Альтернатива паролю
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
Часовые на посту готовы предпринять самые решительные меры, чтобы помешать всем, кто не знает текущего пароля, пройти на охраняемый объект. Проблема в том, что пароль могут узнать не только свои...
По данным компании Positive Technologies, почти в половине случаев проникновение в корпоративную сеть осуществляется с использованием недостатков парольной защиты — путём подбора словарных паролей. В 79% систем на публичных ресурсах в Интернете использовались пароли, которые легко подобрать, причём они встречались как на уровне веб-приложений, так и для аутентификации доступа к сетевому и серверному оборудованию.
"Основными рисками, на снижение которых в первую очередь направлены средства идентификации и аутентификации, являются риски несанкционированного доступа к ИТ-ресурсам: компьютеру, сети, информации на сайтах, к почте и т. д. При этом антропогенные угрозы и связанные с ними уязвимости стоят на первом месте", — поясняет Алексей Сабанов, заместитель генерального директора компании "Аладдин Р.Д.".
По наблюдениям Михаила Башлыкова, руководителя направления информационной безопасности компании "Крок", классическая парольная защита постепенно уходит в прошлое, так как не обеспечивает должного уровня безопасности. На смену приходят одноразовые пароли и другие средства многофакторной аутентификации. "В некоторых банках при аутентификации транзакций одноразовый пароль на стороне клиента формируется в зависимости от типа транзакции, — добавляет Башлыков. — Например, если клиент хочет перевести деньги с одного счёта на другой, одноразовый пароль на его стороне формируется в зависимости от введенных параметров операции. Если злоумышленник перехватит платёж и подменит номер счёта, одноразовый пароль при проверке на стороне системы будет отличаться от введённого клиентом и аутентификация не пройдёт".
"Применение новейших разработок в области аутентификации позволяет существенно снизить вероятность неправомерной авторизации пользователей, вторжения злоумышленников в информационную среду предприятия, а также несанкционированных действий инсайдеров", — считает Александр Колесников, технический директор компании Tegrus. Вместе с тем интеграция таких новинок в систему ИБ компании несёт в себе определённые риски организационного характера. В частности, биометрическая аутентификация может быть негативно воспринята консервативными сотрудниками. Планируя внедрение таких решений, лучше заранее оповестить персонал о готовящихся изменениях, рассказать об организации хранения персональных данных и процедуре идентификации — это позволит свести риски негативного восприятия новинок практически к нулю.
ЧТО ЭФФЕКТИВНО СЕГОДНЯ?
В зависимости от уровня и частоты возникновения вероятных опасных событий можно применять те или иные технологии и средства аутентификации, поясняет Сабанов. Он рекомендует разделить их условно на три уровня: простая аутентификация (например, с помощью пароля), усиленная (например, одноразовый пароль) и строгая (двусторонняя, или взаимная, аутентификация с применением электронной подписи). В зависимости от уровня организации (точнее, степени "доверенности") процессов регистрации пользователя, хранения, предъявления аутентификатора, корректности применения протоколов аутентификации, проверки валидности электронного удостоверения и принятия решения "свой-чужой" можно использовать простую, усиленную или строгую аутентификацию. При этом риски должны не только оцениваться на этапе проектирования, но и отслеживаться в процессе эксплуатации выбранных средств.
"Одноразовые пароли на сегодняшний день оптимальны для аутентификации по соотношению цены и качества, — комментирует Башлыков. — Что касается инноваций, стоит упомянуть биометрические средства защиты: по сетчатке глаза или кровеносным сосудам в глазном яблоке, по отпечатку пальца, по 3D-слепку лица и даже по сердцебиению. Такие системы обеспечивают максимальный уровень безопасности и одновременно являются самым дорогим решением. Потому их уместно использовать для особо крупных транзакций, доступа к критичным для бизнеса системам, защиты данных топ-менеджеров". Впрочем, по мнению Сабанова, технологии RFID и NFC, как и любая биометрия, могут всего лишь помогать лучше идентифицировать, но не аутентифицировать пользователя.
"Говоря об эффективности решений для аутентификации, я бы не разделял понятия надёжности и целесообразности применения каждого вида этих систем для различных уровней доступа к корпоративным данным, поскольку с повышением надёжности неизменно растёт стоимость их внедрения, — замечает Колесников. — На мой взгляд, проектировать систему аутентификации пользователей необходимо в строгом соответствии с иерархией доступа сотрудников к критически важной информации: чем выше уровень их доступа, тем более надёжные средства аутентификации должны применяться".
МОБИЛЬНАЯ АУТЕНТИФИКАЦИЯ
Конструктивные особенности подавляющего большинства смартфонов и планшетов, к сожалению, оставляют единственную возможность аутентификации пользователей — на основании паролей, сетует Колесников. Повысить эффективность защиты в таком случае сможет более частая смена паролей и ограничение возможностей пользователя при доступе с мобильного устройства. Ноутбуки, в отличие от них, позволяют использовать для аутентификации аппаратные USB-ключи с функцией генерации одноразовых паролей.
