Nieczęsto klienci sami wpadają na pomysł wykorzystania tego rodzaju rozwiązań. Zwykle zmuszają ich do tego przepisy. Także w kontroli dostępu najważniejsza staje się kwestia zapewnienia zgodności z regulacjami. Przedsiębiorstwa kupują nowe systemy i modernizują posiadane, żeby móc korzystać z funkcji audytu i raportowania. Ze względu na wymogi prawne częściej wdrażają uwierzytelnianie wieloskładnikowe, zarówno z myślą o swoich klientach, jak i pracownikach. Przy okazji wejścia w życie RODO wielu przedsiębiorców postanowiło ocenić używane systemy informatyczne pod względem jakości zarządzania informacją i cyberbezpieczeństwa. Decydowali się zatem na przeprowadzenie audytów, które– choć są bardzo różnej jakości (różnie też kosztują) – zwykle wykazują, czego potrzeba w firmie, by jej zasoby IT były lepiej zabezpieczone.

Jeśli więc administratorzy wcześniej nie zgłaszali zwierzchnikom żadnych problemów, teraz zarządy – wiedząc o wymogach formalnych – raz na jakiś czas decydują się na sprawdzenie, czy rzeczywiście ich nie ma. Gdy w wyniku audytu firma dostanie słabą ocenę, dajmy na to w zakresie kontroli dostępu do infrastruktury IT, integratorzy mogą się spodziewać zapytań o sposoby rozwiązania problemów.

Dostęp nie tylko dla użytkowników

Na rynku są trzy typy rozwiązań zabezpieczających infrastrukturę IT, które spełniają potrzeby przedsiębiorstw w obszarze cyberbezpieczeństwa. Pierwsze to klasyczne narzędzia do ochrony, w rodzaju antywirusa, antyspamu, firewalla oraz IPS, które filtrują pliki i ruch w sieci, chroniąc przed zagrożeniami przenoszonymi za ich pośrednictwem. Drugi typ stanowią platformy zbierające różnego rodzaju logi dostarczane przez infrastrukturę (z danymi surowymi albo przetworzonymi), szukające anomalii i podejrzanych aktywności, także przy użyciu technik uczenia maszynowego i sztucznej inteligencji.

Na trzecią grupę składają się rozwiązania, które nie oferują ochrony opartej na filtrach i skanerach, ale wymuszają stosowanie odpowiednich reguł polityki bezpieczeństwa, m.in. związanych z dostępem do firmowych danych (zarówno pracowników jak i współpracowników, w tym także z podmiotów zewnętrznych), zarządzaniem hasłami oraz kluczami SSH do kont uprzywilejowanych. Specjaliści podkreślają, że w tego typu rozwiązaniach ważną rolę odgrywa zarządzanie dostępem uprzywilejowanym. Nie powinno więc dziwić, że w zestawieniu dziesięciu najlepszych projektów ochronnych z roku bieżącego analitycy Gartnera umieścili Privileged Access Management na pierwszym miejscu.

W zakresie zabezpieczania dostępu ważna jest taka organizacja infrastruktury, która określi jasny podział sieci na segmenty. Łatwo wówczas zastosować narzędzia, które służą do monitorowania dostępu z prawami administratora oraz zarządzania kontami uprzywilejowanymi (np. sposobem przydzielania haseł użytkownikom bądź urządzeniom oraz kontrolą ich wykorzystywania).

Niektóre urządzenia muszą mieć dostęp na poziomie uprzywilejowanym, bo inaczej nie byłoby mowy o bezpieczeństwie odmienianej ostatnio przez wszystkie przypadki automatyzacji działania infrastruktury. A gdy na rynku brakuje specjalistów, wszyscy starają się w mniejszym lub większym zakresie wprowadzać zautomatyzowane zarządzanie firmową infrastrukturą IT.

Audytorzy uważnie przeglądają skrypty związane z automatyzacją, m.in. dotyczące budowania nowych maszyn wirtualnych czy aplikacji w chmurze. Sprawdzają, jak są tworzone konta użytkowników i hasła do nich oraz gdzie te dane są przechowywane. Dlatego zarządzanie dostępem uprzywilejowanym i kontami z prawami administratora staje się coraz ważniejsze, zarówno w przedsiębiorstwach, jak i w instytucjach.

