Firmy wydają coraz więcej pieniędzy na bezpieczeństwo IT, ale często są to niewłaściwie alokowane środki. Pocieszeniem może być fakt, że część przedsiębiorców zaczyna inaczej myśleć o ochronie sieci i danych, a w efekcie sięgać po nowe, wcześniej rzadko stosowane narzędzia.
Więcej na temat obecnie stosowanych zabezpieczeń oraz trendów w obszarze uwierzytelniania przeczytacie w najnowszym komentarzu Sebastiana Mazurczyka- Senior System Engineera w Veracomp.
1. Na ile istotną rolę w strategii bezpieczeństwa odgrywa zarządzanie dostępem do zasobów i cyfrowymi tożsamościami? Czy na przestrzeniach ostatnich dwóch lat firmy przywiązują większą wagę do tego typu kwestii?
Zarządzanie dostępem do zasobów i cyfrowymi tożsamościami to jedno z podstawowych założeń realizacji polityki bezpieczeństwa, które znamy od lat, stosując różnego rodzaju systemy operacyjne na stacjach roboczych. Wraz z rozwojem systemów pracy grupowej, współdzielonych systemów i aplikacji mechanizmy te nabrały szerszego znaczenia. Polityki dostępu nie dotyczą już tylko samych użytkowników. Precyzyjna kontrola musi obejmować również urządzenia i aplikacje, ponieważ te odgrywają równie ważną rolę w przetwarzaniu danych.
Proces implementacji tego typu mechanizmów składa się z kilku etapów. Trzeba określić i zdefiniować zasoby, które będą podlegały kontroli: użytkowników (ich lista w większości organizacji jest dosyć dobrze skatalogowana), aplikacje i urządzenia, a następnie zastosować narzędzia, które będą integrowały się z istniejącymi systemami i umożliwiały określenie mniej lub bardziej szczegółowych polityk.
Na przestrzeni ostatnich lat tego typu mechanizmy są jednym z podstawowych punktów zainteresowania większych firm i organizacji, które coraz bardziej koncentrują się na zabezpieczeniu zasobów o strategicznym i biznesowym znaczeniu dla przedsiębiorstwa. W mniejszych firmach proces ten postępuje znacznie wolniej. W ich przypadku zwykle nie są wykorzystywane dedykowane narzędzia, a polityka dostępu opiera się najczęściej na mechanizmach zaimplementowanych w zintegrowanych systemach ochrony. Taką sytuację można jednak w pewien sposób uzasadnić.
Wyobraźmy sobie firmę, która zatrudnia kilka czy kilkanaście osób i nie ma administratora. Raczej nie zastosuje ona dedykowanych systemów, ponieważ są to większe koszty i dodatkowa praca związana z obsługą tych systemów. Być może w mniejszych firmach proces ten bardziej się upowszechni, kiedy zaczną one w większym stopniu stosować zasoby w chmurze oraz dodatkowe usługi, które w tym zakresie przygotowują operatorzy Data Center.
2. Jak oceniacie Państwo przyszłość zabezpieczeń bazujących na hasłach? Na ile FIDO2 i rozwój biometrii mogą zmienić tradycyjne metody uwierzytelniania?
Hasła pozostaną z nami jeszcze przez pewien czas. Wynika to głównie z przyzwyczajeń użytkowników, implementacji mechanizmów uwierzytelniania w aplikacjach oraz kosztów administrowania rozbudowanymi mechanizmami. Należy podkreślić, że w większości firm nie są to już same hasła. W ostatnim czasie upowszechniły się mechanizmy uwierzytelniania wieloskładnikowego, które są najczęściej zaimplementowane w zintegrowane systemy ochrony lub dostarczane w formie usługi zarządzanej z chmury.
Jednak jeśli chodzi o FIDO2 to rzeczywiście sposób uwierzytelnienia jest tutaj tak przemyślany, by nie było potrzeby zapamiętywania użytkownika ani hasła. Czasem zdarza się, że użytkownik nie pamięta hasła do zasobu, którego rzadko używa. Co wtedy? Zapisuje je na kartce lub w telefonie. Czy to bezpieczne? Raczej nie.
