22.07.2014

Альтернатива паролю

"Директор информационной службы", июль, № 7, 2014<br>
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."

Часовые на посту готовы предпринять самые решительные меры, чтобы помешать всем, кто не знает текущего пароля, пройти на охраняемый объект. Проблема в том, что пароль могут узнать не только свои...

По данным компании Positive Technologies, почти в половине случаев проникновение в корпоративную сеть осуществляется с использованием недостатков парольной защиты — путём подбора словарных паролей. В 79% систем на публичных ресурсах в Интернете использовались пароли, которые легко подобрать, причём они встречались как на уровне веб-приложений, так и для аутентификации доступа к сетевому и серверному оборудованию.

"Основными рисками, на снижение которых в первую очередь направлены средства идентификации и аутентификации, являются риски несанкционированного доступа к ИТ-ресурсам: компьютеру, сети, информации на сайтах, к почте и т. д. При этом антропогенные угрозы и связанные с ними уязвимости стоят на первом месте", — поясняет Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.".

По наблюдениям Михаила Башлыкова, руководителя направления информационной безопасности компании "Крок", классическая парольная защита постепенно уходит в прошлое, так как не обеспечивает должного уровня безопасности. На смену приходят одноразовые пароли и другие средства многофакторной аутентификации. "В некоторых банках при аутентификации транзакций одноразовый пароль на стороне клиента формируется в зависимости от типа транзакции, — добавляет Башлыков. — Например, если клиент хочет перевести деньги с одного счёта на другой, одноразовый пароль на его стороне формируется в зависимости от введенных параметров операции. Если злоумышленник перехватит платёж и подменит номер счёта, одноразовый пароль при проверке на стороне системы будет отличаться от введённого клиентом и аутентификация не пройдёт".

"Применение новейших разработок в области аутентификации позволяет существенно снизить вероятность неправомерной авторизации пользователей, вторжения злоумышленников в информационную среду предприятия, а также несанкционированных действий инсайдеров", — считает Александр Колесников, технический директор компании Tegrus. Вместе с тем интеграция таких новинок в систему ИБ компании несёт в себе определённые риски организационного характера. В частности, биометрическая аутентификация может быть негативно воспринята консервативными сотрудниками. Планируя внедрение таких решений, лучше заранее оповестить персонал о готовящихся изменениях, рассказать об организации хранения персональных данных и процедуре идентификации — это позволит свести риски негативного восприятия новинок практически к нулю.

ЧТО ЭФФЕКТИВНО СЕГОДНЯ?

В зависимости от уровня и частоты возникновения вероятных опасных событий можно применять те или иные технологии и средства аутентификации, поясняет Сабанов. Он рекомендует разделить их условно на три уровня: простая аутентификация (например, с помощью пароля), усиленная (например, одноразовый пароль) и строгая (двусторонняя, или взаимная, аутентификация с применением электронной подписи). В зависимости от уровня организации (точнее, степени "доверенности") процессов регистрации пользователя, хранения, предъявления аутентификатора, корректности применения протоколов аутентификации, проверки валидности электронного удостоверения и принятия решения "свой-чужой" можно использовать простую, усиленную или строгую аутентификацию. При этом риски должны не только оцениваться на этапе проектирования, но и отслеживаться в процессе эксплуатации выбранных средств.

"Одноразовые пароли на сегодняшний день оптимальны для аутентификации по соотношению цены и качества, — комментирует Башлыков. — Что касается инноваций, стоит упомянуть биометрические средства защиты: по сетчатке глаза или кровеносным сосудам в глазном яблоке, по отпечатку пальца, по 3D-слепку лица и даже по сердцебиению. Такие системы обеспечивают максимальный уровень безопасности и одновременно являются самым дорогим решением. Потому их уместно использовать для особо крупных транзакций, доступа к критичным для бизнеса системам, защиты данных топ-менеджеров". Впрочем, по мнению Сабанова, технологии RFID и NFC, как и любая биометрия, могут всего лишь помогать лучше идентифицировать, но не аутентифицировать пользователя.

"Говоря об эффективности решений для аутентификации, я бы не разделял понятия надёжности и целесообразности применения каждого вида этих систем для различных уровней доступа к корпоративным данным, поскольку с повышением надёжности неизменно растёт стоимость их внедрения, — замечает Колесников. — На мой взгляд, проектировать систему аутентификации пользователей необходимо в строгом соответствии с иерархией доступа сотрудников к критически важной информации: чем выше уровень их доступа, тем более надёжные средства аутентификации должны применяться".

МОБИЛЬНАЯ АУТЕНТИФИКАЦИЯ

Конструктивные особенности подавляющего большинства смартфонов и планшетов, к сожалению, оставляют единственную возможность аутентификации пользователей — на основании паролей, сетует Колесников. Повысить эффективность защиты в таком случае сможет более частая смена паролей и ограничение возможностей пользователя при доступе с мобильного устройства. Ноутбуки, в отличие от них, позволяют использовать для аутентификации аппаратные USB-ключи с функцией генерации одноразовых паролей.

