100 procent naruszeń bezpieczeństwa IT zaczyna się od kradzieży danych uwierzytelniających. Narzędzia do monitoringu i analizy danych – ujawniając anomalie w firmowej sieci – niewątpliwie stanowią ważny element systemów zabezpieczających dane i systemy przedsiębiorstwa, jednakże nie są w stanie wykryć kradzieży danych uwierzytelniających – mówił Jason Soroko, specjalista ds. technologii bezpieczeństwa w firmie Entrust Datacard podczas konferencji zorganizowanej 10 marca br. przez firmę Veracomp we Wrocławiu. Smartfon  może doskonale pełnić rolę platformy uwierzytelniającej, uzupełniając lub zastępując peceta – przekonywali też eksperci Entrust.

Cyfrowe ID

ecosystem_EnterpriseDerived

Infografika: Entrust Datacard

Podstawowe wyzwania związane z bezpieczeństwem IT to obecnie coraz większa liczba aplikacji do zabezpieczania, często zmieniające się przepisy i uregulowania prawne oraz mnożące się włamania i ataki hakerskie, mające na celu przejmowanie danych uwierzytelniających. Za pomocą narzędzi monitorujących można wykrywać występujące w systemie anomalie, ale nie fakt kradzieży danych uwierzytelniających. Ochrona cyfrowej tożsamości zdaniem specjalisty Entrust Datacard stanowi obecnie najważniejsze wyzwanie w zakresie bezpieczeństwa IT i w tym przede wszystkim obszarze zaleca on inwestowanie. Istotne przy tym jest, aby dopasowywać poziom bezpieczeństwa do potrzeb przedsiębiorstwa i jego profilu działalności. Sposób uwierzytelniania należy dobierać na podstawie typu użytkownika, oceny ryzyka w danym środowisku oraz charakteru prowadzonej działalności biznesowej. Tak naprawdę bezpiecznym można się czuć tylko w izolowanym środowisku.

Wieloczynnikowe uwierzytelnianie 

Przechwycone przez hakera dane uwierzytelniające pozostają najbardziej wydajną i trudną do wykrycia techniką, narażającą bezpieczeństwo przedsiębiorstwa na szwank – piszą w swoim tegorocznym raporcie eksperci firmy Mandiant. Specjalna grupa (tzw. Mandiant’s Red Team) testująca poziom zabezpieczeń jest w stanie uzyskać dostęp do danych uwierzytelniających do domeny administratora średnio w ciągu 3 dni od uzyskania wstępnego dostępu do danego środowiska. Potem pozostaje już tylko kwestią czasu dotarcie i przejęcie pożądanych informacji firmowych.

mobile_enterprise

Grafika: Entrust Datacard

Tylko wieloczynnikowe i silne uwierzytelnianie z więcej niż jedną metodą weryfikacji (także biometryczną) zapewni odpowiedni poziom bezpieczeństwa, a także “zwiększa koszty atakującego”. W procesie uwierzytelniania tożsamości lub transakcji pecet, login i hasło (nawet bardzo silne) to zdecydowanie za mało. Warto korzystać z co najmniej drugiego urządzenia zapewniającego potwierdzenie cyfrowego ID za pośrednictwem innego kanału – zaleca Soroko. Smartfon może być dobrą platformą uwierzytelniającą (np. poprzez smsy z jednorazowymi kodami dostępu czy tokeny programowe, tunele VPN i inne) – przekonywała Irma Vasiliauskaite, Channel Partner Manager EMEA w Entrust Datacard. Z drugiej strony już pojawiają się malware przekierowujące smsy, jak Android/Spy.Agent.SI wykryty w Australii, Nowej Zelandii i Turcji przez firmę Eset. Potrafi on przechwycić wiadomości SMS z kodami autoryzującymi przelewy. Rozprzestrzenia się jako aplikacja podszywająca się pod Flash Player. Dlatego istotne jest, aby pokonywać malware w punkcie transakcji (np. w banku), a nie tylko na urządzeniu użytkownika – podkreślał Jason Soroko.

Potencjalny rynek, gdzie potrzebne są platformy do uwierzytelniania stale się powiększa: e-commerce, kolejne generacje kart płatniczych, transakcje online, aplikacje bankowe i finansowe, portale administracji publicznej i wiele innych. W każdym przypadku cyfrowe ID jest niezbędne. Problemem jest to, że danych uwierzytelniających, haseł i polityk bezpieczeństwa jest za dużo, a karty czy tokeny mogą zostać skradzione lub zgubione.

W przypadku nowego wyzwania, jakim jest internet rzeczy, uwierzytelnianie warto implementować tam, gdzie znajduje to uzasadnienie biznesowe i wymagają tego reguły bezpieczeństwa. Lodówka podłączona do Sieci raczej nie potrzebuje ochrony “danych uwierzytelniających”, ale samochód z łącznością internetową już tak, a z całą pewnością – pacjent korzystający z modułu typu wearable do zdalnego monitorowania stanu zdrowia.

Platforma uwierzytelniania

Infografika Entrust IdentityGuard

Infografika: Entrust Datacard

Veracomp od listopada ub.r. jest wyłącznym dystrybutorem Entrust Datacard w Polsce. Firma dostarcza platformę uwierzytelniania dla środowisk mobilnych, kontrolę dostępu do sieci web i jednorazowe hasła zatwierdzania transakcji online. Zajmuje się także doradztwem i certyfikacją witryn. W ofercie firmy jest także rozwiązanie infrastruktury klucza publicznego (PKI – Public Key Infrastructure).

Rolą resellera sprzedającego rozwiązania zabezpieczające środowisko IT jest dobre rozumienie zarówno komercyjne, jak i techniczne oferowanych rozwiązań, co stanowi wartość dodaną. Obok znajomości specyfiki lokalnego rynku, VAD powinien być zaufanym partnerem i doradcą klienta – podkreślał Sam Linford, menedżer Entrust Datacard na region EMEA South, North & Eastern Europe. Sektor finansowy, energetykę, branżę gazowniczą, a także ochronę zdrowia – wymienił jako sprzedażowo obiecujące obszary dla rozwiązań do uwierzytelniania.

Platorma Entrust IdentityGuard udostępnia szeroki zakres metod uwierzytelniania. Umożliwia uwierzytelnianie bez potrzeby wprowadzania po stronie klienta dodatkowego oprogramowania lub specjalistycznego sprzętu. Niektóre mechanizmy uwierzytelniające, jak cyfrowe certyfikaty i geolokalizacja adresu IP – nie wymagają interakcji użytkownika. Technologie uwierzytelniania niewymagające fizycznego nośnika obejmują: uwierzytelnianie na podstawie wiedzy, nazwy użytkownika i hasła, SMS, rozwiązania eGrid. W ramach platformy działają również tokeny programowe i jednorazowe kody dostępu (OTP) otrzymywane za pomocą urządzeń mobilnych. Platforma obsługuje też środowiska uwierzytelniania, które wymagają nośnika fizycznego: karty z kodami dostępu, USB, tokeny sprzętowe (OTP) zależne od czasu i zdarzenia oraz tokeny typu Display Card.

Entrust IdentityGuard Cloud to połączenie certyfikatu cyfrowego i zarządzania tożsamością, które łączy wszystkie usługi certyfikatów, narzędzia i systemy bezpieczeństwa w chmurze.

Napisane przez Stefan Kaczmarek