FIDO2 znacznie poprawi bezpieczeństwo procesu uwierzytelnienia. Bazujący na bardzo mocnych kluczach mechanizm szybko się upowszechni – głównie za sprawą różnorakich serwisów i aplikacji, które wykorzystujemy oraz możliwości zastosowania urządzeń mobilnych w tym zakresie. Należy jednak podkreślić, że proces ten – w przypadku zasobów firmowych – będzie następował stopniowo, głównie dlatego, że aby używać FIDO2 aplikacje muszą być do tego odpowiednio przygotowane.
Co do biometrii to cały czas jest rozwijana i coraz częściej stosowana, np. biometria głosowa do uwierzytelnienia lub odzyskania hasła w banku czy biometria tęczówki oka do zasobów fizycznych. Duże firmy chętnie będą z niej korzystały – głównie z uwagi na elastyczność. „Poświadczenia” biometryczne to coś, co zawsze ze sobą mamy (w odróżnieniu do tokenów) i nie ulegają zapomnieniu.
3. Na ile mechanizmy Single Sign-On ułatwiają zarządzenie dostępem do zasobów przedsiębiorstwa? Czy firmy często stosują tę metodę?
Single single-on to mechanizm, w którym użytkownik uwierzytelnia się tylko raz, a następnie ma dostęp do wszystkich zasobów, które administrator przewidział dla grupy, do której ten użytkownik należy. Ta metoda upowszechniła się kiedy, producenci systemów klasy firewall umożliwili definiowanie polityk kontroli dostępu bazujących na tożsamości.
W większości firm stosowane są centralne bazy informacji o użytkownikach: AD, RADIUS. Z punktu widzenia administracyjnego posługiwanie się grupami lub nazwami użytkowników jest bardzo elastyczne – zwłaszcza kiedy definiowane polityki mają odzwierciedlać jednostki organizacyjne, funkcjonujące w ramach organizacji. Drugim aspektem jest rozliczalność. W takim przypadku logi zawierają spersonalizowane informacje, które w razie potrzeby łatwo analizować.
SSO to również duże ułatwienie dla użytkowników. Prześledźmy przykładowy proces. Użytkownik loguje się do swojego komputera lub nawiązuje połączenie VPN. Informacja o nim, o grupach do których należy, adresach IP – na których pracuje – przekazywana jest do wszystkich systemów funkcjonujących w obrębie organizacji. Zatem wszystkie te systemy nie mają potrzeby ponownie pytać o dane logowania. To wszystko sprawia, że w dużej ilości firm ten mechanizm jest chętnie stosowany.
4. Biznes coraz częściej korzysta z uwierzytelniania wieloskładnikowego. Obecnie najczęściej stosuję się metodą dwuskładnikową ( zazwyczaj login i hasło + mobilna aplikacja). Czy w perspektywie najbliższych 2-3 lat można spodziewać się, że przedsiębiorcy będą stosować więcej składników autentykacji? Czy mobilne aplikacje zastąpią sprzętowe tokeny bądź biometria?
Prawdą jest, że uwierzytelnianie dwuskładnikowe (hasło + token) jest powszechnie stosowane w organizacjach. Ostatnie trzy lata to rozwój tych mechanizmów na rynku małych i średnich firm, głównie za sprawą implementacji tych mechanizmów w systemach zintegrowanych NGFW oraz popularyzacji usług tego typu zarządzanych przez cloud. Administrator nie musi już stosować dodatkowych systemów – wystarczy, że zakupi licencję na określoną ilość tokenów na urządzenia mobilne lub tokenów sprzętowych.
Tokeny mobilne sprawdzają się bardzo dobrze w życiu codziennym, ponieważ telefon zwykle mamy ze sobą zawsze i wszędzie. Łatwiej zapomnieć portfela czy dokumentów niż telefonu.. Warto tutaj zwrócić szczególną uwagę na zagadnienie bezpieczeństwa danych przechowywanych na urządzeniach mobilnych – ale to temat na osobną dyskusję.
Rozbudowa mechanizmów dodatkowych poświadczeń nabrała tempa. Dostępne obecnie na rynku rozwiązania oferują więcej składników uwierzytelniania. Nie są to już tylko kody jednorazowe ale dodatkowo metody PUSH, kody QR oraz biometryka. Kolejny składnik uwierzytelnienia nie wymaga zwykle zmian w systemach czy aplikacjach – należy się zatem spodziewać, że wszystkie te nowe metody będą stawały się coraz bardziej popularne.
Co do ilości stosowanych metod pewnie w zdecydowanej większości pozostanie jeden dodatkowy składnik bazujący na urządzaniach mobilnych. Z kolei dla strategicznych zasobów stosowane będą dodatkowe metody.