Как отмечает Башлыков, для мобильной аутентификации сегодня самое популярное средство — это одноразовые пароли: "При оплате товаров или услуг пользователи получают их в большинстве случаев по SMS, вводя затем пароли на странице банка или через специальное приложение на мобильном устройстве". Есть и альтернативный способ получения пароля: клиент увидит его на экране телефона, но SMS при этом отправляться не будет. "Считается, что этот вариант более безопасен, так как интернет-канал, в отличие от SMS, можно зашифровать", — поясняет Башлыков.

Также достаточно активно развивается раздельная аутентификация, она особенно актуальна для банков. "Суть её в следующем: у клиента банка имеется небольшой брелок, в корпусе которого зашиты два логически независимых устройства, формирующих одноразовые пароли. Одно устройство используется для строгой аутентификации в системе интернет-банкинга, а другое — для аутентификации сразу в нескольких других информационных системах (социальных сетях, порталах онлайн-игр, личной электронной почте и т. д.). Это делается для разграничения доступа к персональным и корпоративным данным", — рассказывает Башлыков.

Как бы то ни было, с точки зрения методологии оценки рисков аутентификации мобильный доступ мало отличается от традиционного, уверен Сабанов: "Видоизменяется и расширяется пространство угроз и уязвимостей. В частности, добавляются каналы возможных атак, а также отсутствие доверенной платформы и операционной системы. Поэтому возникает необходимость применять и более защищённые средства аутентификации. Выбор их необходимо осуществлять после исследования рисков".

ОБЛАЧНАЯ АУТЕНТИФИКАЦИЯ

По мнению Башлыкова, особой специфики в части аутентификации в облаках нет, и здесь наблюдаются те же тенденции развития, что и в области защиты "классических" систем и мобильных устройств. Колесников также согласен, что аутентификация в облаках принципиально не отличается от той, что производится в обычном аккаунте корпоративной информационной системы. Однако пока чаще всего используются пароли. У Сабанова иное мнение: "Облако облаку рознь. В корпоративном облаке нет необходимости менять средства и механизмы аутентификации — все ресурсы находятся внутри защищённого периметра под контролем "своего" администратора безопасности. Совсем другое — публичные облака. Для безопасного управления доступом сотрудников к ним предприятиям необходимо будет перейти от распространенной парольной аутентификации к строгой".

РЕГЛАМЕНТНАЯ ПОДДЕРЖКА

Основной документ, регулирующий применение средств защиты корпоративных данных и разграничение прав доступа к ним, — корпоративная политика ИБ, напоминает Колесников: "Она должна определять, какими правами доступа и полномочиями действий в информационной системе должны обладать различные категории сотрудников, какие средства верификации личности должны применяться для каждой из этих категорий и так далее. Поэтому перед внедрением новинок в области аутентификации важно тщательно продумать иерархию прав пользователей и формализировать её в виде отдельного документа, дополняющего общую политику ИБ".

Три года назад была утверждена новая версия закона об электронной подписи. Под его действие подпадают аутентификация и методом простых или одноразовых паролей (простая электронная подпись), и аутентификация через токены (усиленная квалифицированная и неквалифицированная электронная подпись), информирует Башлыков. В законодательстве описаны основные меры, которые необходимо предпринимать, чтобы обеспечить юридическую значимость такой аутентификации. Помимо этого, вопросы аутентификации решаются на уровне отдельных организаций: компании формируют политики безопасности, в них определяются требования к средствам аутентификации, регламенты их замены и т. д.

"Состояние нашей нормативной базы в части идентификации и аутентификации — это очень больной вопрос. — обеспокоен Сабанов. — Здесь мы отстаём от развитых стран минимум на 10 лет: выбор механизмов и средств идентификации и аутентификации сегодня отдан на откуп владельцам информационных систем. К сожалению, далеко не все понимают важность решения задач аутентификации и возможные способы корректного их решения. Возможно, толчком к развитию нормативной базы послужит обсуждаемая сегодня необходимость принятия федерального закона об идентификации и аутентификации".

Итак, аутентификация по паролю вполне может использоваться в системах, где требования к её надёжности не столь велики. Чтобы обеспечить более высокий уровень надёжности аутентификации, есть другие, более хитрые и дорогостоящие средства. Очень важно, чтобы они были адекватны масштабам рисков и угроз, от которых они призваны защищать, поэтому выбор средств аутентификации необходимо проводить в тесном взаимодействии с бизнесом, опираясь на его видение рисков и отталкиваясь от его представлений о возможных потерях, — без этого никак.