Практика применения многофакторной аутентификации в России.
Введение.
В последние годы использование многофакторной аутентификации не только в мире, но и в России стало стандартом для компаний, уделяющих внимание вопросам обеспечения информационной безопасности. Попробуем разобраться какая бывает аутентификация и чем регулируется ее использование, какая существует практика использования многофакторной аутентификации.
Начнем с вопроса, который многих вводит в заблуждение. В чем разница между авторизацией и аутентификацией? Аутентификация – это процесс подтверждения того, что вы тот человек, за которого вы себя выдаете. Как пример можно привести процесс поездки на поезде. Подойдя к вагону, вы предъявляет проводнику паспорт, сверив данные которого с данными в билете, он пропускает вас в вагон. Проверка документа и данных билетов, происходит аутентификация. А вот допуск в вагон – это уже авторизация.
Так почему же многофакторная аутентификация стала столь популярной? Компрометация учетных данных путем перебора (bruteforce) или использования «утекших» баз данных учетных записей – один из самых популярных методов, используемых хакерами. Причин для этого несколько: во-первых, пользователи часто используют простейшие пароли (p@ssw0rd, 1QAZ2wsx и тд), во-вторых, сотрудники довольно часто регистрируются на различных интернет-ресурсах (форумы, тематические сайты и тд) с указанием корпоративной электронной почты и пароля, в-третьих, широко применяемая преступниками социальная инженерия позволяет использовать украденные у пользователя учетные данные. Для решения этой проблемы и защиты предприятия от атак с использованием украденных и «утекших» учеток применяются организационные и технические меры. К организационным можно отнести усложнение пароля (но пользователи тогда будут записывать их на листочке и клеить к монитору) и запрет на регистрацию с использованием корпоративных данных (но будем реалистами, помогает это редко). В качестве технической меры защиты выступает многофакторная аутентификация, принцип которой заключается в том, чтобы получить от пользователя не только то, что он знает (пароль) но и то, что он имеет (одноразовый код, сертификат и тд).
Использование подобной меры позволяет не только защищать корпоративных пользователей и сервисы, но и демонстрировать клиентам компании свое конкурентное преимущество. Ведь им также важно, чтобы никто не мог использовать их учетные записи и совершать от их имени какие-либо действия и быть уверенными в надежности компании, в которой они обслуживаются.
Нормативная база, регулирующая использование MFA.
В РФ применение идентификации и аутентификации регулируется ГОСТ Р 58833-2020, утвержденным и введенным в действие Приказом Федерального агентства по техническому регулированию и метрологии от 10.04.2020 г. №159-ст.
В соответствии с ГОСТ, аутентификация разделяется на простую, усиленную и строгую. Примером простой аутентификации является ввод пароля при входе в систему. Вариантом усиленной, является многофакторная аутентификация с вводом пароля и одноразового кода, создаваемого с применением соответствующего устройства. Строгая аутентификация примечательна использованием применением доверенных цифровых сертификатов доступа. Примером строгой аутентификации выступает использование сертификатов, выпущенных корпоративным центром сертификации.
ФСТЭК России предъявляет требования к идентификации и аутентификации, соответствующие ГОСТ Р 58833-2020, в нескольких документах: требования по безопасности информации к системам управления базами данных (утверждены приказом ФСТЭК России от 14 апреля 2023 г. N64), требования по безопасности информации к средствам контейнеризации (приказ ФСТЭК России от 4 июля 2022 г. N 118) и требования по безопасности информации к многофункциональным межсетевым экранам уровня сети (приказ ФСТЭК России от 7 марта 2023 г. N 44).
Требования к многофакторной аутентификации не ограничиваются ГОСТ Р 58833-2020. Необходимость использования этой защитной меры обозначена в ГОСТ Р 57580.1-2017, предназначенный для обеспечения безопасности финансовых (банковских) операций в финансовых организациях, международном стандарте безопасности данных платёжных карт PCI DSS.
В октябре 2023 года, Постановлением Правительства №1739 от 19.10.2023 были внесены изменения, в соответствии с которыми требования по аутентификации с использованием одноразовых паролей предъявляются и к государственным информационным системам.
Таким образом, внимание внедрению и использованию многофакторной аутентификации применяется на самых разных уровнях: начиная от государственных органов и заканчивая частным бизнесом. На недавнем эфире AM Live проводился опрос по использованию многофакторной аутентификации в компаниях, в соответствии с которым лишь 12% опрошенных ответили, что не планируют внедрять эту защитную меру.
Результат опроса в эфире AM Live.
Выбор системы многофакторной аутентификации.
Итак, представим, что вы видите необходимость в реализации двухфакторной аутентификации в организации.
Задача №1 – обоснование перед руководством. Для этого может пригодиться несколько аргументов:
- соответствие требованиям законодательства. Как было написано выше, требования к многофакторной аутентификации в явном виде прописаны только в ГОСТ 57580.1-2017 и PCI DSS, а также требованиям к ГИС. Однако, учитывая тенденции по ужесточению требований к обеспечению информационной безопасности со стороны государства, можно предположить, что в отношении ИСПДН и КИИ эти требования могут быть предъявлены;
- соответствие требованиям и ожиданиям клиентов. Со стороны внешних клиентов все чаще возникают требования по обеспечению безопасности их данных и безопасности обеспечения цепочки поставок от соответствующих атак;
- разработанные метрики для оценки процесса управления MFA. Сюда могут входить такие показатели как: % сервисов и систем, переведенных на этот способ аутентификации от необходимых; % пользователей, использующих MFA; ориентировочная стоимость многофакторной аутентификации в пересчете на одного сотрудника и стоимость инцидента ИБ, связанного с компрометацией УЗ.
