События и мероприятия

13.08.2020, Онлайн

Выбор корпоративной системы многофакторной аутентификации (13.08.2020)

Отвечаем на вопросы

  1. Какие перспективы развития у виртуальных токенов?
  2. Будущее за OTP или PKI?
  3. Токены скоро умрут?
  4. Насколько безопасен вход через мобильные приложения (аутентификация)?
  5. Какие есть технические решения для реализации многофакторной аутентификации, в том числе и сертифицированные регуляторами, и поддерживающие политику импортозамещения в режиме "из коробки"?
  6. Есть ли поддержка отечественных ОС (Альт, Астра Линукс, Эльбрус, др.)?
  7. Какие перспективы у системы аутентификации по поведенческому анализу пользователя, которую уже применяют некоторые банки при совершении операций в онлайн-банках клиентов? Есть ли статистика инцидентов и практика, подтверждающая надежность данной системы аутентификации?
  8. Есть ли токены, которые можно физически вставить в смартфон, например, в слот для сим-карты или карты памяти? В основном решения для смартфонов позволяют взаимодействовать с токеном по беспроводному каналу: Bluetooth и NFC. В Android смартфоны можно вставлять USB-токены через OTG-переходник.
  9. Удаленный доступ на карантине показал, что МФА одно лечит, а другое калечит. Проброс токена через RDP создает уязвимость утечки данных и заражения вирусами, не сопоставимыми с простой аутентификацией по паролю. Пароль еще подобрать нужно, и хорошая парольная политика с мониторингом дает прекрасный результат противодействия взлому. А вот подключенный вместо токена эмулятор, который подгрузил рансомварь, – это уже ЧП. Есть ли уже более продвинутые для таких случаев решения, чтобы в RDP не открывать доп. порты для этого?
  10. Будет ли при появлении квантовых компьютеров вся криптография работать?
  11. Можно ли управлялки подключить к SIEM? Есть ли варианты одно- и двух-стороннего обмена? Например, отзыв, перевыпуск сертификата по инциденту.
  12. Используют ли производители внутри своих же организаций свои же изделия какого-либо исполнения?
  13. Open Source решения OTP или собственная разработка, например, база с идентификаторами + GSM шлюз для доставки + интеграция с защищаемым сервисом – могут ли составить конкуренцию коммерческим решениям?
  14. У кого из производителей внедрен SSDLC (процесс безопасной разработки)?
  15. Есть ли у вас OTP решения? Какие?
  16. Есть ли какие-то "красные линии" многофакторной аутентификации? Чем руководствуются разработчики в своей работе? Интересны как технические, так и требования руководящих документов РФ.
  17. Вопрос в части соответствия регуляторным требованиям, например, ГОСТ бфбо, достаточно ли использовать в качестве второго фактора IP или имя ПК сотрудника? А если IP усилить 802.1x и DHCP?
  18. Есть ли перспективы у 2FA по биометрии? Один раз утечет и все, фактор не сменить, пальцы не срежешь. К тому же, наши отпечатки пальцев уже давно в крупных интернет-гигантах и не только там (Google, Apple, Microsoft и т.д.). Нет никаких гарантий, что утечки там не будет.
  19. По биометрии вопрос еще качества датчиков. Массовый сегмент с плохими датчиками дико фолзит, а хороший слишком дорого выходит.

1. Какие перспективы развития у виртуальных токенов?

Есть ряд ситуаций и сценариев, когда уместно применение виртуальных (программных) токенов.

Например, использование виртуального токена в качестве запасного – (1) сотрудник уехал в командировку, а свой аппаратный токен потерял, забыл.

(2) Понадобился удаленный доступ, но доступен лишь мобильный телефон, к которому PKI-токен не подключишь (при этом права доступа с использованием виртуального токена нужно ограничить).

Необходимо всегда помнить про то, что надежность виртуальных токенов существенно ниже аппаратных и что в этом случае вы не сможете контролировать безопасность закрытого ключа и гарантировать отсутствие несанкционированных копий, а, как следствие, и возможного скрытого подключения злоумышленников под видом легального пользователя.

К оглавлению


2. Будущее за OTP или PKI?

Вопрос поставлен не совсем корректно, примерно, как "Что лучше, трактор или легковушка?".

