
- Выводы
Введение
Многофакторная аутентификация в качестве очередной темы онлайн-конференции AM Live вызвала живой интерес у аудитории. Зрители прямого эфира активно задавали вопросы в чате и комментариях на YouTube. На часть из них благодаря искусству Алексея Лукацкого, выступавшего в качестве модератора дебатов, спикеры конференции успели ответить онлайн, но рамки эфира не позволили осветить все темы.
Ощущение некоторой недосказанности вместе с пониманием широты затронутой нами темы подтолкнуло нас к продолжению разговора. Ранее мы уже публиковали результаты опросов, в которых участвовали зрители конференции; теперь настала пора высказаться спикерам. Вопросы из чата и комментариев к прямому эфиру порадовали небанальными формулировками и широтой затронутых тем. Зрители интересовались перспективами криптотехнологий и сетовали на дороговизну биометрии, спрашивали о применимости аутентификации по IP-адресам и поведенческому анализу, хотели узнать, существуют ли токены в формате SIM-карты.
Мы передали вопросы зрителей представителям компаний, чьи эксперты приняли участие в конференции, и предложили ответить на некоторые из них. Специалисты по информационной безопасности не стали обходить «неудобные» темы и совместными усилиями ответили практически на все заданные вопросы. Получилось коллективное интервью, которое с одной стороны отражает спектр интересов специализированной аудитории, а с другой — позволяет познакомиться с мнениями представителей ведущих игроков отечественного рынка многофакторной аутентификации.
Мы благодарны всем зрителям, оставившим свои комментарии с вопросами, и экспертам, потратившим время на развёрнутые ответы.
На вопросы отвечали:
- Александр Санин, коммерческий директор компании «Аванпост»;
- Владимир Иванов, директор по развитию компании «Актив»;
- Илья Осадчий, директор по развитию компании «Тайгер Оптикс»;
- Михаил Рожнов, технический директор компании TESSIS;
- Сергей Груздев, генеральный директор компании «Аладдин Р.Д.».
Ответы экспертов на вопросы зрителей конференции AM Live
Какие есть технические решения для реализации многофакторной аутентификации, в том числе сертифицированные регуляторами и поддерживающие политику импортозамещения, в режиме «из коробки»?
Александр Санин:
Решения Avanpost FAM и Avanpost Web SSO позволяют строить многофакторную аутентификацию с использованием многошаговых настраиваемых сценариев. Оба продукта входят в Единый реестр программ для электронных вычислительных машин и баз данных Минкомсвязи и рекомендованы к использованию в российских организациях.
Владимир Иванов:
В процессе аутентификации есть две стороны — доказывающая и проверяющая. С доказывающей стороны могут применяться сертифицированные токены и смарт-карты, с проверяющей — сертифицированные системы защиты от НСД, VPN, операционные системы и так далее. На рынке есть достаточно много такого рода продуктов.
Удалённый доступ на карантине показал, что многофакторная аутентификация «одно лечит, а другое калечит». Проброс токена через RDP создаёт угрозу утечки данных и заражения вирусами, несопоставимую с простой аутентификацией по паролю. Пароль ещё подобрать нужно, и хорошая парольная политика с мониторингом даёт прекрасный результат противодействия взлому. А вот подключённый вместо токена эмулятор, который подгрузил вредоносную программу, — это уже ЧП. Есть ли уже более продвинутые для таких случаев решения, чтоб в RDP не открывать дополнительные порты для этого?
Александр Санин:
Использовать решения для управления доступом, которые интегрируются с целевой системой (к примеру, с тем же RDP) на стороне сервера по протоколу RADIUS и поддерживают аутентификацию по смарт-картам в режиме агентского приложения (устанавливаемого на АРМ пользователя). Такие решения осуществляют проверку второго фактора одним из следующих способов: пользователь получает OTP/push посредством мессенджера, звонка на телефон, в приложении на смартфоне и т. д. или же предъявляет смарт-карту в качестве второго фактора по запросу агентского приложения, установленного на его АРМ. В последнем случае смарт-карта проверяется только локально, на АРМ пользователя, что исключает открытие лишних сетевых интерфейсов.