- Размещение системы и архитектура. Облако или on-premise. В зависимости от наличия у компании свободных вычислительных и человеческих ресурсов, а также общей концепции управления ресурсами в компании подход к выбору способа размещения системы может быть разным.
- Системы, которые будут защищаться с помощью многофакторной аутентификации, наличие штатной возможности для подключения MFA и объема доработки в случае ее отсутствия. Например, у Microsoft есть штатные возможности для подключения MFA, а есть ли такая возможность у отечественных систем?
- Возможности интеграции с защищаемыми системами. Какие механизмы для этого используются? Поддерживают ли целевые системы стандартный протокол аутентификации RADIUS или им нужна доработка с помощью API? Нужна ли технология единого входа (SSO)?
- Какие токены планируется использовать?
Примером бесконтактных токенов являются генераторы одноразовых паролей: получаемые в SMS, специальных приложениях (Яндекс.Ключ, Google Authenticator), telegram, телефонных звонка или с помощью аппаратных токенов. Собираясь внедрить MFA, необходимо выбрать какие из них будут использоваться.
Необходимо учитывать, что в больших компаниях персонал может обладать разными возможностями и отношением к нововведениям. Так, если сотрудники пользуются кнопочными телефонами или не хотят ставить дополнительные приложения на свой телефон, необходимо заложить требование к выбираемой платформе в части отправки возможности СМС (не забываем, это требует дополнительных расходов) или получения второго фактора с помощью звонка. При этом требуется помнить, что SMS-сообщения подвержены перехвату в случае выпуска дубликата СИМ-карты или используя уязвимости в протоколе SS7.
Контактные (аппаратные) аутентификаторы (USB-токены, iButton1, RFID-карты, карты с биометрическим считывателем) используются для реализации строгой аутентификации с использованием криптографических алгоритмов и PKI - центров. В случае, если в компании не развернута инфраструктура открытых ключей, можно использовать технологию строгой аутентификации FIDO. При использовании этой технологии классические удостоверяющие центры заменены специализированными реестрами, хранящимися на стороне сервисов, к которым выполняется подключение.
При использовании бесконтактных аутентификаторов есть риск перехвата одноразовых паролей, которые отправляются сервером. В контактных аутентификаторах такого нет, потому что обмен аутентификационными данными происходит в зашифрованном виде.
Однако есть и минусы:
Однако есть и минусы:
- риск утраты контактного аутентификатора;
- неудобство в обслуживании аутентификаторов для удаленных пользователей, когда выход аппаратной платформы из строя требует времени для перевыпуска аутентификатора и отправки его пользователю;
- компрометация PKI или стороннего сервиса поставит под угрозу всех пользователей, пользующихся им;
- необходимость наличия драйверов в операционной системе для работы токена.
5. Защищенность системы, используемой для реализации MFA. Требуется определить критерии оценки защищенности, являющиеся критичными: каким образом хранится информация в базах данных системы? Реализована ли многофакторная аутентификация на уровне самой системы? Насколько детализированы логи, ведущиеся в системе? Есть ли ролевая модель управления доступами к системе?
6. Возможность масштабирования системы. Надо понимать, можно ли быстро масштабировать систему в случае кратного увеличения пользователей. Хватит ли текущих человеческих и вычислительных ресурсов для масштабирования?
7. Удобство работы с интерфейсом. Нужно помнить, что работа администратора с системой должна занимать минимум времени, не увеличивая при этом рисков ошибок. Поэтому интерфейс должен быть удобным и понятным.
8. Техническая поддержка. Техническая поддержка должна оперативно реагировать на возникающие запросы, желательно по разным каналам: почта, телефон, мессенджеры.
9. Стоимость.
Определив для себя все указанные параметры и выбрав соответствующую систему, начинается реализация задачи №3 – внедрение системы, которое может происходить как самостоятельно, так и с привлечением партнеров.
6. Возможность масштабирования системы. Надо понимать, можно ли быстро масштабировать систему в случае кратного увеличения пользователей. Хватит ли текущих человеческих и вычислительных ресурсов для масштабирования?
7. Удобство работы с интерфейсом. Нужно помнить, что работа администратора с системой должна занимать минимум времени, не увеличивая при этом рисков ошибок. Поэтому интерфейс должен быть удобным и понятным.
8. Техническая поддержка. Техническая поддержка должна оперативно реагировать на возникающие запросы, желательно по разным каналам: почта, телефон, мессенджеры.
9. Стоимость.
Определив для себя все указанные параметры и выбрав соответствующую систему, начинается реализация задачи №3 – внедрение системы, которое может происходить как самостоятельно, так и с привлечением партнеров.
1 Несмотря на то, что iButton и RFID-карты называют бесконтактными аутентификаторами, нужно понимать, что для их работы нужны специализированные считыватели. Совместное использование считывателя и RFID-карты/iButton является примером контактного аутентификатора