 

Wciąż zbyt mała świadomość

Zdobywanie wiedzy w zakresie kontroli dostępu (również uprzywilejowanego) nie jest jednak proste. Zdaniem Marty Zborowskiej, Sales Directora w Connect Distribution, to wciąż nowy temat i wymaga od dostawców działań edukacyjnych. W praktyce w każdej firmie wykorzystywane są hasła i konta uprzywilejowane, które umożliwiają uzyskanie dostępu do krytycznych danych i systemów. Jednak, gdy rozmowa z klientem schodzi na rozwiązania PAM, najważniejszą dla niego kwestią pozostaje nagrywanie sesji.

Gdy próbujemy tłumaczyć, dlaczego PAM jest tak istotny i dlaczego konta uprzywilejowane muszą znajdować się pod kontrolą, reakcja klienta ogranicza się do pytania: czy macie państwo nagrywarkę sesji internetowych? – mówi Marta Zborowska.

Jeśli nawet klienci słyszeli o zagrożeniach związanych z kontami uprzywilejowanymi, twierdzą, że nie potrzebują jeszcze narzędzi do zarządzania nimi, a inni odsuwają zakup takich rozwiązań na plan dalszy. Skupiają się wyłącznie na udokumentowanym posiadaniu nagranej sesji, ponieważ tego wymagają przepisy i o tym mówią przeprowadzający audyt.

Według specjalistów, z którymi rozmawialiśmy, polscy klienci, a konkretnie osoby odpowiedzialne w firmach za bezpieczeństwo IT, wciąż działają bez jasnej, długoterminowej strategii. Rzadko zdarza się, że w przypadku ograniczonego budżetu planowane jest wdrożenie najpierw jednego zabezpieczenia (przykładowo zarządzania dostępem uprzywilejowanym), a za rok – gdy znów będą pieniądze – implementacja uwierzytelniania dwuskładnikowego. Klienci najczęściej działają bowiem od szkody do szkody, reagując przede wszystkim na bieżące problemy.

Co dodać do hasła?

Rozwiązanie do zarządzania dostępem przejmuje kontrolę nad wszystkimi mechanizmami logowania się do zasobów IT. Często na początku wykonuje audyt wszystkiego, co jest w sieci, by następnie umożliwić nadawanie uprawnień zgodnie z przyjętą polityką bezpieczeństwa. Od niej będzie zależeć, czy wystarczy uwierzytelnienie za pomocą hasła, czy potrzebne będzie wdrożenie rozwiązania wieloskładnikowego (Multi-Factor Authentication). MFA zwiększa poziom ochrony i zwykle jest wprowadzane w modelu dwuskładnikowym – login/hasło plus wybrany dodatkowy sposób uwierzytelniania. Na rynku dostępnych jest wiele różnych rozwiązań do tworzenia takich zabezpieczeń.

Odnotowujemy coraz więcej zapytań dotyczących możliwości współpracy systemu zarządzania dostępem uprzywilejowanym z uwierzytelnianiem dwuskładnikowym – twierdzi Paweł Rybczyk, Territory Manager CEE & CIS w firmie Wallix.

Oceniając polski rynek rozwiązań do uwierzytelniania wieloskładnikowego, Krzysztof Hałgas, dyrektor Bakotechu, zauważa na nim wyraźny podział. Z jednej strony są firmy i instytucje, które zgodnie z wewnętrznymi regulacjami powinny korzystać z tego typu rozwiązań i używają ich od wielu lat. Ta część rynku jest w pewnym sensie zamknięta, bo w całości opanowana przez dostawców, którzy są liderami w tym segmencie. Wykorzystywane są tu przeważnie tokeny sprzętowe (rzadziej programowe).

Marta Zborowska

Sales Director, Connect Distribution

Klienci uważają, że same hasła stanowią wystarczające zabezpieczenie. Zdarza się też, że polityka bezpieczeństwa firmy polega na korzystaniu z pliku Excela, z którego administrator w razie potrzeby przydziela hasła. W przedsiębiorstwach rzadko stosuje się generatory haseł, które dostarczają trudne do złamania poświadczenia. Niejednokrotnie hasła do kont uprzywilejowanych są takie same, jak do kont zwykłych użytkowników. Wykorzystują najprostsze kombinacje – typu qwerty123, zaczynające się od imienia albo daty urodzenia użytkownika. Dlatego przed dostawcami i ich partnerami biznesowymi jest jeszcze dużo pracy polegającej na zwiększeniu wiedzy klientów w zakresie bezpieczeństwa, najlepszych praktyk oraz odpowiednich do tego narzędzi.

