Dodanie kolejnego składnika do standardowego hasła i loginu jest najprostszym oraz najbardziej efektywnym sposobem zagwarantowania, że z usługi korzysta rzeczywiście uprawniona do tego osoba. W idealnie skonstruowanych systemach uwierzytelniania wieloskładnikowego użytkownik powinien wykorzystywać coś co zna (np. hasło), coś co ma (np. token lub aplikację z kodami) oraz jedną ze swych biometrycznych cech (np. odcisk palca, układ żył w dłoni, siatkówkę oka, kształt twarzy). Jednak zastosowanie już dwóch elementów uwierzytelniania znacząco podnosi poziom bezpieczeństwa. Ponieważ weryfikacja cech biometrycznych wciąż jest związana z niemałymi kosztami, najefektywniejszym sposobem jest połączenie znanego przez użytkownika hasła z kodem generowanym przez rozwiązanie ochronne.

W październiku 2018 r. Cisco Systems sfinalizowało przejęcie firmy Duo Security, która specjalizuje się w chmurowych systemach uwierzytelniania wieloskładnikowego. Umożliwiają one sprawdzanie uprawnień użytkowników na wiele sposobów, które nie wydłużają procesu logowania. Trzonem oferty jest usługa Duo Push umożliwiająca wysyłanie do telefonów z zainstalowaną aplikacją Duo Mobile powiadomień push zawierających kod do wpisania w panelu logowania. Duo Security zapewnia również narzędzia współpracujące z tokenami zabezpieczającymi, zgodnymi z otwartym standardem uwierzytelniającym Universal 2nd Factor (U2F) i innymi tego typu urządzeniami, a także umożliwiające używanie mobilnych haseł, SMS-ów weryfikacyjnych oraz oddzwonienia telefoniczne.

Rozwiązania Duo Security są łatwe we wdrażaniu w przedsiębiorstwach każdej wielkości. Administratorzy mogą skorzystać z funkcji synchronizacji danych nawet tysięcy użytkowników, pochodzących z istniejących katalogów, takich jak Active Directory i Azure AD lub importu listy użytkowników i ich uprawnień za pośrednictwem interfejsu API. Dzięki dostępności usługi w modelu SaaS nie ma konieczności instalowania w firmie rozbudowanej infrastruktury sprzętowej służącej do uwierzytelniania. Z funkcji Duo Push mogą korzystać również administratorzy i pracownicy pomocy technicznej do weryfikacji tożsamości użytkowników końcowych.

Natomiast użytkownicy mogą sami zarządzać własnymi urządzeniami stosowanymi do uwierzytelniania, korzystając z portalu samoobsługowego, co często eliminuje potrzebę zapewniania im obsługi technicznej. Rozwiązanie wymusza również używanie zawsze aktualnej wersji aplikacji, aby uniknąć sytuacji, w której korzystają z oprogramowania bez najnowszych poprawek łatających luki w systemie bezpieczeństwa.

Duo Security ma również w ofercie bardzo ciekawe narzędzie do prowadzenia symulacji kampanii phishingowych. Dzięki niemu łatwo ustalić, którzy użytkownicy są podatni na manipulacje stosowane przez cyberprzestępców, a następnie podjąć odpowiednie działania edukacyjne. Administratorzy zyskują też dostęp do zbiorczych informacji prezentujących stan wiedzy i świadomości użytkowników dotyczących ryzyka ulegania phishingowym przekazom.

 

Omów z klientem przed wdrożeniem

Cisco zaleca integratorom, aby przed podjęciem przez klienta decyzji o wyborze rozwiązania do uwierzytelniania wieloskładnikowego pomogli mu w rozważeniu wszystkich ważnych kwestii związanych z jego wdrożeniem i późniejszym użytkowaniem.

Wpływ na bezpieczeństwo
W jakim stopniu chroni przed zagrożeniami i czy zapewnia informacje o poziomie bezpieczeństwa w przedsiębiorstwie? Na ile skuteczne jest w redukowaniu ryzyka wycieku danych?
Wpływ na biznes
Czy rozwiąznie jest kompatybilne z innymi stosowanymi w firmie i nie wywiera negatywnego wpływu na procesy biznesowe? Czy zapewnia zgodność z regulacjami firmowymi, branżowymi, ogólnokrajowymi i in.?
Całkowity koszt użytkowania
Czy zasady naliczania opłat za jego użytkowanie są jasne? Czy nie generuje ukrytych kosztów dla firmy?
Czas wdrożenia
Jak szybko od momentu podjęcia decyzji o zakupie rozwiązania będzie można zaobserwować korzyści płynące z jego wdrożenia?
• Wymagane zasoby
Jakie rodzaje zasobów są potrzebne do wdrożenia i przygotowania użytkowników do korzystania z określonego rozwiązania? Czy jego architektura nie wymaga podejmowania ciągłych działań administracyjnych?