Владимир Иванов:
Сам по себе способ аутентификации при удалённом доступе влияет только на доверие к результатам аутентификации, но никак не затрагивает возможностей, касающихся загрузки вредоносного ПО на удалённый компьютер. В RDP-сеансе для проброса с токена открывается интерфейс для работы со смарт-картами, через который загрузить вредонос проблематично, мягко говоря.
Применение многофакторной аутентификации отнюдь не исключает возможностей по мониторингу и управлению доступом.
Если VPN для удалённого подключения не используется, рекомендуется для подписи применять токены, поддерживающие защиту канала по спецификации ФКН2 (SESPAKE) — например, «Рутокен ЭЦП 2.0 3000».
Илья Осадчий:
Такие решения существуют. Одно из них — Silverfort, которое позволяет реализовать МФА без открытия портов, установки прокси или агентов, что позволяет сохранить уровень защищённости и не внедрять в инфраструктуру дополнительные цели атаки. При этом вторым фактором становится мобильное приложение Silverfort, в котором просто необходимо подтвердить факт подключения к запрошенному ресурсу. Отсутствие необходимости предварительной конфигурации второго фактора также позволяет настроить многофакторную аутентификацию постфактум, уже после того, как введен удалённый режим работы.
Сергей Груздев:
Чтобы загрузить (вольно или невольно) на удалённый ПК вредоносное ПО, достаточно разрешить в свойствах RDP-сессии доступ к дисковым ресурсам локального ПК (разрешить в настройках их проброс на удалённый ПК). Используется или нет при этом токен для аутентификации доступа — совершенно неважно, заразить удалённый ПК можно и войдя по паролю.
Каковы перспективы развития у виртуальных токенов?
Владимир Иванов:
Виртуальные токены (криптографические PKI-токены) определённо имеют право на жизнь в качестве временной замены аппаратного токена в случае его утери или выхода из строя и невозможности оперативной замены.
Сергей Груздев:
Есть ряд ситуаций и сценариев, когда уместно применение виртуальных (программных) токенов. Например, использование виртуального токена в качестве запасного — 1) сотрудник уехал в командировку, а свой аппаратный токен потерял, забыл; 2) понадобился удалённый доступ, но доступен лишь мобильный телефон, к которому PKI-токен не подключишь (при этом права доступа с использованием виртуального токена нужно ограничить).
Необходимо всегда помнить про то, что надёжность виртуальных токенов существенно ниже аппаратных и в этом случае вы не сможете контролировать безопасность закрытого ключа и гарантировать отсутствие несанкционированных копий, а как следствие — и возможного скрытого подключения злоумышленников под видом легального пользователя.
Каковы перспективы у системы аутентификации по поведенческому анализу пользователя, которую уже применяют некоторые банки при совершении операций в онлайн-банках клиентов? Есть ли статистика инцидентов и практика, подтверждающая надёжность данной системы аутентификации?
Илья Осадчий:
Системы аутентификации, которые учитывают поведение, паттерны подключений и другие аспекты окружающей среды пользователя, уже давно используются в онлайн-банкинге, но теперь аналогичный подход набирает популярность и в корпоративных сетях. Помимо повышения удобства (при низком уровне риска второй фактор можно не запрашивать) такие системы, как Silverfort, позволяют защищать не только традиционные интерфейсы и протоколы входа в систему, которые в реальности редко используются злоумышленниками, но также и те, которые злоумышленники используют в реальной жизни, например SMB / PsExec, PowerShell, а также функции Run As и сервисные аккаунты. Часто таким образом удаётся остановить и криптолокеры. Принципы работы и примеры можно изучить в блоге Silverfort.
Михаил Рожнов:
Многие системы аутентификации (в том числе у Thales) уже обладают механизмом поведенческого анализа (его ещё называют контекстно-зависимой или адаптивной аутентификацией). Он позволяет задействовать тот или иной способ аутентификации в зависимости от определённых условий: геолокация, IP-адрес, окружение и т. д. Этот подход уже стал популярным, но каких-то серьёзных исследований того, насколько он снижает частоту взломов, мы не видели.
