O dvoufaktorové autentizaci s Philem Underwoodem

„Předpokládám, že MFA se bude do budoucna více zaměřovat na uživatele." Říká Phillip Underwood ze společnosti SecurEnvoy.

„Předpokládám, že MFA se bude do budoucna více zaměřovat na uživatele a Passwordless technologie je nyní velmi diskutované téma, které přitahuje pozornost.“ říká Phil Underwood ze společnosti SecurEnvoy.

Phil Underwood ze společnosti SecurEnvoy s námi pohovořil na téma dvoufaktorouvé autentizace a o aktuálních otázkách v oblasti IT bezpečnosti.

Jaké jsou Vaše zkušenosti z oblasti IT?

Začal jsem jako síťový inženýr u různých LAN a WAN technologií zaměřených na voice a data network. Později jsem se přesunul k Microsoft serverům se specializací na prostředí terminálový serverů Citrix. Přibližně v té době jsem pochopil, že aplikace jsou klíčem k jakémukoliv návrhu sítě, alokace paměti či požadavkům na šířku pásma. Zároveň také něco, co jsme označovali jako ‘DLL hell’, starší ročníky vědí, o čem mluvím. A právě zabezpečení aplikací mě dovedlo k uživatelské identitě, zabezpečení sítí a ochraně před zranitelnostmi, exploity a práci s CASB technologiemi.

Jak jste se vůbec dostal k IT bezpečnosti?

V roce 1997 jsem zakládal evropské opravárenské centrum pro ACC routry (nyní Ericsson). Využíval jsem tehdy techniky digitálního vyhledávání chyb a technologie povrchové montáže, odsud jsem přešel přímo do sítí LAN, WAN pro hlasové a datové okruhy. Bezpečnost WAN sítí v pozdních 90. letech byla na základní úrovni a právě porozumění tomu, kde by mohlo dojít k narušení bezpečnosti, vyvolalo soutěživé prostředí mezi specialisty o to, kdo dokáže prolomit jejich testovací prostředí. Poskočíme-li o 20 let dopředu, zabezpečení je jádrem každého řešení a mělo by být součástí každého návrhu software. Je velmi rád, že mohu být součástí toho všeho a přispívám svými mnohaletými zkušenostmi.

Je něco, co si na Váši práci nejvíce užíváte?

Možnost cestování do různých zemí, setkávání se skvělými lidmi a poznávání odlišností a různorodostí mezi kulturami. Nejen rozdílnosti v místních zvyklostech, ale také v přístupu k nasazení a používání technologií.

Vnímáte nějakou svoji pracovní deformaci? Například zabezpečení domácí sítě nebo nadměrné bezpečnostní požadavky na členy rodiny?

Ano, rodina mne často proklíná za příliš zabezpečenou domácí síť, od nastavení politik a oprávnění přístupu ke všem počítačům v domácnosti až po přístup do sítě. Dokonce, oba moji synové používají dvoufaktorovou autentizaci ke všem jejich online účtům. Díky tomu je naše síť mnohem bezpečnější a zároveň nás i chrání před škodlivými kódy, které mají ve zvyku přicházet z velmi pochybných herních stránek. Také jsem mým dvěma chlapcům ukázal názorné příklady špatných scénářů, co se může stát a pomohl jim být v bezpečí při online komunikaci.

S jakou nejjednodušší nebo nejzajímavější chybou vedoucí k velkým problémům na straně zákazníka jste se setkali?

Před mnoha lety jsme vytvořili nástroj, se kterým jsme mohli nasadit do infrastruktury až 100 tisíc uživatelů za hodinu. Ten samý nástroj umožňoval to stejné množství uživatelů ale i smazat či deaktivovat. Jeden z IT zaměstnanců zákazníka, kterého nebudu jmenovat, se rozhodl si tímto nástrojem trochu pohrát. Výsledkem bylo smazaných 6 tisíc uživatelů během 60 sekund. Nikdo ze smazaných uživatelů se od toho momentu nedokázal připojit vzdáleně do sítě. Zjištění rozsahu začalo telefonním hovorem na support a skončilo panikou po tom, co byl dohledán onen hravý zaměstnanec. Se stejným nástrojem proběhlo opětovné nasazení smazaných uživatelů, což trvalo až 1 hodinu. Hodně jsme se tenkrát naučili.

