MFA

Многофакторната автентикация (MFA) е процес, при който достъпът до информационен ресурс минава през две или повече нива на сигурност вместо едно.

Традиционната защита на една информационна система е едностепенна. Тя разчита на парола или PIN код, за да ограничи достъпа до нея. Това означава, че ако някой знае паролата, той може да проникне в системата.

MFA добавя допълнителен слой защита. При нея е необходимо освен въвеждане на парола да се въведе и допълнителен код за сигурност. Този код се генерира на момента и може да бъде използван само веднъж. Така рискът някой друг да злоупотреби с паролата ви за достъп намалява значително.

Статистиката на Microsoft потвърждава ползите

Потребителите, които са активирали MFA, са блокирали около 99,9% от автоматизираните атаки срещу техните акаунти в Microsoft.

Най-популярни са MFA технологиите, базирани на телефон – еднократните кодове се изпращат чрез SMS или гласови повиквания. При този вид комуникация обаче се използва некриптирана връзка.

Затова Microsoft съветва потребителите да използват многофакторна автентикация, базирана на приложения и ключове за сигурност (security keys). В този случай допълнителният код се генерира от софтуер или хардуер.

Проблемът не е в сигурността на MFA, а в тази на телефонните мрежи

Когато зададете да получавате еднократните кодове за защита на вашия телефон, може да бъдете изложени на риск:

• SMS и гласовите повиквания могат да бъдат прихванати от хакери чрез софтуерно дефинирани радиостанции, FEMTO клетки или SS7 атаки
• Самите кодове за сигурност могат да бъдат хакнати чрез отворен код и фишинг инструменти
• Служители на телефонната компания, която ви обслужва, могат да бъдат подмамени да прехвърлят вашия телефонен номер към SIM картата на хакера (атаката се нарича „размяна на SIM“). Така киберпрестъпниците ще получават еднократните кодове за сигурност от ваше име

Препоръки:

• Задължително използвайте MFA за защита на своите акаунти
• По възможност използвайте MFA технологии базирани на приложения и ключове за сигурност (Microsoft Authenticator, Google Authenticator и др.)
• В никакъв случай не деактивирайте наличните SMS или гласово базирани MFA за своите акаунти – SMS MFA е много по-добър от липсата на MFA!

Традиционната мрежова сигурност е изградена върху т нар. принцип на „замък и ров“ (castle-and-moat). В този принцип осигуряването на достъп до вътрешната мрежа от гледна точка на външния периметър е много трудно, но за сметка на това всеки който се намира вътре в мрежата по подразбиране се приема, че е доверен (сигурен) потребител.

Основният проблем в този принцип е именно това, че ако злонамерено лице си осигури достъп по някакъв начин до вътрешната мрежа, то то ще се счита за доверен потребител и по този начин ще има достъп до всички ресурси вътре в нея. Друга голяма слабост в този принцип се дължи на това, че в днешно време голяма част от информацията е разпръсната по различни доставчици на облачни услуги, което означава, че вече не се намира на едно централизирано място.

Zero trust security е модел за мрежова сигурност, който изисква стриктна идентификация на самоличността на всеки потребител и устройство, които се опитват да достъпят вътрешните ресурси, независимо дали те се намират в периметъра на вътрешната мрежа или извън нея. Няма конкретна технология, която да се свързва с този модел, а по-скоро това е подход към мрежова сигурност, който се базира на отделни принципи и методи.

Какъв е произходът на Zero trust security модела ?

Терминът „Zero trust“ е въведен от анализатор, работещ в Forrester Research Inc. през 2010 г., когато моделът за концепцията е представен за първи път. Няколко години по-късно Google обяви, че са внедрили този модел в своята мрежа, което доведе до нарастващ интерес в технологичната общност.

Използването на Zero trust security означава, че всеки потребител, искайки достъп до даден ресурс, се поставя под съмнение и се изисква удостоверяване от негова страна, независимо от това, дали е извън или в корпоративната мрежа. Това добавя още едно ниво на сигурност, което доказано предотвратява пробива в корпоративната мрежа.

Проучването на „Cost of a Data Breach“  на IBM за 2018 г. показва, че средната цена на един пробив в информационната сигурност на глобално ниво се оценява на около 3 млн. USD. Като се има предвид това число, не би трябвало да е изненада, че много организации вече нетърпеливо приемат Zero trust security като модел за мрежова сигурност.

Кои са основните принципи и методи, които стоят зад Zero trust security модела ?

Философията на този модел се базира на принципа, че злонамерените лица се намират както извън, така и в мрежата и по тази причина никой потребител или устройство не бива да бъде автоматично считано за сигурно. В допълнение на това, ключови принципи в този модел са:

• Принципа за най-малко привилегии (Least-privilege access) – Осигурява се достъп на потребителите само до нужната информация, за да изпълняват ежедневните си задължения. Достъп до друга информация се предоставя само при поискване. Това свежда до минимум достъпа на всеки потребител до чувствителни части от мрежата и съответно информацията.
• Използване на многофакторна автентикация (Multi-factor authentication – MFA) – Означава изискване на повече от едно доказателство за автентикация на потребител. Т.е. въвеждането само на парола не е достатъчно, за да получите достъп до даден ресурс. Често срещано приложение на MFA е 2-факторната автентикация (2FA), използвана в популярни онлайн платформи като Facebook и Google. В допълнение към въвеждане на парола, потребителите с 2FA за тези услуги трябва да въведат и еднократен код, изпратен на друго устройство – например мобилен телефон. По този начин те предоставят две доказателства, че те са тези, които твърдят, че са. За някои критични системи може да се изиска дори и 3-факторна автентикация, която включва парола, получен код на телефон или друго устройство и пръстов отпечатък, например.
• В допълнение към контрола върху достъпа на потребителите, Zero trust security изисква и строг контрол върху достъпа на устройствата до мрежата. Системите, които обслужват този мрежови модел трябва да наблюдават колко на брой устройства се опитват да се свържат към мрежата и дали те са удостоверени да извършват подобно действие. Това допълнително намалява шанса за успешна атака върху мрежата.
• Следене на мрежовия трафик. Приемете, че действието на всяко едно устройство трябва да се поставят под съмнение независимо, че се намира във вътрешната мрежа. Криптирайте всички вътрешни комуникации, ограничете достъпа чрез политики и използвайте микросегментация и системи за анализ на мрежовия трафик (IDS/IPS).

Как да имплементираме Zero trust security модела в нашата мрежа ?

Няма единен метод, в който да са описани всички подробни и точни стъпки, поради простата причина, че този модел е доста гъвкав и е пряко зависим от сферата на изпълнение на дадената компания.

Точно тук идва ролята на специалистите по мрежова и информационна сигурност, които базирайки се на принципите, описани по-горе и, вземайки на предвид спецификата на работата на конкретната инфраструктура, ще могат да изготвят план за плавно мигриране към този модел.

За тяхно улеснение някои вендори са разработили готов продукт, като например Cloudflare Access на CDN гиганта Cloudflare, с помощта на който всяка организация вече може бързо и лесно да внедри Zero trust security модела в своята мрежа.