Обзор рынка средств многофакторной аутентификации
Бурный рост секторов рынка систем "3А" (аутентификация, авторизация, безопасное администрирование) и средств строгой аутентификации привел к появлению множества различных типов аппаратных и программных идентификаторов, а также их гибридных модификаций. Заказчик, желающий внедрить систему многофакторной аутентификации, сегодня оказывается перед нелегким выбором. Тенденции объединения физической и логической аутентификации, интеграции решений для создания единой точки входа и системы управления идентификацией лишь усугубляют проблему выбора. В этой статье мы постараемся помочь заказчику разобраться с представленными на рынке решениями и сделать правильный выбор.
Одной из наиболее опасных угроз ИТ-безопасности сегодня является несанкционированный доступ к конфиденциальной информации. Согласно исследованию Института компьютерной безопасности США и ФБР (см. "CSI/FBI Computer Crime and Security Survey 2005"), в прошлом году 55% компаний зарегистрировали инциденты, связанные с неправомочным доступом к данным. Более того, каждая фирма потеряла в 2005 году вследствие неавторизованного доступа в среднем 303 тыс. долл., причем по сравнению с 2004 годом убытки увеличились в 6 раз.
Бизнес сразу же отреагировал на возросшую опасность угроз. По данным IDC (см. "Russia Security Software 2005-2009 Forecast and 2004 Vendor Shares"), российские компании не только увечили инвестиции в ИТ-безопасность на 32,7%, но и в значительной мере направили свои усилия на внедрение систем "3А" (аутентификация, авторизация, безопасное администрирование).
Сегмент рынка систем "3А" за год вырос на 83%. Такая динамика вполне объяснима: средства сильной аутентификации, лежащие в основе всей концепции "3А", позволяют защитить компанию от целого комплекса угроз ИТ-безопасности — это и несанкционированный доступ к информации, и неправомочный доступ к корпоративной сети со стороны служащих, и мошенничество, и утечки данных вследствие кражи мобильных устройств или действий персонала и т.д., а ведь известно, что каждая из этих угроз ежегодно наносит громадный ущерб.
В основе сильной аутентификации лежит двух или трехфакторный процесс проверки, по результатам которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам. В первом случае служащий должен доказать, что он знает пароль или PIN и имеет определенный персональный идентификатор (электронный ключ или смарт-карту), а во втором случае пользователь предъявляет еще один тип идентификационных данных, например, биометрические данные.
Использование средств многофакторной аутентификации в немалой степени снижает роль паролей, и в этом проявляется еще одно преимущество строгой аппаратной аутентификации, так как, по некоторым оценкам, сегодня пользователям требуется помнить около 15 различных паролей для доступа к учетным записям. Вследствие информационной перегруженности служащие, чтобы не забыть пароли, записывают их на бумаге, что снижает уровень безопасности из-за компрометации пароля. Забывание паролей наносит фирмам серьезный финансовый ущерб. Так, исследование Burton Group (см. "Enterprise Single Sign-on: Access Gateway to Applications") показало, что каждый звонок в компьютерную службу помощи обходится компании в 25-50 долл., а от 35 до 50% всех обращений приходится именно на забывчивых сотрудников. Таким образом, использование усиленной или двухфакторной аутентификации позволяет не только снизить риски ИТ-безопасности, но и оптимизировать внутренние процессы компании вследствие уменьшения прямых финансовых потерь.
Как уже было сказано, высокая эффективность средств многофакторной аутентификации привела к стремительному росту рынка систем "3А". Изобилие представленных решений требует от заказчиков соответствующей компетентности, ведь каждый предлагаемый тип персонального идентификатора характеризуется своими достоинствами и недостатками, а следовательно, и сценариями использования. К тому же бурное развитие данного сегмента рынка уже в ближайшие годы приведет к тому, что часть продвигаемых сегодня аппаратных идентификаторов останется за бортом. Таким образом, отдавая предпочтение тому или иному решению сегодня, заказчик должен учитывать не только текущие потребности организации, но и будущие.