Будет ли работать криптозащита при появлении квантовых компьютеров?
Михаил Рожнов:
Можно точно сказать, что будут найдены адекватные меры: удлинение ключей, применение стойких к квантовому взлому криптоалгоритмов, но сама криптография никуда не исчезнет, будьте уверены!
Сергей Груздев:
Да, квантовый компьютер способен «взламывать» некоторые асимметричные криптоалгоритмы на несколько порядков эффективнее классических компьютеров. Однако на практике ситуация несколько сложнее. Ведущие российские учёные в области квантовой физики, а также представители промышленности на очередной ежегодной конференции Third International School of Quantum Technology (QTS’20) констатировали, что эффективный квантовый компьютер может появиться на горизонте примерно 10—15 лет, при этом необходимо будет ещё решить ряд сложнейших инженерных задач. Эффективным с точки зрения криптоанализа существующих криптоалгоритмов считается квантовый компьютер, содержащий не менее 1000 кубит. В настоящее время реальные квантовые компьютеры не перешагнули рубеж даже в 100 кубит. Кроме того, пока нет алгоритмов для квантового компьютера, позволяющих эффективно «взламывать» симметричные криптоалгоритмы.
Также в заключение стоит сказать, что мировая и российская наука уже озадачена разработкой так называемых постквантовых криптографических механизмов, то есть таких алгоритмов, которые невозможно будет эффективно анализировать с использованием квантовых компьютеров. Таким образом, угроза «взлома» некоторых асимметричных криптоалгоритмов со стороны квантового компьютера действительно существует, но в настоящее время она носит исключительно теоретический характер.
Существуют ли токены, которые можно физически вставить в смартфон, например в слот для SIM-карты или карты памяти?
Михаил Рожнов:
Да, такие токены есть (они называются «токены в формате SIM-карт»). Однако для их корректной работы с приложениями ОС и прикладным ПО необходимо делать интеграцию за счёт применения специального SDK. Также есть Bluetooth-токены, но для них тоже требуются специальные SDK (требуется интеграция с приложениями).
Сергей Груздев:
Да, лет 7 назад мы предлагали токен, совмещённый с картой памяти MicroSD. Микросхема смарт-карты была размещена внутри стандартного корпуса карты памяти MicroSDHC. Работа со смарт-картой происходила через операции чтения / записи в файлы с определёнными именами в файловой системе карты памяти (передача APDU — запись в файл, получение ответа на команду — чтение из файла). К сожалению, это решение не нашло спроса у заказчиков, поскольку всем нужны карты памяти разной ёмкости. Кроме того, в смартфонах на платформе Android только один разъём для карты памяти; значит, единственная карточка, установленная в этом разъёме, должна быть большой ёмкости, и, как следствие, она получалась весьма дорогой. Также не следует забывать, что решение для мобильных платформ всегда требуется как под Android, так и под iOS. В телефонах производства Apple разъёмов под карты памяти нет. Значит, решение на базе карты памяти MicroSD не универсально.
Есть ли перспективы у двухфакторной аутентификации по биометрии? Один раз утечёт, и всё: фактор не сменить, от пальцев не избавишься.
Владимир Иванов:
Применение биометрии оправданно в качестве дополнительного фактора аутентификации с одной оговоркой.
Биометрическая информация не должна храниться и проверяться централизованно. Криптографические методы аутентификации гораздо более надёжны, а биометрический фактор может применяться для обеспечения доступа к криптографическим функциям непосредственно на самом устройстве, которое используется для аутентификации. Кроме того, биометрические данные по сути не представляют собой секрета, весь вопрос — в качестве подделки при необходимости.
