Взгляд профи: эксперты отвечают на самые актуальные вопросы по многофакторной аутентификации (MFA)

После окончания онлайн-конференции AM Live "Выбор корпоративной системы многофакторной аутентификации (MFA)" у нас осталось немало вопросов от зрителей в комментариях и чате. Мы попросили спикеров прямого эфира выполнить "домашнее задание" и ответить на них. В результате получилось большое совместное интервью, затрагивающее самый широкий круг проблем, связанных с многофакторной аутентификацией.

Введение

Многофакторная аутентификация в качестве очередной темы онлайн-конференции AM Live вызвала живой интерес у аудитории. Зрители прямого эфира активно задавали вопросы в чате и комментариях на YouTube. На часть из них благодаря искусству Алексея Лукацкого, выступавшего в качестве модератора дебатов, спикеры конференции успели ответить онлайн, но рамки эфира не позволили осветить все темы.

Ощущение некоторой недосказанности вместе с пониманием широты затронутой нами темы подтолкнуло нас к продолжению разговора. Ранее мы уже публиковали результаты опросов, в которых участвовали зрители конференции; теперь настала пора высказаться спикерам. Вопросы из чата и комментариев к прямому эфиру порадовали небанальными формулировками и широтой затронутых тем. Зрители интересовались перспективами криптотехнологий и сетовали на дороговизну биометрии, спрашивали о применимости аутентификации по IP-адресам и поведенческому анализу, хотели узнать, существуют ли токены в формате SIM-карты.

Мы передали вопросы зрителей представителям компаний, чьи эксперты приняли участие в конференции, и предложили ответить на некоторые из них. Специалисты по информационной безопасности не стали обходить "неудобные" темы и совместными усилиями ответили практически на все заданные вопросы. Получилось коллективное интервью, которое с одной стороны отражает спектр интересов специализированной аудитории, а с другой — позволяет познакомиться с мнениями представителей ведущих игроков отечественного рынка многофакторной аутентификации.

Мы благодарны всем зрителям, оставившим свои комментарии с вопросами, и экспертам, потратившим время на развёрнутые ответы.

На вопросы отвечали:

• Александр Санин, коммерческий директор компании "Аванпост";
• Владимир Иванов, директор по развитию компании "Актив";
• Иван Макаров, директор по маркетингу компании TESSIS;
• Илья Осадчий, директор по развитию компании "Тайгер Оптикс";
• Сергей Груздев, генеральный директор компании "Аладдин Р.Д.".

Ответы экспертов на вопросы зрителей конференции AM Live

Удалённый доступ на карантине показал, что многофакторная аутентификация "одно лечит, а другое калечит". Проброс токена через RDP создаёт угрозу утечки данных и заражения вирусами, несопоставимую с простой аутентификацией по паролю. Пароль ещё подобрать нужно, и хорошая парольная политика с мониторингом даёт прекрасный результат противодействия взлому. А вот подключённый вместо токена эмулятор, который подгрузил вредоносную программу, — это уже ЧП. Есть ли уже более продвинутые для таких случаев решения, чтоб в RDP не открывать дополнительные порты для этого?

Сергей Груздев:

Чтобы загрузить (вольно или невольно) на удалённый ПК вредоносное ПО, достаточно разрешить в свойствах RDP-сессии доступ к дисковым ресурсам локального ПК (разрешить в настройках их проброс на удалённый ПК). Используется или нет при этом токен для аутентификации доступа — совершенно неважно, заразить удалённый ПК можно и войдя по паролю.

Каковы перспективы развития у виртуальных токенов?

Сергей Груздев:

Есть ряд ситуаций и сценариев, когда уместно применение виртуальных (программных) токенов. Например, использование виртуального токена в качестве запасного — 1) сотрудник уехал в командировку, а свой аппаратный токен потерял, забыл; 2) понадобился удалённый доступ, но доступен лишь мобильный телефон, к которому PKI-токен не подключишь (при этом права доступа с использованием виртуального токена нужно ограничить).

Необходимо всегда помнить про то, что надёжность виртуальных токенов существенно ниже аппаратных и в этом случае вы не сможете контролировать безопасность закрытого ключа и гарантировать отсутствие несанкционированных копий, а как следствие — и возможного скрытого подключения злоумышленников под видом легального пользователя.

Будет ли работать криптозащита при появлении квантовых компьютеров?

Сергей Груздев:

Да, квантовый компьютер способен "взламывать" некоторые асимметричные криптоалгоритмы на несколько порядков эффективнее классических компьютеров. Однако на практике ситуация несколько сложнее. Ведущие российские учёные в области квантовой физики, а также представители промышленности на очередной ежегодной конференции Third International School of Quantum Technology (QTS’20) констатировали, что эффективный квантовый компьютер может появиться на горизонте примерно 10—15 лет, при этом необходимо будет ещё решить ряд сложнейших инженерных задач. Эффективным с точки зрения криптоанализа существующих криптоалгоритмов считается квантовый компьютер, содержащий не менее 1000 кубит. В настоящее время реальные квантовые компьютеры не перешагнули рубеж даже в 100 кубит. Кроме того, пока нет алгоритмов для квантового компьютера, позволяющих эффективно "взламывать" симметричные криптоалгоритмы.