Как отмечает Башлыков, для мобильной аутентификации сегодня самое популярное средство — это одноразовые пароли: "При оплате товаров или услуг пользователи получают их в большинстве случаев по SMS, вводя затем пароли на странице банка или через специальное приложение на мобильном устройстве". Есть и альтернативный способ получения пароля: клиент увидит его на экране телефона, но SMS при этом отправляться не будет. "Считается, что этот вариант более безопасен, так как интернет-канал, в отличие от SMS, можно зашифровать", — поясняет Башлыков.
Также достаточно активно развивается раздельная аутентификация, она особенно актуальна для банков. "Суть её в следующем: у клиента банка имеется небольшой брелок, в корпусе которого зашиты два логически независимых устройства, формирующих одноразовые пароли. Одно устройство используется для строгой аутентификации в системе интернет-банкинга, а другое — для аутентификации сразу в нескольких других информационных системах (социальных сетях, порталах онлайн-игр, личной электронной почте и т. д.). Это делается для разграничения доступа к персональным и корпоративным данным", — рассказывает Башлыков.
Как бы то ни было, с точки зрения методологии оценки рисков аутентификации мобильный доступ мало отличается от традиционного, уверен Сабанов: "Видоизменяется и расширяется пространство угроз и уязвимостей. В частности, добавляются каналы возможных атак, а также отсутствие доверенной платформы и операционной системы. Поэтому возникает необходимость применять и более защищённые средства аутентификации. Выбор их необходимо осуществлять после исследования рисков".
ОБЛАЧНАЯ АУТЕНТИФИКАЦИЯ
По мнению Башлыкова, особой специфики в части аутентификации в облаках нет, и здесь наблюдаются те же тенденции развития, что и в области защиты "классических" систем и мобильных устройств. Колесников также согласен, что аутентификация в облаках принципиально не отличается от той, что производится в обычном аккаунте корпоративной информационной системы. Однако пока чаще всего используются пароли. У Сабанова иное мнение: "Облако облаку рознь. В корпоративном облаке нет необходимости менять средства и механизмы аутентификации — все ресурсы находятся внутри защищённого периметра под контролем "своего" администратора безопасности. Совсем другое — публичные облака. Для безопасного управления доступом сотрудников к ним предприятиям необходимо будет перейти от распространенной парольной аутентификации к строгой".
РЕГЛАМЕНТНАЯ ПОДДЕРЖКА
Основной документ, регулирующий применение средств защиты корпоративных данных и разграничение прав доступа к ним, — корпоративная политика ИБ, напоминает Колесников: "Она должна определять, какими правами доступа и полномочиями действий в информационной системе должны обладать различные категории сотрудников, какие средства верификации личности должны применяться для каждой из этих категорий и так далее. Поэтому перед внедрением новинок в области аутентификации важно тщательно продумать иерархию прав пользователей и формализировать её в виде отдельного документа, дополняющего общую политику ИБ".
Три года назад была утверждена новая версия закона об электронной подписи. Под его действие подпадают аутентификация и методом простых или одноразовых паролей (простая электронная подпись), и аутентификация через токены (усиленная квалифицированная и неквалифицированная электронная подпись), информирует Башлыков. В законодательстве описаны основные меры, которые необходимо предпринимать, чтобы обеспечить юридическую значимость такой аутентификации. Помимо этого, вопросы аутентификации решаются на уровне отдельных организаций: компании формируют политики безопасности, в них определяются требования к средствам аутентификации, регламенты их замены и т. д.
"Состояние нашей нормативной базы в части идентификации и аутентификации — это очень больной вопрос. — обеспокоен Сабанов. — Здесь мы отстаём от развитых стран минимум на 10 лет: выбор механизмов и средств идентификации и аутентификации сегодня отдан на откуп владельцам информационных систем. К сожалению, далеко не все понимают важность решения задач аутентификации и возможные способы корректного их решения. Возможно, толчком к развитию нормативной базы послужит обсуждаемая сегодня необходимость принятия федерального закона об идентификации и аутентификации".
Итак, аутентификация по паролю вполне может использоваться в системах, где требования к её надёжности не столь велики. Чтобы обеспечить более высокий уровень надёжности аутентификации, есть другие, более хитрые и дорогостоящие средства. Очень важно, чтобы они были адекватны масштабам рисков и угроз, от которых они призваны защищать, поэтому выбор средств аутентификации необходимо проводить в тесном взаимодействии с бизнесом, опираясь на его видение рисков и отталкиваясь от его представлений о возможных потерях, — без этого никак.