 

Z drugiej strony są średni i mali przedsiębiorcy, którzy albo nie uświadamiają sobie potrzeby używania bardziej zaawansowanych mechanizmów kontroli dostępu, albo sądzą, że ich to nie dotyczy (co na jedno wychodzi). Zaczynają myśleć o ich wdrożeniu dopiero wtedy, kiedy coś się wydarzy. Do zarządów firm dociera wówczas, że wieloskładnikowe uwierzytelnianie uchroniłoby ich przed szkodą.

Liderzy rynku nie trafiają do takich klientów, bo są skoncentrowani na dużych przedsiębiorstwach. Poza tym ich rozwiązania są relatywnie drogie i mogą być trudne we wdrożeniu. Tymczasem na rynku znajdują się produkty, które za nieduże pieniądze umożliwiają prostą instalację i wygodne wykorzystanie MFA – wyjaśnia Krzysztof Hałgas.

W przeznaczonych dla tej grupy klientów systemach kontrolę dostępu do informacji zapewnia przykładowo programowe rozwiązanie zarządzane z chmury, wprowadzające uwierzytelnianie wieloskładnikowe do systemu informatycznego, które będzie wykorzystywać smartfony jako urządzenia zapewniające dodatkowy składnik autentykacji. Dzięki chmurze łatwiejsze staje się także administrowanie rozwiązaniem – dodawanie użytkowników, integrowanie z AD, zdalne przyznawanie uprawnień i ich odbieranie. Z kolei dzięki temu, że tokenem sprzętowym staje się smartfon, użytkownicy nie muszą nosić ze sobą żadnego dodatkowego urządzenia do uwierzytelniania.

Wykorzystanie chmury i telefonów w takich rozwiązaniach może jednak budzić obawy klientów. Dostawcy bronią swych rozwiązań, tłumacząc potencjalnym nabywcom, że takie środowisko jest w pełni bezpieczne: w chmurze przechowuje się niewiele informacji i to w formie, która zapobiega ich nieuprawnionemu wykorzystaniu. Odnosząc się do kwestii telefonów, mówią o mechanizmach, które uniemożliwiają uzyskanie kodu uwierzytelniającego na innym urządzeniu niż smartfon, dla którego ów kod jest przeznaczony.

Obecnie wiele firm stosuje systemy pojedynczego logowania (Single Sign-On), które ułatwiają życie użytkownikom, gdyż nie wymagają wpisywania kolejnych danych uwierzytelniających podczas logowania się do systemów i aplikacji. Z drugiej strony upraszczają pracę administratorom, zapewniając im większą kontrolę nad hasłami. Dzięki temu nie muszą pamiętać o odbieraniu uprawnień odchodzącym bądź zwalnianym pracownikom. Wystarczy, że wyłączą jedno hasło, a wszystkie uprawnienia takiej osoby tracą ważność, co uniemożliwia jej wszelki dostęp do danych. We wdrażaniu SSO jeszcze większe znaczenie ma wdrożenie uwierzytelniania dwuskładnikowego, bo jeśli jeden „klucz” otwiera tak wiele „drzwi”, to tym bardziej trzeba upewnić się, że używa go odpowiednia osoba.

 

Paweł Rybczyk

Territory Manager CEE & CIS, Wallix

Wobec pojawiają-cych się regulacji lokalnych, takich jak ustawa o cyber-bezpieczeństwie, albo przepisów o znacznie większym zasięgu, w rodzaju RODO, bardzo wzrosło znaczenie compliance. Wiele firm zaczęło przeprowadzać audyty, z których wynika, że trzeba zainwestować w nowe zabezpieczenia albo nawet całkiem przebudować infrastrukturę ochronną. Przekłada się to na zwiększenie liczby realizowanych projektów i wzrost zainteresowania rozwiązaniami typu PAM, nie tylko w Polsce, ale w całym regionie Europy Środkowej i Wschodniej. O tym, że klienci szukają takich zabezpieczeń, może też świadczyć liczniejsze niż jeszcze niedawno grono producentów z tego segmentu działających na naszym rynku.

 

Biometria – z dużej chmury (na razie) mały deszcz

Jakiś czas temu wydawało się, że biometria opanuje rynek uwierzytelniania. Pojawiło się wiele rozwiązań wykorzystujących odcisk palca i inne metody biometryczne. Analitycy przewidywali, że ich sprzedaż będzie rosła w szybkim tempie, ale tak się nie stało. Na przeszkodzie stoją prawdopodobnie dodatkowe koszty czytników oraz konieczność używania przez pracowników kolejnego urządzenia.