Kam bude podle Vás MFA směřovat?

Trh MFA se musí vyvíjet a umět demonstrovat jednoduchost použití, která je klíčovou pro přijetí technologie uživatelem. MFA výrazně pomáhá se chránit před naprostou většinou běžně rozšířených útoků na převzetí účtu. Předpokládám, že MFA se bude do budoucna více zaměřovat na uživatele, např. ‘Passwordless’ technologie je nyní velmi diskutované téma, které přitahuje pozornost. Uvidíte, že bude dalším evolučním krokem, nicméně k tomu bude zapotřebí dalších technologií jako je např. využití biometriky. Mimo to budou sledovány metriky založené na sledování chování (chování / využití / umístění zařízení) a ty budou použity k opětovné autentizaci, blokování nebo jinak definované kontrole přístupu a k označení jakékoliv anomálie.

Jaké jsou vaše plány do budoucna ohledně MFA?

V naší společnosti SecurEnvoy budujeme nyní úplně novou platformu, která umožní porozumění identitě a lokace uživatele, identitě a lokace zařízení a také identitě a lokace dat. A právě porozumění napříč těmito metrikami, umožní porozumět uživateli jako celku a umožní tak nasazení nápravných a dynamických politik pro daného jednotlivce. Představte si to tak, že místo semaforového scénáře, kdy je přístup buď povolen nebo zamítnut, lze bezproblémově použít různé úrovně přístupu a kontroly, které uživateli pomohou v jeho každodenním pracovním životě.

Jak velké riziko pro společnosti představuje práce v Home office? S jakým nejčastějším případem zneužití se dnes potýkáte?

Na Home office bychom měli nahlížet jako na rozšíření pracovní působnosti, a tudíž by měly pro HO platit stejné politiky na to, jak uživatelé pracují s daty, jak přistupují k systému atd. V ideálním případě by se mělo jednat o nějakou formu vzdáleného zabezpečeného přístupu, který je podporovaný prvky ověřování identity a doplněný o kontrolu koncového bodu, aby bylo možné porozumět rizikovosti zařízení, které se připojuje do sítě. A samozřejmě se to týká i zabezpečení dat, kdy bezpečnostní prvky zajistí, co uživatel může/nemůže dělat, pokud má přístup k obchodním a citlivým datům společnosti. Zapomínat nesmíme ani na ukládání dat na externí disky či USB, tisk těchto dat či jejich přeposílání v emailové komunikaci. Na závěr si můžeme položit otázku směřující k samotnému hardwaru: Jsou notebooky na HO po použití uzamčeny a používá se na nich šifrování disku? Při přístupu ke cloudu je pro úspěšnou interakci klíčová identita a bezpečnost dat. Nejčastějšími případy je možnost řízení, stahování nebo synchronizace, či přeposílání e-mailu a tisk.

Jak vnímáte úroveň zabezpečení IT ve Velké Británii ve srovnání s jinými státy?

Pokud se na UK podíváme z pohledu zabezpečení HW/SW je na velmi dobré výchozí pozici, nicméně jsem přesvědčen, že v oblasti vzdělání uživatelů je stále prostor na zlepšení. Jako uživatelé neseme zodpovědnost sami za sebe při používání jednoduchých technik, jako např.: neklikání na odkazy v e-mailech, ignorování nebo mazání nevyžádané nebo neznámé komunikace. Tyto techniky je nutné používat proti kyberzločincům využívajícím chytré a aktuální phishingové techniky V UK to například byla komunikace týkající se balíčků „Business COVID response“ od Světové zdravotnické organizace (WHO)

Jaký byl největší nedávný kybernetický incident ve Velké Británii?

