Zdanych opublikowanych w raporcie „2015 Dell Security Annual Threat Report” wynika, że w 2014 r. napastnicy podwoili liczbę unikalnych ataków prowadzonych z wykorzystaniem złośliwego kodu. Łącznie na świecie odnotowano 88 bln incydentów wykrytych wewnątrz zainfekowanych systemów operacyjnych i 45 mld przypadków aktywności zainfekowanego oprogramowania. Pozyskane dane (numery kart kredytowych, informacje osobiste i medyczne) stają się najczęściej „towarem”, którym później obracają przestępcy.

 

Problemy z hasłami

O trudnościach związanych z zarządzaniem hasłami i skomplikowaną polityką ich zabezpieczania krążą już anegdoty i legendy. Jedną z podstawowych metod poradzenia sobie z tym problemem, promowanych przez Dell Software, jest wykorzystanie dwuskładnikowej autoryzacji 2FA (two factor authentication). Podejście to uwzględnia dwa elementy: wiedzę (coś, co użytkownik zna, np. PIN lub nazwa użytkownika) i posiadanie (coś, czym dysponuje, np. token sprzętowy generujący dynamiczne jednorazowe hasła OTP).

Do kompleksowego zarządzania hasłami Dell Software proponuje rozwiązanie o nazwie Password Manager. Daje ono administratorom możliwość spełnienia założeń polityki bezpieczeństwa w zakresie zarządzania hasłami, w tym wykonywania takich czynności jak odblokowywanie kont, resetowania hasła czy wymuszanie na użytkownikach jego zmiany. Przygotowana w ten sposób infrastruktura z powodzeniem przejdzie testy prowadzone podczas audytu bezpieczeństwa i będzie zgodna z takimi regulacjami jak SOX, HIPAA czy PCI. Zapewnia wprowadzenie wyrafinowanych mechanizmów ochrony haseł, bez obawy przed zwiększeniem liczby zgłoszeń do obsługi technicznej, np. w kwestii resetowania haseł.

 

Password Manager umożliwia zdefiniowanie tzw. bezpiecznych pytań, m.in dzięki którym każdy użytkownik systemu IT – przez samoobsługowy portal – będzie w stanie sam odzyskać swoje hasło. W efekcie maleją koszty obsługi serwisowej, a jednocześnie skraca się czas ewentualnej bezproduktywności pracowników. Rozwiązanie to działa w systemach operacyjnych Microsoft, ale także Unix i Linux.

 

Uwierzytelnianie z tokenem

Dell Software zapewnia integrację Password Managera z innym ciekawym oprogramowaniem – serwerem autoryzacyjnym Dell Defender. Głównym jego celem jest udostępnianie prostych mechanizmów 2FA.

Inżynierowie firmy Perceptus przygotowali w swoim laboratorium referencyjną konfigurację integrującą oba wymienione produkty. Wygodnym dodatkowym narzędziem autoryzacyjnym do procesów odzyskania hasła okazały się tokeny SMS-owe. Użytkownik, który chce odblokować swoje hasło domenowe do stacji roboczej, dostaje jednorazowe hasło OTP (One Time Password) na telefon przypisany do swojego konta. Proces ten może zastąpić metodę autoryzacji bazującą na bezpiecznych pytaniach. W ten sposób w firmie wdrażana jest dwuskładnikowa autoryzacja wykorzystująca klasyczne hasło SMS. To prosty i skuteczny sposób na zwiększenie bezpieczeństwa, zakładający rozdzielenie poświadczeń tożsamości i odpowiedzialnych za nie mechanizmów. Dell Software oferuje również możliwość skorzystania z darmowej aplikacji do tworzenia kodów OTP, zgodnych ze standardem OATH dla urządzeń mobilnych z systemami Android oraz Windows Phone.

Jedną z alternatywnych metod autoryzacyjnych może być także wykorzystanie sprzętowych tokenów. Perceptus wybrał do tego zyskujące coraz większą popularność tokeny w standardzie OATH, produkowane przez szwajcarską firmę NagraID Security. Rozwiązanie NagraID Security Display Card oferowane jest w postaci wygodnej w użyciu karty (o wymiarach standardowej karty kredytowej). Ma własne zasilanie, jest wyposażone w kontrastowy, sześcioznakowy wbudowany wyświetlacz LCD i przycisk aktywacyjny. Po przyciśnięciu przycisku na wyświetlaczu ukazuje się kod jednorazowy, generowany według odpowiedniego algorytmu.

Token NagraID Security przypisywany jest w Defenderze do danych użytkownika domenowego, przez administratora lub za pomocą portalu samoobsługowego. Po przeprowadzeniu synchronizacji użytkownik końcowy może odblokować swoje konto lub wymusić zamianę zapomnianego hasła po dokonaniu dodatkowej autoryzacji kodem z karty NagraID.