Смотря для чего, какой сценарий…

Если речь идет о корпоративной инфраструктуре и о сотрудниках, то PKI – USB-токен или смарт-карта (далее – токен) здесь и безопаснее (неизвлекаемый закрытый ключ), и удобнее (действия пользователя сводятся к простой моторике – подключил токен (смарт-карту) и ввел ПИН, после десятого раза уже на автомате, не думая).

И если организация подпадает под выполнение регуляторных требований – является гос. организацией, предприятием КИИ и т.д. – и требуется СТРОГАЯ аутентификация пользователей с ВЫСОКОЙ степенью уверенности в том, что пользователь именно тот, за кого себя выдает.

Да, и PKI-токены, кстати, несмотря на кажущуюся одинаковость параметров, указываемых в рекламных листовках, далеко не одинаковы с точки зрения надежности и безопасности. Здесь надо смотреть на реализацию. Важно, чтобы закрытый ключ был неизвлекаемым, чтобы он генерировался внутри токена и чтобы все операции с таким ключом выполнялись исключительно внутри токена. Т.е. токен не должен быть лишь "дискеткой с паролем" (с программной реализацией криптографии и извлекаемым закрытым ключом), а должен быть устройством с аппаратной криптографией на борту. Важно также, чтобы токен был реализован не на легко клонируемом "бытовом" микроконтроллере с одним битом секретности – CRP – Code Read Protection.

Если же речь идет о внешних пользователях, электронных сервисах, удаленном доступе к своему личному кабинету и НЕ НУЖНА СТРОГАЯ аутентификация, допустима УМЕРЕННАЯ уверенность в том, что пользователь тот, за кого себя выдает, то можно использовать аутентификацию на базе ОТР. В этом случае она будет лишь УСИЛЕННОЙ.

При использовании аппаратных ОТР-токенов – усиленной двухфакторной, а если вход осуществляется с самого мобильного устройства, то, увы, усиленной ОДНОФАКТОРНОЙ.

К оглавлению


3. Токены скоро умрут?

Надёжная аутентификация (пользователей, устройств, компонентов устройств) – основа безопасности.

Обоснованный интерес к безопасности растет, растет и спрос на более надежную аутентификацию.

Меняются регуляторные требования, прежде всего, к гос. организациям и предприятиям КИИ (новые нац. Стандарты по идентификации и аутентификации – в первую очередь, ГОСТ Р 58833-2020, готовятся изменения к Мерам защиты 17-го Приказа ФСТЭК России и др.) – там везде требуется использование СТРОГОЙ ДВУХФАКТОРНОЙ АУТЕНТИФИКАЦИИ, которая может обеспечиваться лишь использованием USB-токенов и смарт-карт.

Если смотреть на рынок, то зарубежный рынок растет порядка 12%, российский – порядка 18-20%.

В период объявления карантина и перевода на удаленную работу мы наблюдали ажиотажный спрос на PKI-токены, выросший в 12 раз.

К оглавлению


4. Насколько безопасен вход через мобильные приложения (аутентификация)?

Если смартфон используется в качестве "токена" – генератора ОТР, значение которого потом вводится руками в форму на ПК или автоматически передаётся серверу аутентификации, то его можно считать вторым фактором (если доступ к нему закрыт паролем или по отпечатку пальца). Но при этом надо понимать, что хранящийся в телефоне общий СЕКРЕТ легко может перестать быть таким секретом…

Чаще всего атакуют систему на этапе передачи секрета. Решение Аладдин, включающее в себя сервер аутентификации JAS и мобильное приложение Aladdin 2FA для выработки OTP на iOS и Android, защищено от компрометации секрета на этапе его передачи.

В качестве примера-критерия можно использовать аналогию с платежными сервисами – переводом какой суммы вы могли бы рискнуть? $100, $500, $1000?

Так же и с рисками, точнее потерями от утечки/взлома вашего сервиса или системы. Это всегда баланс между удобством (отсутствием логистики, ничего никуда не надо втыкать…) и ценой аппаратного токена - $10-20. Что перевесит?

Если же аутентификация с использованием мобильного приложения осуществляется в мобильном приложении или сервисе, работающем на этом же мобильном устройстве, то, во-первых, вы никогда не получите СТРОГУЮ двухфакторную аутентификацию (там, где она обязательно нужна), и уровень аутентификации будет "ПРОСТАЯ", дающая лишь некоторую уверенность в том, что пользователь является тем, за кого себя выдает (см. ГОСТ Р 58833-2020).