V UK jsme se nedávno setkali s několika útoky, které byly cíleny na společnosti sídlící na hlavní třídě. Útoky byly narušeny databáze věrnostních karet. Avšak tím nejzávažnějším byl útok umožňující nahrání škodlivého kódu, který postihl British Airways. Kyberzločinci zacílili na běžnou webovou aplikaci e-commerce British Airways s kódem pro ukradení podrobností o kreditních kartách. Na začátku září společnost British Airways oznámila, že její web a aplikace byly napadeny mezi 22:58 BST dne 21. srpna a 21:45 BST dne 5. září. Během 15 dní bylo tímto bylo incidentem postiženo až 380 tisíc lidí a dle vyjádření British Airways byly zneužity podrobnosti o platebních kartách u 244 tisíc z nich.

Proč bezkontaktní technologie jako Near Field Communication (NFC) nebo Bluetooth nejsou široce integrovány pro OTP autentizaci? Typickým případem použití je offline bezkontaktní autentizace uživatele do operačního systému, jako je Windows, macOS nebo Linux.

To hodně souvisí s předchozí odpovědí, kde právě uživatelská zkušenost je tím klíčem pro přijetí jakékoli nové technologie. Dává smysl nabízet metodu autentizace uživatele, kdy pro autentizaci stačí být v těsné blízkosti čtečky (NFC) nebo se spárovat přes Bluetooth, což je mnohem jednoduší než opětovné zadávání ověřovacího kódu. Technologie Bluetooth a NFC vypadají v podstatě jako utopie, která vše napraví. Nejprve je ale nutné porozumět některým provozovaným protokolům Bluetooth a Bluetooth Low Power (BLE). Prvním problémem, na který je potřeba se zaměřit, je rádiové šíření. Standardní 10 m dosah není ideální metrikou, tudíž vzniká nutnost rádiové karty ovládat tak, aby byly zaměřeny na mnohem menší vzdálenost, ideálně 10-20 cm.

Zároveň u Bluetooth existují určité obavy ohledně úrovně šifrování, což závisí na úrovni integrace každého z výrobců, a také na zranitelnostech jako je BlueBorn, dále útocích na Bluetooth, jako je Bluesnarfing či odposlouchávání a v neposlední řadě na DoS technikách a virech zaměřených na zařízení Bluetooth. A právě tato fakta pozastavují přijetí Bluetooth k autentizaci, ale nutno dodat, že nové revize a správně provedené integrace výrobců tento nedostatek stále více zlepšují. U NFC je to jinak. Zde se nepotýkáme s problémem rádiové vzdálenosti. Přijetí technologie jako takové ovlivňuje přijetí NFC do osobních počítačů.

Technologie mobilních telefonů se vyvíjí rychlostí světla a mají NFC podporu již několik let. Avšak kolik stolních počítači či notebooků má tuto technologii již zabudovanou? To jde ruku v ruce s nasazením přidružených software a externích čteček ke starším zařízením, které NFC nativně nepodporují. V SecurEnvoy stále zkoumáme, jestli existuje životaschopné propojení autentizace pomocí Bluetooth či NFC. Co už máme momentálně otestované na naší cloudové platformě, je použití biometrie k odpovědi na výzvu uživatele k ověření PUSH, což poskytuje uživatelům jednoduché a bezpečné ověření. Pouhá dostupnost NFC nebo Bluetooth na zařízení nestačí k zajištění pozitivního ověření uživatele, a právě proto se SecurEnvoy vydal cestou biometrického ověření.

Děkujeme za zajímavý rozhovor. Pro více informací kontaktujte sales@comguard.cz.

Rozhovor realizovala Kateřina Brátová a Tomáš Mačica, COMGUARD a.s.


Přidejte Váš názor

Opište text z obrázku, prosím:

Komentáře k článku - přidejte komentář jako první