Сергей Груздев:
Перспектив у чисто биометрических 2ФА нет и пока не видно. Использование лица и голоса банками показало, что это не аутентификация, а идентификация, и даже её (идентификацию) проводят сначала с использованием стандартных идентификационных атрибутов (например, по номеру телефона, зарегистрированному за конкретным клиентом), а потом уже используют биометрию как уточняющий фактор с некоторой вероятностью. Биометрия в аутентификации, согласно международным стандартам, может использоваться только как дополнительный фактор аутентификации, с некоторой вероятностью подтверждающий факт владения предметом (смарт-картой, USB-токеном, смартфоном, etc). Применение биометрической аутентификации 1:1 в защищённой области чипа смарт-карты или смартфона (TEE) подтверждает факт владения и контроля этим девайсом, не более того.
В части соответствия регуляторным требованиям, например ГОСТ 57580 «Безопасность финансовых (банковских) операций», достаточно ли использовать в качестве второго фактора IP-адрес или имя ПК сотрудника?
Михаил Рожнов:
Нет, многофакторная аутентификация — это фактор знания, владения. Ничто не мешает узнать ваш IP-адрес или имя хоста и сделать его таким же. Параметры IP и имя хоста могут использоваться в части поведенческого анализа. Например, если система понимает, что вы входите с одного и того же хоста и одного и того же IP, то вы можете использовать OTP (например, PUSH OTP для удобства), но если при постоянстве окружения вы входите с другого IP или хоста, то система запросит использовать PKI-токен. Такие решения уже есть, и они действительно используют IP в качестве параметра окружения для определения типа аутентификации (базовая, усиленная, строгая).
Двухфакторная, трёхфакторная, четырёх... есть ли предел?
Владимир Иванов:
С каждым дополнительным шагом в MFA увеличивается число факторов аутентификации, которые необходимо поддерживать. Чем больший «ассортимент» факторов должен содержать каждый пользователь, тем больше затрат будет уходить на их обслуживание.
C каждым дополнительным фактором (четырёх...) растёт сложность и снижается удобство аутентификации для пользователей.
Сама по себе «природа» факторов заключается в том, что они относятся к одному из «семейств»: либо факторы знания, либо факторы владения, либо факторы свойства. Придумать цепочку из четырёх или более факторов, не содержащую повторения факторов из одного «семейства», затруднительно.
Эти три аспекта — условная «стоимость поддержки» совокупности факторов в MFA, удобство выполнения аутентификации для пользователя, целесообразность использования повторения схожих факторов — выступают в роли естественного ограничителя для количества шагов в MFA.
Михаил Рожнов:
Нет, главное — все факторы должны быть разной природы. Например, «пароль и ещё один пароль» не будет являться двухфакторной аутентификацией. Также необходимо отличать двухфакторную аутентификацию от двухэтапной.
Почему биометрия так дорога? Чипы — дешёвые, алгоритмам — 100500 лет. В чём дело?
Владимир Иванов:
Хорошая качественная биометрия действительно стоит дорого. Дешёвые датчики (чипы) не обеспечивают современного уровня по безопасности. Алгоритмы хоть и существуют давно, но постоянно совершенствуются. Это ли не опровергает тезисы о дешевизне и надёжности?
Михаил Рожнов:
Потому что биометрический датчик должен минимизировать ложные срабатывания. Никто не говорит, что не может быть смарт-карты с биометрическим датчиком вместо PIN-кода. Такие бандлы уже существуют — смарт-карта и Windows Hello (биометрический датчик).
У кого из производителей внедрены SSDLC (процессы безопасной разработки)?
Михаил Рожнов:
У компании Thales. Для прохождения различных сертификаций (начиная от Common Criteria и заканчивая ФСТЭК) требуется обязательное подтверждение наличия SDL в компании. Также для крупных компаний это является обязательным элементом жизненного цикла ПО.
Сергей Груздев:
«Аладдин». Но SDL — это как ремонт в квартире: его нельзя закончить… Процессы постоянно улучшаются, требования и внутренняя метрика усиливаются.
Мы приняли для себя довольно высокую планку — уровень доверия 2 — и к разрабатываемому ПО (и процессам проектирования, тестирования, документирования, поддержки), и к «железу».
Используют ли производители внутри своих организаций свои же изделия?