Типы персональных средств аутентификации
В настоящее время на рынке представлено немало персональных идентификаторов, различающихся как по техническим возможностям и функциональности, так и по форм-фактору. Рассмотрим их подробнее.
USB-токеныПроцесс двухфакторной аутентификации с использованием USB-токенов проходит в два этапа: пользователь подключает это небольшое устройство в USB-порт компьютера и вводит PIN-код. Преимуществом данного типа средств аутентификации является высокая мобильность, так как USB-порты имеются на каждой рабочей станции и на любом ноутбуке.
При этом применение отдельного физического устройства, которое способно обеспечить безопасное хранение высокочувствительных данных (ключей шифрования, цифровых сертификатов и т.д.), позволяет реализовать безопасный локальный или удаленный вход в вычислительную сеть, шифрование файлов на ноутбуках, рабочих станциях и серверах, управление правами пользователя и осуществление безопасных транзакций.
Смарт-карты
Эти устройства, внешне напоминающие кредитную карту, содержат защищенный микропроцессор, позволяющий выполнять криптографические операции. Для успешной аутентификации требуется вставить смарт-карту в считывающее устройство и ввести пароль. В отличие от USB-токенов, смарт-карты обеспечивают значительно большую безопасность хранения ключей и профилей пользователя. Смарт-карты оптимальны для использования в инфраструктуре открытых ключей (PKI), так как осуществляют хранение ключевого материала и сертификатов пользователей в самом устройстве, а секретный ключ пользователя не попадает во враждебную внешнюю среду. Однако смарт-карты обладают серьезным недостатком — низкой мобильностью, поскольку для работы с ними требуется считывающее устройство.
USB-токены со встроенным чипом
От смарт-карт данный тип персонального идентификатора отличается только формфактором. USB-токены со встроенным чипом обладают всеми преимуществами смарт-карт, связанными с безопасным хранением конфиденциальных сведений и осуществлением криптографических операций прямо внутри токена, но лишены их основного недостатка, то есть не требуют специального считывающего устройства. Полифункциональность токенов обеспечивает широкие возможности их применения — от строгой аутентификации и организации безопасного локального или удаленного входа в вычислительную сеть до построения на основе токенов систем юридически важного электронного документооборота, организации защищенных каналов передачи данных, управления правами пользователя, осуществления безопасных транзакций и др.
OTP-токены
Технология OTP (One Time Password) подразумевает использование одноразовых паролей, которые генерируются с помощью токена. Для этого служит секретный ключ пользователя, размещенный как внутри OTP-токена, так и на сервере аутентификации. Для того чтобы получить доступ к необходимым ресурсам, сотрудник должен ввести пароль, созданный с помощью OTP-токена. Этот пароль сравнивается со значением, сгенерированным на сервере аутентификации, после чего выносится решение о предоставлении доступа. Преимуществом такого подхода является то, что пользователю не требуется соединять токен с компьютером (в отличие от вышеперечисленных типов идентификаторов). Однако количество приложений ИТ-безопасности, которые поддерживают возможность работы с OTP-токенами, сегодня намного меньше, чем для USB-токенов (как с чипом, так и без) и смарт-карт. Недостатком OTP-токенов является ограниченное время жизни этих устройств (три-четыре года), так как автономность работы предполагает использование батарейки.
Гибридные токены
Эти устройства, сочетающие в себе функциональность двух типов устройств — USB-токенов со встроенным чипом и OTP-токенов, — появились на рынке относительно недавно. С их помощью можно организовать процесс как двухфакторной аутентификации с подключением к USB-порту, так и бесконтактной аутентификации в тех случаях, когда USB-порт недоступен (например, в Интернет-кафе). Заметим, что гибридные смарт-карты, обладающие функциональностью USB- и OTP-токенов, а также имеющие встроенный чип, соответствуют наивысшему уровню гибкости и безопасности.