Уровень надежности биометрической идентификации по отпечатку пальца, применяемое в телефоне – FAR – вероятность пропуска чужого – не более 10 в минус 3, т.е. 0.001, что недопустимо мало для корпоративных систем, даже по сравнению с паролями.

К оглавлению


5. Какие есть технические решения для реализации многофакторной аутентификации, в том числе и сертифицированные регуляторами, и поддерживающие политику импортозамещения в режиме "из коробки"?

См. здесь: http://new-dev.aladdin-rd.ru/catalog/jacarta_pki

К оглавлению


6. Есть ли поддержка отечественных ОС (Альт, Астра Линукс, Эльбрус, др.)?

Да, все выпускаемые Аладдином токены поддерживают все российские сертифицированные дистрибутивы Linux, зарегистрированные в Реестре Минкомсвязи, мобильная ОС Sailfish (Аврора), работают на отечественных процессорах Эльбрус, Байкал, на ARM-процессорах.

Подробнее здесь: http://new-dev.aladdin-rd.ru/catalog/jacarta_pki#solutions

К оглавлению


7. Какие перспективы у системы аутентификации по поведенческому анализу пользователя, которую уже применяют некоторые банки при совершении операций в онлайн-банках клиентов? Есть ли статистика инцидентов и практика, подтверждающая надежность данной системы аутентификации?

В этом вопросе очень важно избежать подмены понятий. Поведенческий анализ банки применяют в системах антифрода для подтверждения транзакций уже аутентифицированных пользователей.

К оглавлению


8. Есть ли токены, которые можно физически вставить в смартфон, например, в слот для сим-карты или карты памяти? В основном решения для смартфонов позволяют взаимодействовать с токеном по беспроводному каналу: Bluetooth и NFC. В Android смартфоны можно вставлять USB-токены через OTG-переходник.

Да, лет 7 назад мы предлагали токен, совмещённый с картой памяти MicroSD. Микросхема смарт-карты была размещена внутри стандартного корпуса карты памяти MicroSDHC. Работа со смарт-картой происходила через операции чтения/записи в файлы с определёнными именами в файловой системе карты памяти (передача APDU - запись в файл, получение ответа на команду - чтение из файла). К сожалению, это решение не нашло спроса у заказчиков по ряду причин:

  • всем нужны карты памяти разной ёмкости;
  • в смартфонах на платформе Android только один разъём для карты памяти, значит единственная карточка, установленная в этом разъёме, должна быть большой ёмкости и, как следствие, она получалась весьма дорогой;
  • решение для мобильных платформ всегда требуется как под Android, так и под iOS. В телефонах производства Apple разъёмов под карты памяти нет. Значит, решение на базе карты памяти MicroSD неуниверсально.

К оглавлению


9. Удаленный доступ на карантине показал, что МФА одно лечит, а другое калечит. Проброс токена через RDP создает уязвимость утечки данных и заражения вирусами, не сопоставимыми с простой аутентификацией по паролю. Пароль еще подобрать нужно, и хорошая парольная политика с мониторингом дает прекрасный результат противодействия взлому. А вот подключенный вместо токена эмулятор, который подгрузил рансомварь, – это уже ЧП. Есть ли уже более продвинутые для таких случаев решения, чтобы в RDP не открывать доп. порты для этого?

Чтобы загрузить (вольно или невольно) на удалённый ПК вредоносное ПО, достаточно разрешить в свойствах RDP-сессии доступ к дисковым ресурсам локального ПК (разрешить в настройках их проброс на удалённый ПК). Используется или нет при этом токен для аутентификации доступа – совершенно неважно, заразить удалённый ПК можно и войдя по паролю.

К оглавлению


10. Будет ли при появлении квантовых компьютеров вся криптография работать?

Да, квантовый компьютер способен "взламывать" некоторые асимметричные криптоалгоритмы на несколько порядков эффективнее классических компьютеров. Однако, на практике ситуация несколько сложнее. Ведущие российские ученые в области квантовой физики, а также представители промышленности на очередной ежегодной конференции Third International School of Quantum Technology (QTS’20) констатировали, что эффективный квантовый компьютер может появиться на горизонте ~10-15 лет, при этом необходимо будет еще решить ряд сложнейших инженерных задач. Эффективным с точки зрения криптоанализа существующих криптоалгоритмов считается квантовый компьютер, содержащий не менее 1000 кубит. В настоящее время реальные квантовые компьютеры не перешагнули рубеж даже в 100 кубит. Кроме того, пока нет алгоритмов для квантового компьютера, позволяющих эффективно "взламывать" симметричные криптоалгоритмы.