Владимир Иванов:
В компании «Актив» все сотрудники используют «Рутокен» в виде USB-токенов или смарт-карт для доступа в помещения, аутентификации в AD и VPN.
Михаил Рожнов:
Да, конечно. У компании Thales вход на рабочие станции осуществляется по смарт-карте. Доступ в облачные сервисы — по OTP. TESSIS, авторизованный дистрибьютор Thales, использует PUSH OTP для защиты VPN-соединения.
Сергей Груздев:
Практика «Аладдина» — все сотрудники компании используют свои продукты в работе. PKI-токены — не исключение.
Можно ли «управлялки» подключить к SIEM? Есть ли варианты одно- и двухстороннего обмена? Например, отзыв, перевыпуск сертификата по инциденту.
Михаил Рожнов:
Да, часть событий безопасности может быть отправлена в SIEM (например, через Syslog). Далее может быть разработан триггер для блокировки, приостановки аутентификатора и т. д.
Сергей Груздев:
Для выполнения подобных операций система должна обладать двумя качествами — уметь выгружать события в Syslog и иметь API для интеграции с другими системами.
Обоими этими качествами обладает JMS компании «Аладдин». SIEM получает информацию о событии через Syslog. Затем при сработке SIEM через соответствующий API подаётся команда в JMS.
Илья, как вы считаете риски? и кто несёт ответственность за существенные ошибки в оценке рисков?
Илья Осадчий:
Архитектура и детали работы Silverfort доступны в техническом описании системы. Принцип работы Silverfort состоит в расчёте вероятности неавторизованного подключения по шкале от 0 до 100 основываясь на множестве «сигналов» в трёх категориях: выявление аномалий поведения, выявление известных паттернов злоумышленников, актуальная киберразведка. Нет идеальных систем защиты: например, ни один поставщик антивируса не даёт гарантии, что тот остановит все вирусы. Однако Silverfort позволяет существенно повысить защищённость по сравнению с традиционными МФА, а также защитить те протоколы и интерфейсы, которые наиболее подвержены атакам, но не защищаются существующими МФА (SMB / PsExec, PowerShell, функции Run As, сервисные аккаунты). Причём система работает без установки агентов и прокси, что позволяет добавить МФА к тем важным системам, которые традиционно считались незащищаемыми.
Проводился ли анализ безопасности приложений Silverfort, особенно для ОС Android?
Илья Осадчий:
Разработчик Silverfort следует принципам SSDLC, в том числе осуществляется проверка качества и защищённости всех компонентов системы.
Выводы
Многофакторная аутентификация — действительно «горячая тема», которая может заинтересовать даже людей, не имеющих прямого отношения к информационной безопасности. С другой стороны, многообразие форм многофакторной аутентификации, широта её применения, жёсткие требования заказчиков к надёжности таких систем делают MFA отдельной областью знания в сфере информационной безопасности. Каждый из отечественных и зарубежных вендоров, предлагающих свои решения, имеет свою точку зрения на перспективы развития технологий и рынка. Это — питательная среда для содержательной, практически научной дискуссии на экспертном уровне.
Спикеры конференции AM Live «Выбор корпоративной системы многофакторной аутентификации (MFA)» показали себя настоящими профессионалами и в ответах зрителям не обошли стороной «любительские» вопросы о перспективах криптозащиты в эпоху квантовых вычислений или дороговизне биометрических средств. Однако, как и ожидалось, наибольшее количество ответов собрали дискуссионные темы, дающие возможность выразить свою точку зрения. Например, вопрос о возможности «утечки» токена через RDP получил подробные ответы почти от всех участников конференции, тем более что формулировка позволяла экспертам упомянуть свои MFA-продукты.
Интеграция средств аутентификации с SIEM, процессы безопасной разработки аппаратных ключей и средств защиты, соответствие требованиям регуляторов — все эти темы вызывают живой интерес среди специализированной аудитории и могут служить ориентирами если не для разработчиков, то для маркетологов ИБ-компаний при выстраивании коммуникаций со своими клиентами.