 

Łatwa integracja w chmurze

Twórcy usług świadczonych pod marką Duo Security zapewnili ich bezproblemową integrację z dowolną firmową aplikacją w chmurze, zgodną z protokołem SAML 2.0. W efekcie zapewniony jest bezpieczny dostęp do popularnych usług, takich jak Office 365, Salesforce, Dropbox oraz AWS. Duo, jako rozwiązanie bazujące na chmurze, nie wymaga instalacji nowych narzędzi ani aktualizacji oprogramowania. Za pomocą tych usług można wprowadzić politykę modułową, w ramach której osobom z różnych grup w firmie przypisywane są określone role, co ułatwia zapewnienie bezpiecznego dostępu. Przykładowo, możliwe jest ustalenie surowszych zasad korzystania z firmowej sieci dla osób trzecich, np. blokowanie dostępu z proxy, sieci Tor, a nawet osób logujących się z konkretnych państw, takich jak Iran czy Korea Północna.

Na szczególną uwagę zasługuje łatwość integracji narzędzi Duo Security z aplikacją Cisco AnyConnect VPN. W efekcie użytkownicy mają szyfrowany zdalny dostęp do aplikacji firmowych. Jednak w podstawowej wersji usługi do uwierzytelniania wykorzystywane są jedynie login i hasło, co w przypadku ich kradzieży stwarza ryzyko wycieku poufnych informacji. Sytuację komplikuje też fakt, że po uzyskaniu dostępu do sieci firmowej za pomocą aplikacji AnyConnect VPN napastnik może spróbować zdobyć większe uprawnienia i uzyskać dostęp do innych systemów, aplikacji lub serwerów. Może też zainstalować złośliwe oprogramowanie na działających w firmie komputerach lub serwerach, aby zapewnić sobie stały i niewidoczny dostęp do sieci. Dwuskładnikowe uwierzytelnianie eliminuje ryzyko tego typu ataku.

Rozwiązanie Duo Security jest wykorzystywane także w bazującej na modelu zerowego zaufania (Zero-Trust Security), zaprezentowanej przez Google koncepcji BeyondCorp, która definiuje nowy model zabezpieczania firmowych środowisk IT.

Więcej informacji na temat rozwiązań marki Duo Security znajduje się na stronie duo.com. Partnerzy zainteresowani oferowaniem tych narzędzi swoim klientom mogą zarejestrować się w programie partnerskim przeznaczonym dla dostawców usług zarządzanych (MSP).

Dodatkowe informacje: Mateusz Pastewski, Cybersecurity Sales Manager, Cisco Systems, mpastews@cisco.com

 

Trzy pytania do…

 Mateusza Pastewskiego, Cybersecurity Sales Managera,  Cisco Systems

Jak duże jest zainteresowanie uwierzytelnianiem wieloskładnikowym w Polsce?

Już od wielu lat ta metoda logowania stosowana jest przez niektóre banki. Duża część społeczeństwa przyzwyczaiła się więc do tego i uznała, że ten sposób uwierzytelniania nie powstał w celu uprzykrzania im życia, ale podniesienia poziomu bezpieczeństwa i praktycznie wyeliminowania ryzyka włamania na konto. Do tego dochodzi wiele regulacji prawnych i wewnętrznych, które nakazują firmom dbałość o ochronę zasobów.

Czy zatem RODO może być dobrym argumentem sprzedażowym dla intergatorów oferujących klientom tego typu rozwiązania?

W Unii Europejskiej to obecnie najlepszy argument, nie tylko z powodu obaw firm przed konsekwencjami karnymi, ale ze względu na fakt, że uwierzytelnianie wieloskładnikowe naprawdę działa. Użytkownicy bardzo często korzystają z tych samych haseł do wielu usług i żadne nawoływania do porzucenia tej praktyki nie skutkują. Dlatego trzeba wyposażyć ich w narzędzie, które bez wprowadzania uciążliwych komplikacji zagwarantuje większe bezpieczeństwo, np. zapewnianą przez Duo Security aplikację na telefon. Mam nadzieję, że wkrótce zapisy zwiększające poziom bezpieczeństwa podczas logowania znajdą się także w innych branżowych regulacjach prawnych, np. medycznych czy finansowych, tak jak ma to miejsce w USA.

Na co jeszcze powinni zwracać uwagę wasi partnerzy oferujący rozwiązania do wielostopniowego uwierzytelniania?

Przede wszystkim na fakt, że narzędzia Duo Security zapewniają ochronę dostępu do aplikacji działających zarówno w wewnętrznym środowisku IT przedsiębiorstwa, jak i w chmurze publicznej. Wpisują się zatem w coraz popularniejszy rozproszony model usługowy – użytkownicy wykonują swoją pracę zdalnie, często się przemieszczają, podróżują między oddziałami firmy, a poza tym w wielu przedsiębiorstwach istnieje konieczność zapewniania dostępu do zasobów osobom z zewnątrz, np. partnerom biznesowym.