Также в заключение стоит сказать, что мировая и российская наука уже озадачена разработкой так называемых постквантовых криптографических механизмов, то есть таких алгоритмов, которые невозможно будет эффективно анализировать с использованием квантовых компьютеров. Таким образом, угроза "взлома" некоторых асимметричных криптоалгоритмов со стороны квантового компьютера действительно существует, но в настоящее время она носит исключительно теоретический характер.

Существуют ли токены, которые можно физически вставить в смартфон, например в слот для SIM-карты или карты памяти?

Сергей Груздев:

Да, лет 7 назад мы предлагали токен, совмещённый с картой памяти MicroSD. Микросхема смарт-карты была размещена внутри стандартного корпуса карты памяти MicroSDHC. Работа со смарт-картой происходила через операции чтения/записи в файлы с определёнными именами в файловой системе карты памяти (передача APDU — запись в файл, получение ответа на команду — чтение из файла). К сожалению, это решение не нашло спроса у заказчиков, поскольку всем нужны карты памяти разной ёмкости. Кроме того, в смартфонах на платформе Android только один разъём для карты памяти; значит, единственная карточка, установленная в этом разъёме, должна быть большой ёмкости, и, как следствие, она получалась весьма дорогой. Также не следует забывать, что решение для мобильных платформ всегда требуется как под Android, так и под iOS. В телефонах производства Apple разъёмов под карты памяти нет. Значит, решение на базе карты памяти MicroSD не универсально.

Есть ли перспективы у двухфакторной аутентификации по биометрии? Один раз утечёт, и всё: фактор не сменить, от пальцев не избавишься.

Сергей Груздев:

Перспектив у чисто биометрических 2ФА нет и пока не видно. Использование лица и голоса банками показало, что это не аутентификация, а идентификация, и даже её (идентификацию) проводят сначала с использованием стандартных идентификационных атрибутов (например, по номеру телефона, зарегистрированному за конкретным клиентом), а потом уже используют биометрию как уточняющий фактор с некоторой вероятностью. Биометрия в аутентификации, согласно международным стандартам, может использоваться только как дополнительный фактор аутентификации, с некоторой вероятностью подтверждающий факт владения предметом (смарт-картой, USB-токеном, смартфоном, etc). Применение биометрической аутентификации 1:1 в защищённой области чипа смарт-карты или смартфона (TEE) подтверждает факт владения и контроля этим девайсом, не более того.

У кого из производителей внедрены SSDLC (процессы безопасной разработки)?

Сергей Груздев:

"Аладдин". Но SDL — это как ремонт в квартире: его нельзя закончить… Процессы постоянно улучшаются, требования и внутренняя метрика усиливаются. Мы приняли для себя довольно высокую планку — уровень доверия 2 — и к разрабатываемому ПО (и процессам проектирования, тестирования, документирования, поддержки), и к "железу".

Используют ли производители внутри своих организаций свои же изделия?

Сергей Груздев:

Практика "Аладдина" — все сотрудники компании используют свои продукты в работе. PKI-токены — не исключение.

Можно ли "управлялки" подключить к SIEM? Есть ли варианты одно- и двухстороннего обмена? Например, отзыв, перевыпуск сертификата по инциденту.

Сергей Груздев:

Для выполнения подобных операций система должна обладать двумя качествами — уметь выгружать события в Syslog и иметь API для интеграции с другими системами.

Обоими этими качествами обладает JMS компании "Аладдин". SIEM получает информацию о событии через Syslog. Затем при сработке SIEM через соответствующий API подаётся команда в JMS.

Выводы

Многофакторная аутентификация — действительно "горячая тема", которая может заинтересовать даже людей, не имеющих прямого отношения к информационной безопасности. С другой стороны, многообразие форм многофакторной аутентификации, широта её применения, жёсткие требования заказчиков к надёжности таких систем делают MFA отдельной областью знания в сфере информационной безопасности. Каждый из отечественных и зарубежных вендоров, предлагающих свои решения, имеет свою точку зрения на перспективы развития технологий и рынка. Это — питательная среда для содержательной, практически научной дискуссии на экспертном уровне.

Спикеры конференции AM Live "Выбор корпоративной системы многофакторной аутентификации (MFA)" показали себя настоящими профессионалами и в ответах зрителям не обошли стороной "любительские" вопросы о перспективах криптозащиты в эпоху квантовых вычислений или дороговизне биометрических средств. Однако, как и ожидалось, наибольшее количество ответов собрали дискуссионные темы, дающие возможность выразить свою точку зрения. Например, вопрос о возможности "утечки" токена через RDP получил подробные ответы почти от всех участников конференции, тем более что формулировка позволяла экспертам упомянуть свои MFA-продукты.

Интеграция средств аутентификации с SIEM, процессы безопасной разработки аппаратных ключей и средств защиты, соответствие требованиям регуляторов — все эти темы вызывают живой интерес среди специализированной аудитории и могут служить ориентирами если не для разработчиков, то для маркетологов ИБ-компаний при выстраивании коммуникаций со своими клиентами.