 

Oprogramowanie Defender zapewnia nie tylko integrację z Password Managerem. Udostępnia wtyczki przeznaczone do instalacji w urządzeniach końcowych. Dzięki temu możliwe staje się rozszerzenie klasycznych mechanizmów logowania do systemu operacyjnego o model 2FA (kod SMS lub tokeny sprzętowe). To bardzo interesująca alternatywa, np. wobec infrastruktury klucza publicznego (PKI) jako sposobu na dwuskładnikową autoryzację.

 

Zabezpieczanie przez szyfrowanie sprzętowe

Definicje uprawnień, hasła, a nawet wykorzystywane przez Password Managera odpowiedzi na pytania awaryjne, są zapisane w repozytorium (którym najczęściej jest serwer Active Directory) lub w relacyjnej bazie. Dlatego zaleca się również ich zabezpieczenie za pomocą szyfrowania. Inżynierowie Perceptusa proponują użycie w tym celu tzw. sprzętowych modułów bezpieczeństwa (Hardware Security Modules), które zapewniają ochronę infrastruktury IT przed dostępem niepowołanych osób.

Zdaniem specjalistów Perceptusa kluczowe dla zwrotu z takiej inwestycji jest użycie HSM, nie tylko, jak to zazwyczaj bywa, do budowy wewnętrznej infrastruktury PKI. Proponują zatem zastosowanie HSM do integracji na dwóch poziomach – Microsoft Active Directory Rights Management Services oraz zastosowania szyfrowania bazy danych z bezpiecznie przechowywanymi kluczami dzięki użyciu mechanizmu Extensible Key Management (SQLEKM). W ten sposób wszystkie wrażliwe dane administracyjne konfigurowalne w Defenderze będą bezpiecznie przechowywane.

Przemysław Sobczyk

opiekun laboratorium bezpieczeństwa CBR, Perceptus

Perceptus jest integratorem zajmującym się zaawansowanymi technologiami bezpieczeństwa IT. Ale aktywnie współpracujemy także z integratorami specjalizującymi się w innych dziedzinach. Wszystkie przedstawione rozwiązania mamy fizycznie wdrożone, zintegrowane i przetestowane w siedzibie firmy (Park Naukowo-Technologiczny w Nowym Kisielinie), gdzie mieści się nasze laboratorium. Jesteśmy świadomi, że – biorąc pod uwagę obszar, w którym się poruszamy – opisane rozwiązania mogą być obce, a niekiedy bardzo złożone dla osób, które nie są ekspertami. Dlatego z chęcią udostępniamy naszą infrastrukturę oraz dzielimy się wiedzą i doświadczeniem z zainteresowanymi partnerami i ich klientami.

 

Do realizacji modelu ochrony z wykorzystaniem modułów HSM Perceptus proponuje rozwiązanie Utimaco CryptoServer, w postaci instalowanej w serwerach karty PCIe lub oddzielnego urządzenia podłączanego bezpośrednio do sieci. Mając do dyspozycji model sieciowy, inżynierowie firmy Perceptus rekomendują rozważenie kwestii wykorzystania HSM do obsługi szyfrowania HTTPS. Dell podkreśla, że pojawiają się hakerzy wykorzystujący szyfrowane połączenie do ukrywania złośliwego oprogramowania przed firewallami korporacyjnymi. Te i inne dziury w zabezpieczeniach powstają w związku ze stosowaniem kluczy w serwerach WWW w formie plików, zamiast wykorzystania do tego celu HSM.

 

Audyt zmian

Kolejnym elementem wielowarstwowej architektury bezpieczeństwa, jaką oferuje Dell Software, jest system monitoringu zmian w systemach IT – Change Auditor. Jest to potężna platforma audytu systemu Windows, zwiększająca bezpieczeństwo przez natychmiastowe raportowanie, m.in. kto dokonał zmiany, kiedy, gdzie i z której stacji roboczej.

Elastyczny mechanizm powiadomień o zmianach inicjuje przesyłanie standardowych powiadomień na e-mail lub do urządzeń przenośnych w celu podjęcia natychmiastowych działań. Zapewnia zatem administratorowi możliwość reagowania na zagrożenia, nawet gdy nie znajduje się on w siedzibie firmy. Change Auditor wyposażony jest w moduły audytowania zmian w oprogramowaniu Active Directory, Exchange, SQL Server, Lync i VMware vCenter. Może też śledzić aktywność użytkowników związaną z uwierzytelnianiem się ich na stacjach roboczych.

Dodatkowe informacje:

Przemysław Sobczyk,

Information Security Officer, Perceptus,

p.sobczyk@perceptus.pl

Artykuł powstał we współpracy z firmą Perceptus.