Программные токены
В данном случае роль токена играет программное обеспечение, которое генерирует одноразовые пароли, применяемые наряду с обычными паролями для многофакторной аутентификации. На основании секретного ключа программа-токен генерирует одноразовый пароль, который отображается на экране компьютера или мобильного устройства и должен быть использован для аутентификации. Но поскольку токеном является программа, записанная на рабочей станции, мобильном компьютере или сотовом телефоне, то ни о каком безопасном хранении ключевой информации речи не идет. Таким образом, данный способ безопаснее по сравнению с обычными паролями, но намного слабее применения аппаратных идентификаторов.
| ||||
Продукт | Основные преимущества | Основные недостатки | ||
| ||||
USB-токены | Мобильность-токен можно использовать на любом компьютере, где есть USB-порт. Поддержка большого числа ИТ-безопасности. Очевидная принадллежность токена пользователю | Требуется установка ПО пользователя | ||
| ||||
Смарт-карты | Высокий уровень безопасности. Компактность. Поддержка большого числа приложений | Требуется установка ПО пользователя. Требуется считывающее устройство | ||
| ||||
USB-токены со встроенным чипом | Высокий уровень безопасности. Мобильность. Поддержка большого числа приложений. Очевидная принадлежность токена пользователю | Не требуется установка ПО пользователя | ||
| ||||
OTP-токены | Мобильность. Легкость в использовании. Не требуется установка ПО пользователя | Ограниченный круг поддерживаемых приложений. Требуется сервер аутентификации. Ограниченное время эксплуатации в связи с использованием батарейки | ||
| ||||
Гибридные токены | Мобильность. Поддержка большого числа приложений. Не требуется установка ПО пользователя для применения одноразовых паролей (OTP). Очевидная принадлежность токена пользователю | Ограниченное время эксплуатации в связи с использованием батарейки (кроме тех случаев, когда пользователь может заменить батарейку самостоятельно) | ||
| ||||
Программные токены | Не требуется аппаратное устройство | Секретный ключ слабо защищен. Ограниченный круг поддерживаемых приложений. Требуется сервер аутентификации | ||
| ||||
Российский рынок многофакторной аутентификации
Для российского рынка средств сильной аутентификации характерна очень небольшая распространенность OTP-токенов, которые занимают более половины общемирового сегмента персональных идентификаторов. Сегодня поставки этих устройств идут главным образом в российские представительства крупных западных компаний, головные офисы и вся ИТ-инфраструктура которых изначально были построены на OTP-токенах.
Основным фактором, сдерживающим развитие российского рынка OTP-токенов, является высокая стоимость владения (Total Cost of Ownership, TCO) и короткий жизненный цикл. Встроенной батарейки обычно хватает на три-четыре года, после чего заказчик вынужден менять устройство, оплачивая порядка 70% его начальной стоимости. Рассмотрим в качестве примера популярный на Западе OTP-токен RSA SecurID. Стоимость решения для 500 пользователей, куда входят основной сервер и сервер-репликатор, программное обеспечение и сами персональные идентификаторы, составляет 76 тыс. долл. (один токен SecurID стоит 79 долл.). Вдобавок ежегодно на поддержку, по данным дилеров, придется тратить еще 6,6 тыс. долл. Таким образом, в целом решение обойдется в 82,6 тыс. долл., а стоимость одного рабочего места, оборудованного ОТР-токеном, составит не менее165 долл.
Для сравнения возьмем еще один электронный ключ с генератором одноразовых паролей — eToken NG_OTP от компании Aladdin. В этом случае схема расчета на одно рабочее место несколько иная: серверы аутентификации приобретать не нужно, достаточно иметь серверную версию Windows, которой оснащено сейчас подавляющее число локальных сетей предприятий. Стоимость универсальной системы управления всеми средствами аутентификации (в том числе и разнотипными) в масштабе предприятия (eToken TMS) составит около 4 тыс. долл. (серверная лицензия), а общая цена на 500 токенов (при цене одного устройства 67 долл.) равна 33,5 тыс. долл. Прибавим сюда пользовательскую лицензию для каждого токена: 24 долл. — до 500 пользователей и 19 долл. — свыше 500. Таким образом, стоимость одного рабочего места с интегрированной системой строгой аутентификации по одноразовым паролям составит 99 долл,. а при расчете на 501 пользователя — 94 долл.