Ну и в заключении стоит сказать, что мировая и российская наука уже озадачена разработкой так называемых постквантовых криптографических механизмов, то есть таких алгоритмов, которые невозможно будет эффективно анализировать с использованием квантовых компьютеров.

Таким образом, угроза "взлома" некоторых асимметричных криптоалгоритмов со стороны квантового компьютера действительно существует, но в настоящее время она носит исключительно теоретический характер.

К оглавлению


11. Можно ли управлялки подключить к SIEM? Есть ли варианты одно- и двух-стороннего обмена? Например, отзыв, перевыпуск сертификата по инциденту.

Для выполнения подобных операций система должна обладать двумя качествами – уметь выгружать события в syslog и иметь API для интеграции с другими системами.

Обоими этими качествами обладает JMS компании Аладдин. SIEM получает информацию о событии через syslog. Затем, при сработке SIEM через соответствующий API подается команда в JMS.

К оглавлению


12. Используют ли производители внутри своих же организаций свои же изделия какого-либо исполнения?

Практика Аладдина – все сотрудники компании используют свои продукты в работе. PKI-токены не исключение.

К оглавлению


13. Open Source решения OTP или собственная разработка, например, база с идентификаторами + GSM шлюз для доставки + интеграция с защищаемым сервисом – могут ли составить конкуренцию коммерческим решениям?

Это вечный вопрос, что лучше:

  • тиражируемое универсальное решение, которое надо купить, настроить и, возможно, доработать под требования эксплуатанта, или
  • решение, создаваемое точно под поставленную задачу.

Мы предлагаем созданные нами тиражируемые решения:

  • сервер аутентификации JAS (JaCarta Authentication Server);
  • опционально – система централизованного управления JMS (JaCarta Management System), которая может работать в связке с JAS и будет полезна, если внутри организации используется не только OTP-аутентификация, но и PKI-аутентификация.

Советуем познакомиться с JAS – система на рынке уже более 5-ти лет, в ней реализованы очень много сценариев, которые были нужны реальным заказчикам в самых различных отраслях промышленности: телеком, нефтянка, транспорт.

К оглавлению


14. У кого из производителей внедрен SSDLC (процесс безопасной разработки)?

Аладдин.

Но SDL, это как ремонт в квартире – его нельзя закончить… Процессы постоянно улучшаются, требования и внутренняя метрика усиливаются.

Мы приняли для себя довольно высокую планку – Уровень доверия 2 – и к разрабатываемому ПО (и процессам проектирования, тестирования, документирования, поддержки), и к "железу".

К оглавлению


15. Есть ли у вас OTP решения? Какие?

У компании Аладдин есть:

  • сервер аутентификации JAS (JaCarta Authentication Server), позволяющий вести реестр пользователей OTP-токенов и выполнять проверку предъявляемых ими одноразовых паролей;
  • пользовательские средства генерации одноразовых паролей:
    • аппаратные средства – JaCarta WebPass,
    • программный генератор OTP Aladdin 2FA для устройств под управлением ОС Android и iOS
  • опционально - система централизованного управления JMS (JaCarta Management System), которая может работать в связке с JAS и будет полезна, если внутри организации используется не только OTP-аутентификация, но и PKI-аутентификация.

К оглавлению


16. Есть ли какие-то "красные линии" многофакторной аутентификации? Чем руководствуются разработчики в своей работе? Интересны как технические, так и требования руководящих документов РФ.

Есть ли какие-то "красные линии" многофакторной аутентификации?

Не совсем понятно, что автор имел ввиду. Отвечать прямо на поставленный вопрос не представляется возможным, так как самого вопроса полно и понятно сформулированного нет.

Чем руководствуются разработчики в своей работе? Интересны как технические, так и требования руководящих документов РФ.

На настоящий момент нет ни нормативных правовых актов, ни подзаконных актов, ни нормативных и методических документов, напрямую определяющих требования к идентификации и аутентификации.