– Klienci wolą prostsze we wdrożeniu rozwiązania i – bez zmian – częściej korzystają z tokenów sprzętowych i programowych – utrzymuje Krzysztof Hałgas.

Dostawcy i ich partnerzy z branży zabezpieczeń przyznają, że zastosowanie biometrii do uwierzytelniania się wciąż nie zyskało popularności w segmencie biznesowym. Co innego na rynku konsumenckim, gdzie się szeroko rozpowszechniło. Posiadacze nowych smartfonów bardzo często uzyskują do nich dostęp przy użyciu czytnika linii papilarnych, skanera tęczówki czy mechanizmu rozpoznawania twarzy. Choć trzeba pamiętać, że poziom takich zabezpieczeń jest różny. Parę miesięcy temu Holenderskie Stowarzyszenie Konsumentów przedstawiło wyniki testów, które pokazały, że wiele modeli smartfonów znanych marek udało się odblokować za pomocą wysokiej jakości fotografii właściciela.

Niemniej techniki biometryczne są stale doskonalone. Łatwość ich użycia sprawia, że z biegiem czasu klienci będą zapewne domagać się ich stosowania także w życiu zawodowym. Nie byłby to pierwszy przykład przenikania trendów konsumenckich do biznesu. Mimo falstartu biometrii przed laty, można przypuszczać, że będzie ona zyskiwać na znaczeniu jako drugi, wygodny element uwierzytelniający w schemacie MFF. A w przyszłości, kto wie? Może jedyny.

Nie lekceważyć dostępu

Dostawcy przekonują, że kontrola dostępu informatycznego powinna być dla zarządów firm tak oczywista, jak kontrola dostępu fizycznego. O ile jednak przedsiębiorcy nie mają dzisiaj żadnych wątpliwości, że potrzebują ochrony z kamerami i całodobowym monitoringiem, o tyle wciąż nie są przekonani, że równie dokładnie powinno się kontrolować, kto i jak korzysta z firmowych zasobów IT.

Z doświadczeń producentów rozwiązań do uwierzytelniania i ich partnerów wynika, że często pracownicy działów IT nie tłumaczą szefom, dlaczego kontrola dostępu do firmowej infrastruktury jest konieczna, jak działa i jakie bywają konsekwencje braku odpowiednich zabezpieczeń. Dlatego to integratorzy powinni rozmawiać z osobami decyzyjnymi w przedsiębiorstwach i wyjaśniać, że ułatwianie intruzowi dostępu do firmowej sieci nie różni się od wpuszczania złodzieja do siedziby, a szkody mogą być dużo większe. Ponieważ edukacja jest tak ważna, dostawcy oferują coraz więcej szkoleń, zarówno dla swoich partnerów, jak i ich klientów.

Przewiduje się, że zarządzanie tożsamością i dostępem będzie w kolejnych latach odgrywać ważną rolę na rynku zabezpieczeń, ze względu na zapewnianą przez takie rozwiązania centralizację kontroli oraz efektywność ich działania. Dzięki umożliwieniu zaawansowanego uwierzytelniania, wykorzystywania katalogu, zarządzania hasłami, korzystania z funkcji pojedynczego logowania (SSO) oraz przeprowadzania audytu przedsiębiorcy zyskują gwarancję, że ich najważniejsze dane i aplikacje są właściwie zabezpieczone.

Zdaniem integratora

Bartosz Dzirba, CTO i członek zarządu, Passus SA

Działając na rynku zabezpieczeń czy w ogóle IT, warto współpracować z producentami niszowymi. Ich rozwiązania wcale nie muszą być tańsze niż najpopularniejsze produkty, choć zwykle są, z prostego powodu: jeśli ktoś chce wejść na rynek, to próbuje się wyróżnić także ceną. Mniejsi producenci mają do tego tę wielką zaletę, że są w swych działaniach bardziej elastyczni niż najwięksi i bardzo szybko reagują nawet na bardzo specyficzne potrzeby. Interesują się także mniejszymi projektami i nigdy nie jesteśmy  dla nich anonimowym partnerem spośród tysiąca innych. Oczywiście, istnieje niebezpieczeństwo, że taki dostawca w kolejnych latach przestanie funkcjonować jako startup i nie rozwinie się. Gdy się jednak trafi na inwestującego w swój rozwój producenta z ciekawym rozwiązaniem, robienie z nim biznesu daje dużą satysfakcję.