Однако, даже несмотря на эту разницу, стоимость защиты одного рабочего места с помощью "стандартного" токена, то есть без ОТР, значительно ниже. Например, для того же eToken PRO, самого популярного в линейке Aladdin USB-токена со встроенным чипом, рассчитанная по той же формуле стоимость одного рабочего места составляет всего 47 долл.
Таким образом, российский рынок персональных идентификаторов значительно отличается от мирового и состоит в основном из USB-токенов со встроенным чипом — на их долю приходится примерно 80-85% рынка. Впрочем, именно USB-токены со встроенным чипом являются сегодня наиболее эффективным средством сильной аутентификации. Так, аналитики ведущих консалтинговых компаний, например IDC и Gartner, считают, что к 2008 году большая часть всего рынка персональных идентификаторов будет приходиться именно на USB-токены со встроенным чипом. Кроме того, компания Gartner назвала USB-токены со встроенным чипом лучшим инвестиционным вложением в обеспечение безопасного доступа к данным в 2005 году.
По внутренним данным Aladdin-Russia, лидером отечественного рынка USB-токенов со встроенным чипом является российская компания Aladdin (70%), за ней с серьезным отставанием следуют Rainbow Technologies (25%) и "Актив" (5%).
Критерии выбора
Конкретный тип персонального идентификатора (будь то смарт-карта или USB-токен со встроенным чипом) играет важную роль в системе "3А". Однако для окончательного решения необходимо учитывать и другие параметры. Прежде всего следует отметить, что огромное значение имеет комплексность системы "3А". Современные решения позволяют значительно повысить эффективность и расширить сферу применения строгой аутентификации. Например, продукты лидеров рынка дают возможность организовать управление идентичностью, политиками безопасности, корпоративными данными и приложениями. Устройства, оснащенные чипом смарт-карты, оптимальны для использования в информационно-вычислительных сетях, где уже развернута инфраструктура PKI, или в сетях, где планируется ее внедрение. Дополнительное применение USB-токенов с имплантированной RFID-меткой позволяет интегрировать процессы логической и физической аутентификации.
Инвестируя в средства многофакторной аутентификации, компаниям следует обратить серьезное внимание не только на текущие нужды, но и на будущие потребности. В частности, может возникнуть необходимость в удаленном доступе к информационным ресурсам организации, и в этом случае нужно отдать предпочтение наиболее мобильному средству авторизованного доступа.
Если часть персонала компании использует мобильные компьютеры для работы вне офиса, то в состав комплексного решения должны обязательно входить продукты для защиты портативных устройств, в том числе для шифрования конфиденциальной информации.
Актуальными могут стать вопросы применения цифровой подписи и совершения безопасных транзакций, поэтому очень важно, чтобы решение поддерживало максимально широкий диапазон приложений ИТ-безопасности, а это в значительной мере зависит от конкретного поставщика системы "3А". Хотя не все производители рынка способны обеспечить поддержку своих персональных идентификаторов в большом числе приложений, крупные разработчики предлагают клиентам достаточно обширный ассортимент программного обеспечения — для удовлетворения почти всех потребностей. В частности, Aladdin поставляет USB-токены со встроенным чипом, которые могут взаимодействовать с более чем 150 приложениями.
Таким образом, всесторонне продуманный, экономически и организационно обоснованный подход к выбору конкретного решения сильной аутентификации с учетом перспектив развития позволяет компании не только построить эффективную и управляемую систему ИТ-безопасности, но и одновременно охватить целый комплекс смежных задач: физическую безопасность, защиту мобильных устройств, управление идентичностью и т.д.