В каком-то виде требования регламентируются.

Нормативные документы:

  1. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
  2. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
  3. Приказ ФСТЭК России от 14 марта 2014 г. № 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" .
  4. Методический документ "МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ" (Утвержден ФСТЭК России 11 февраля 2014 г.). В него планируется внести уточнения в части идентификации и аутентификации.
  5. Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (Утвержден приказом ФСТЭК России 14 ноября 2018 г. № 131). Только в части разработки, испытаний и сопровождения средств идентификации и аутентификации.

Национальные документы по стандартизации:

  1. ГОСТ Р ИСО/МЭК 9594-8-98. Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации.
  2. ГОСТ Р 58833-2020. Защита информации. Идентификация и аутентификация. Общие положения.

Международные стандарты:

Можно поискать по адресу https://www.iso.org/home.html по ключевым словам идентификация и аутентификация.

Публикации The National Institute of Standards and Technology (NIST)

Можно поискать по адресу https://www.nist.gov/publications по ключевым словам идентификация и аутентификация.

К оглавлению


17. Вопрос в части соответствия регуляторным требованиям, например, ГОСТ бфбо, достаточно ли использовать в качестве второго фактора IP или имя ПК сотрудника? А если IP усилить 802.1x и DHCP?

По ГОСТ Р 58833-2020. Защита информации. Идентификация и аутентификация. Общие положения.

В процессе аутентификации применяются следующие факторы:

  • фактор знания: субъект доступа должен знать определенную информацию. При аутентификации с применением фактора знания может использоваться как аутентификационная информация, непосредственно известная пользователю, например, пароль, графический пароль, изображение, так и информация, позволяющая получить доступ к аутентификационной информации, например, одноразовый пароль или PIN-код;
  • фактор владения: субъект доступа должен обладать определенным предметом, содержащим аутентификационную информацию. При аутентификации с применением фактора владения может использоваться, например, устройство аутентификации или механизм, приспособление, вещь, которые содержат аутентификационную информацию;
  • биометрический фактор: субъекту доступа должен быть свойственен определенный признак (характеристика), информация о котором (которой) используется при аутентификации. Биометрический фактор применяется при аутентификации субъектов доступа, ассоциированных с физическими лицами.

При использовании любого из факторов необходимо обеспечить, чтобы аутентификационная информация являлась СЕКРЕТОМ, т.е. была известна только двум сторонам – субъекту доступа и объекту доступа (ну или довереной третьей стороне при необходимости).

Ни IP или имя ПК сотрудника не являются СЕКРЕТАМИ.

При этом необходимо отметить, что ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер (приведенный в примере в вопросе) в пункте. 7.2.2.3 (мера РД17) ПРЯМО это запрещает: Запрет на использование технологии аутентификации с сохранением аутентификационных данных в открытом виде в СВТ.

К оглавлению


18. Есть ли перспективы у 2FA по биометрии? Один раз утечет и все, фактор не сменить, пальцы не срежешь. К тому же, наши отпечатки пальцев уже давно в крупных интернет-гигантах и не только там (Google, Apple, Microsoft и т.д.). Нет никаких гарантий, что утечки там не будет.

Перспектив у чисто биометрических 2ФА нет и пока не видно. Использование лица и голоса банками показало, что это не аутентификация, а идентификация, и даже ее (идентификацию) проводят сначала с использованием стандартных идентификационных атрибутов (например, по номеру телефона, зарегистрированному за конкретным клиентом), а потом уже используют биометрию как уточняющий фактор с некоторой вероятностью. Биометрия в аутентификации, согласно международным стандартам, может использоваться только как ДОПОЛНИТЕЛЬНЫЙ фактор аутентификации, с некоторой вероятностью подтверждающий факт владения предметом (смарт-картой, USB-токеном, смартфоном, etc.). Применение биометрической аутентификации 1:1 в защищенной области чипа смарт-карты или смартфона (TEE) подтверждает факт владения и контроля этим девайсом, не более того.

К оглавлению


19. По биометрии вопрос еще качества датчиков. Массовый сегмент с плохими датчиками дико фолзит, а хороший слишком дорого выходит.

К сожалению, это не вопрос, а констатация факта. Да, дешёвые датчики работают плохо, а дорогие – хорошо. И с этим трудно поспорить.

К оглавлению