Dvoufaktorová autentizace a IT bezpečnost

„Předpokládám, že multifaktorová autentizace (MFA) se bude do budoucna více zaměřovat na uživatele.“ říká Phil Underwood ze společnosti SecurEnvoy.

Phil Underwood ze společnosti SecurEnvoy s námi pohovořil na téma dvoufaktorouvé autentizace a o aktuálních otázkách v oblasti IT bezpečnosti. Kompletní rozhovor můžete přečíst zde.

S jakou nejjednodušší nebo nejzajímavější chybou vedoucí k velkým problémům na straně zákazníka jste se setkali?

Před mnoha lety jsme vytvořili nástroj, se kterým jsme mohli nasadit do infrastruktury až 100 tisíc uživatelů za hodinu. Ten samý nástroj umožňoval to stejné množství uživatelů ale i smazat či deaktivovat. Jeden z IT zaměstnanců zákazníka, kterého nebudu jmenovat, se rozhodl si tímto nástrojem trochu pohrát. Výsledkem bylo smazaných 6 tisíc uživatelů během 60 sekund. Nikdo ze smazaných uživatelů se od toho momentu nedokázal připojit vzdáleně do sítě. Zjištění rozsahu začalo telefonním hovorem na support a skončilo panikou po tom, co byl dohledán onen hravý zaměstnanec. Se stejným nástrojem proběhlo opětovné nasazení smazaných uživatelů, což trvalo až 1 hodinu. Hodně jsme se tenkrát naučili.

Kam bude podle Vás MFA směřovat?

Trh MFA se musí vyvíjet a být schopna demonstrovat jednoduchost použití, která je klíčovou pro přijetí technologie uživatelem. MFA výrazně pomáhá se chránit před naprostou většinou běžně rozšířených útoků na převzetí účtu. Předpokládám, že MFA se bude do budoucna více zaměřovat na uživatele, např. ‘Passwordless’ technologie je nyní velmi diskutované téma, které přitahuje pozornost. Uvidíte, že bude dalším evolučním krokem, nicméně k tomu bude zapotřebí dalších technologií jako je např. využití biometriky. Mimo to budou sledovány metriky založené na sledování chování (chování / využití / umístění zařízení) a ty budou použity k opětovné autentizaci, blokování nebo jinak definované kontrole přístupu a k označení jakékoliv anomálie.

Jaké jsou vaše plány do budoucna ohledně MFA?

V naší společnosti SecurEnvoy budujeme nyní úplně novou platformu, která umožní porozumění identitě a lokace uživatele, identitě a lokace zařízení a také identitě a lokace dat. A právě porozumění napříč těmito metrikami, umožní porozumět uživateli jako celku a umožní tak nasazení nápravných a dynamických politik pro daného jednotlivce. Představte si to tak, že místo semaforového scénáře, kdy je přístup buď povolen nebo zamítnut, lze bezproblémově použít různé úrovně přístupu a kontroly, které uživateli pomohou v jeho každodenním pracovním životě.

Jak velké riziko pro společnosti představuje práce v Home office? S jakým nejčastějším případem zneužití se dnes potýkáte?

Na Home office bychom měli nahlížet jako na rozšíření pracovní působnosti, a tudíž by měly pro HO platit stejné politiky na to, jak uživatelé pracují s daty, jak přistupují k systému atd. V ideálním případě by se mělo jednat o nějakou formu vzdáleného zabezpečeného přístupu, který je podporovaný prvky ověřování identity a doplněný o kontrolu koncového bodu, aby bylo možné porozumět rizikovosti zařízení, které se připojuje do sítě. A samozřejmě se to týká i zabezpečení dat, kdy bezpečnostní prvky zajistí, co uživatel může/nemůže dělat, pokud má přístup k obchodním a citlivým datům společnosti. Zapomínat nesmíme ani na ukládání dat na externí disky či USB, tisk těchto dat či jejich přeposílání v emailové komunikaci. Na závěr si můžeme položit otázku směřující k samotnému hardwaru: Jsou notebooky na HO po použití uzamčeny a používá se na nich šifrování disku? Při přístupu ke cloudu je pro úspěšnou interakci klíčová identita a bezpečnost dat. Nejčastějšími případy je možnost řízení, stahování nebo synchronizace, či přeposílání e-mailu a tisk.

Proč bezkontaktní technologie jako Near Field Communication (NFC) nebo Bluetooth nejsou široce integrovány pro OTP autentizaci? Typickým případem použití je offline bezkontaktní autentizace uživatele do operačního systému, jako je Windows, macOS nebo Linux.

Uživatelská zkušenost je klíčem pro přijetí jakékoli nové technologie. Dává smysl nabízet metodu autentizace uživatele, kdy pro autentizaci stačí být v těsné blízkosti čtečky (NFC) nebo se spárovat přes Bluetooth, což je mnohem jednoduší než opětovné zadávání ověřovacího kódu. Technologie Bluetooth a NFC vypadají v podstatě jako utopie, která vše napraví. Nejprve je ale nutné porozumět některým provozovaným protokolům Bluetooth a Bluetooth Low Power (BLE). Prvním problémem, na který je potřeba se zaměřit, je rádiové šíření. Standardní 10 m dosah není ideální metrikou, tudíž vzniká nutnost rádiové karty ovládat tak, aby byly zaměřeny na mnohem menší vzdálenost, ideálně 10-20 cm.

Zároveň u Bluetooth existují určité obavy ohledně úrovně šifrování, což závisí na úrovni integrace každého z výrobců, a také na zranitelnostech jako je BlueBorn, dále útocích na Bluetooth, jako je Bluesnarfing či odposlouchávání a v neposlední řadě na DoS technikách a virech zaměřených na zařízení Bluetooth. A právě tato fakta pozastavují přijetí Bluetooth k autentizaci, ale nutno dodat, že nové revize a správně provedené integrace výrobců tento nedostatek stále více zlepšují. U NFC je to jinak. Zde se nepotýkáme s problémem rádiové vzdálenosti. Přijetí technologie jako takové ovlivňuje přijetí NFC do osobních počítačů. Technologie mobilních telefonů se vyvíjí rychlostí světla a mají NFC podporu již několik let.

Avšak kolik stolních počítači či notebooků má tuto technologii již zabudovanou? To jde ruku v ruce s nasazením přidružených software a externích čteček ke starším zařízením, které NFC nativně nepodporují. V SecurEnvoy stále zkoumáme, jestli existuje životaschopné propojení autentizace pomocí Bluetooth či NFC. Co už máme momentálně otestované na naší cloudové platformě, je použití biometrie k odpovědi na výzvu uživatele k ověření PUSH, což poskytuje uživatelům jednoduché a bezpečné ověření. Pouhá dostupnost NFC nebo Bluetooth na zařízení nestačí k zajištění pozitivního ověření uživatele, a právě proto se SecurEnvoy vydal cestou biometrického ověření.

Děkujeme za zajímavý rozhovor.

Pro více informací kontaktujte sales@comguard.cz.

Rozhovor realizovala Kateřina Brátová a Tomáš Mačica, COMGUARD a.s.