5. Rozwiązania MFA dość rzadko występują w małych firmach. Czy w najbliższym czasie można spodziewać się, że uwierzytelnianie wieloskładnikowe zyska większą akceptacją wśród tego typu odbiorców? Co jest największą przeszkodą hamującą adaptację MFA w MŚP?
Wydaje mi się, że bariera obecności MFA w większości małych firm została już przełamana, głównie dlatego, że taki dodatkowy składnik uwierzytelnienia jest funkcją systemu ochrony firewall (NGFW), który jest powszechnie stosowany. W tym przypadku administrator rejestruje token sprzętowy lub mobilny w urządzeniu, przypisuje ten token użytkownikowi i proces można uznać za zakończony. Wszędzie tam, gdzie wymagane są dodatkowe poświadczenia użytkownik zostanie o nie zapytany jedną z dostępnych metod. Jednym słowem MFA stało się bardzo proste, zarówno z punktu widzenia administracyjnego, jak i użytkowego.
W przeszłości mechanizmy uwierzytelnienia wieloskładnikowego – z uwagi na koszt zakupu i obsługi – były stosowane tylko w większych firmach. Jednak to się zmieniło. Wybierając system zabezpieczeń warto zweryfikować, czy MFA jest w zestawie jego funkcji.
6. Jak Państwo oceniacie popularność rozwiązań IAM oraz PAM na polskim rynku? Które z nich cieszy się większym popytem? Czy często zdarza się, że klienci stosują oba systemy?
Systemy PAM są już ok kilku lat bardzo często stosowane na polskim rynku, gównie w dużych instytucjach. Doskonale sprawdzają się wszędzie tam, gdzie wymagane są bardzo bezpieczne metody uwierzytelnienia dla większej liczby użytkowników uprzywilejowanych. Zarządzając zmianą haseł i kluczy ułatwiają administrowanie, a dodatkowe mechanizmy kontroli i rejestrowania sesji administracyjnych pozwalają eliminować nieprawidłowości i anomalie związane z operacjami dokonywanymi przez danego użytkownika.
W małych firmach systemy PAM nie są tak bardzo popularne, głównie za sprawą struktury administracyjnej oraz ich złożonej implementacji. Są one zwykle rozbudowane i wymagają dedykowanej osoby do ich obsługi.
Systemy IAM uzupełniają funkcje PAM – w ten sposób dostarczając mechanizmy zarządzania tożsamością dla wszystkich użytkowników w organizacji. Mogą czerpać informacje o użytkownikach z wielu źródeł, uwspólniają je, a następnie pozwalają stosować w dostępie do systemów, aplikacji oraz danych zlokalizowanych w obrębie organizacji. Te – podobnie jak PAM – wykorzystywane są najczęściej w dużych organizacjach, choć pewne ich elementy są zaimplementowane w systemach zintegrowanych i tym samym trafiają do średnich i mniejszych firm.
7. Na ile nowe ustawy (RODO, PCI DSS) zmieniły rynek systemów uwierzytelniania i kontroli dostępu? W jakim kierunku będzie on ewoluował w najbliższych 2-3 latach?
W dużym skrócie – zarówno RODO jak i PCI DSS – regulują procesy związane z bezpieczeństwem danych. Można rozszerzyć je jeszcze o inne regulacje. Kluczem jest zabezpieczenie informacji, które są przedmiotem danej regulacji. W tym temacie – w okresie ostatnich trzech lat – odbyliśmy bardzo wiele spotkań, głównie za sprawą RODO. Ta regulacja wydaje się szczególnie ciekawa pod tym kątem, przede wszystkim za sprawą wielu obszarów, w których kontrolowany jest dostęp użytkowników i aplikacji do chronionych danych.
Czy te regulacje zmieniły rynek? Chyba nie do końca. Dostępne mechanizmy uwierzytelniania i kontroli dostępu zostały raczej dostosowane do potrzeb poszczególnych regulacji. Producenci starają się jednak rozbudowywać funkcje w swoich systemach tak, aby można było tworzyć jak najbardziej precyzyjne polityki kontroli. Stąd funkcje przeszukiwania i katalogowania danych, które połączone z dotychczasowymi mechanizmami znacznie usprawniają cały proces.
Pełną wersję artykułu na ten temat, który ukazał się w październikowym wydaniu magazynu CRN przeczytasz poniżej.
