пятница, 21 февраля 2020 г.

Двухфакторная аутентификация. Уже пора?


Исследование Verison говорит, что 80% инцидентов ИБ связано с аутентификацией. В соответствии с обзором ФинЦЕРТа Банка России, слабости в аутентификации и парольной защите являются первоочередной причиной инцидентов ИБ.

Проблемы классической парольной аутентификации очевидны. Так почему так много вопросов вызывает требования банковского ГОСТ 57580.1 к применению двухфакторной аутентификации (2FA)? Давайте разбираться.

Что в НПА? Посмотрим, где есть требования к 2FA:
В приказах ФСТЭК №17, 21 и 239 есть меры группы ИАФ, которые требуют аутентификацию пользователей и управление средствами аутентификации, но применение 2FA остается на усмотрение оператора.

В методическом документе ФСТЭК «Меры защиты информации в ГИС» ещё в 2014 г. появляются обязательные требования 2FA для ГИС 1 и 2 класса защищенности:
“Требования к усилению меры ИАФ.1
1-2) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему …
3-4) в информационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального доступа в систему …”

Обязательность использования 2FA была определена в узких областях: системах ФНС, прокуратуры, центральных контрагентов. Также 2FA возникала в таких рекомендациях ЦБ РФ, как 146-Т, 20-МР и РС БР ИББС-2.8-2015. Все НПА связанные с единой биометрической системой, это тоже про 2FA.

И наконец в ГОСТ 57580.1 использование 2FA стало обязательным при аутентификации эксплуатационного персонала (администраторов и иных привилегированных пользователей) и пользователей удаленного доступа фактически для всех финансовых организаций.
“РД.4 Идентификация и многофакторная аутентификация эксплуатационного персонала
УЗП.26 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению техническими мерами, реализующими многофакторную аутентификацию
РД.28 Регистрация персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации, реализующих многофакторную аутентификацию
ЗСВ.9 Контроль и протоколирование доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных с реализацией двухфакторной аутентификации
ЗУД.5 Идентификация, двухфакторная аутентификация и авторизация субъектов доступа после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 таблицы 45”

Что по угрозам?
Около 15 угроз в БДУ ФСТЭК связано с паролями или аутентификацией. Большая часть этих угроз исходит от нарушителей с низким потенциалом и при объективной оценке должны быть актуальными.
Что в лучших практиках?
NIST SP 800-53, примерно те же требования что и в методическом документе ФСТЭК по ГИС.

Возьмем известную CIS Controls: для средних и крупных компаний рекомендуется использоваться 2FA для удаленного доступа, доступа по wifi, управления сетевым оборудованием, доступа администраторов и всех пользователей во все ИС.

Посмотрим руководство“State of Art” немецкого от TeleTrusT при поддержке ENISA: MFA или 2FA рекомендуется одной из первых мер, при этом уровень осознания необходимости многофакторной аутентификации оценивается как очень высокий, а применимость 2FA на практике также высокая. Во многие систему 2FA уже встроена по умолчанию и появились удобные способы усиления аутентификации.

Взглянем на наши смартфоны – у всех аутентификация по отпечатку.

Какие выводы?
Думаю, необходимость применения двухфакторной аутентификации в корпоративных системах вполне очевидна. Давно пора! А в идеале надо применять для всех пользователей и всех систем. Если надо поэтапно с чего-то начинать, то я бы начинал применять 2FA с тех сценариев, которые рекомендуются ГОСТ 57580.1:
  • удаленный доступ в КИС по VPN
  • доступ с правами администраторов в ИС
  • любой привилегированный доступ к серверам, сетевому оборудованию, в СУБД, корпоративные сервисы и системы управления

Если какие-то сервисы или унаследованные системы на первый взгляд не поддерживают двухфакторной аутентификации, посмотрите в направлении интеграции их с AD (или аналогом), которая в свою очередь поддерживает 2FA. Можно посмотреть на централизованные системы аутентификации (SSO) в которых есть поддержка legacy приложений. Можно посмотреть на системы контроля привилегированного доступа, в которые интегрируются с 2FA.

В крайнем случае применяйте компенсирующие меры: стойкие пароли, выделение административных интерфейсов в отдельные сегменты или даже out of band, ограничение по узлам, с которых разрешено администрирование, особые правила на SIEM.


2 комментария:

Dupidu комментирует...


В крайнем случае применяйте компенсирующие меры: стойкие пароли - их нет,это миф, который кстати как раз мешает грамотно защищать инфраструктуру с помощью 2ФА! Даже самые "стойкие пароли" быстро превращаются в повторяющиеся и не стойкие, благодаря нашей памяти и психологии, так что не надо делать исключений, это создаёт иллюзию безопасности...

Сергей Борисов комментирует...

Компенсирующие меры я предлагаю рассматривать в тех ситуациях когда применение 2FA не возможно по каким либо объективным причинам (для малой части инфраструктуры).

Если подходить серьезно, то компенсирующие меры подобрать можно, например физически выделять отдельные АРМы для работы с историческими системами, делать выделенные каналы для управления, которые изолированы от остальной сети, "стойкие пароли" + регулярное тестирование их стойкости, специальные правила на SIEM-ах, лампочки которые загораются когда ктото подключился с правами администратора и т.п.
Но повторюсь, что такие компенсирующие меры могут обойтись дороже и доставить больше неудобств.