Двухфакторная аутентификация. Уже пора?
Исследование Verison
говорит,
что 80% инцидентов ИБ связано с аутентификацией. В соответствии с обзором ФинЦЕРТа Банка России, слабости в аутентификации и
парольной защите являются первоочередной причиной инцидентов ИБ.
Проблемы
классической парольной аутентификации очевидны. Так почему так много вопросов
вызывает требования банковского ГОСТ 57580.1 к применению двухфакторной
аутентификации (2FA)? Давайте
разбираться.
Что в НПА? Посмотрим, где есть требования к 2FA:
В приказах ФСТЭК №17, 21 и 239 есть меры группы
ИАФ, которые требуют аутентификацию пользователей и управление средствами
аутентификации, но применение 2FA остается
на усмотрение оператора.
В методическом документе ФСТЭК «Меры защиты
информации в ГИС» ещё в 2014 г. появляются обязательные
требования 2FA
для
ГИС 1 и 2 класса защищенности:
“Требования к усилению меры ИАФ.1
1-2) в информационной системе должна
обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного
доступа в систему …
3-4) в информационной системе должна
обеспечиваться многофакторная (двухфакторная) аутентификация для локального
доступа в систему …”
Обязательность использования 2FA была определена в узких областях: системах
ФНС, прокуратуры, центральных контрагентов. Также 2FA возникала в таких рекомендациях ЦБ РФ,
как 146-Т, 20-МР и РС БР ИББС-2.8-2015. Все НПА связанные с единой
биометрической системой, это тоже про 2FA.
И наконец
в ГОСТ 57580.1 использование 2FA стало обязательным при аутентификации
эксплуатационного персонала (администраторов и иных привилегированных
пользователей) и пользователей удаленного доступа фактически для всех финансовых
организаций.
“РД.4 Идентификация и многофакторная
аутентификация эксплуатационного персонала
УЗП.26 Регистрация событий защиты информации,
связанных с действиями, и контроль действий эксплуатационного персонала,
обладающего правами по управлению техническими мерами, реализующими
многофакторную аутентификацию
РД.28 Регистрация персонификации, выдачи
(передачи) и уничтожения персональных технических устройств аутентификации,
реализующих многофакторную аутентификацию
ЗСВ.9 Контроль и протоколирование доступа
эксплуатационного персонала к серверным компонентам виртуализации и системе
хранения данных с реализацией двухфакторной аутентификации
ЗУД.5 Идентификация, двухфакторная
аутентификация и авторизация субъектов доступа после установления защищенного
сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами
ЗУД.2 и ЗУД.4 таблицы 45”
Что по угрозам?
Около 15
угроз в БДУ ФСТЭК связано с паролями или аутентификацией. Большая часть этих
угроз исходит от нарушителей с низким потенциалом и при объективной оценке должны
быть актуальными.
Что в лучших практиках?
NIST SP 800-53, примерно те же требования что и в методическом документе
ФСТЭК по ГИС.
Возьмем известную
CIS Controls: для средних и крупных компаний рекомендуется
использоваться 2FA
для
удаленного доступа, доступа по wifi, управления
сетевым оборудованием, доступа администраторов и всех пользователей во все ИС.
Посмотрим руководство“State of Art” немецкого от TeleTrusT при поддержке ENISA: MFA или 2FA рекомендуется одной из первых мер, при
этом уровень осознания необходимости многофакторной аутентификации оценивается
как очень высокий, а применимость 2FA
на
практике также высокая. Во многие систему 2FA уже встроена по умолчанию и появились
удобные способы усиления аутентификации.
Взглянем на
наши смартфоны – у всех аутентификация по отпечатку.
Какие выводы?
Думаю, необходимость
применения двухфакторной аутентификации в корпоративных системах вполне очевидна.
Давно пора! А в идеале надо применять для всех пользователей и всех систем. Если надо поэтапно с чего-то начинать, то я бы начинал применять 2FA с тех сценариев, которые рекомендуются
ГОСТ 57580.1:
- удаленный доступ в КИС по VPN
- доступ с правами администраторов в ИС
- любой привилегированный доступ к серверам, сетевому оборудованию, в СУБД, корпоративные сервисы и системы управления
Если какие-то
сервисы или унаследованные системы на первый взгляд не поддерживают двухфакторной
аутентификации, посмотрите в направлении интеграции их с AD (или аналогом), которая в свою очередь поддерживает
2FA. Можно посмотреть на централизованные
системы аутентификации (SSO) в
которых есть поддержка legacy
приложений.
Можно посмотреть на системы контроля привилегированного доступа, в которые
интегрируются с 2FA.
В крайнем
случае применяйте компенсирующие меры: стойкие пароли, выделение административных
интерфейсов в отдельные сегменты или даже out of
band, ограничение по узлам, с которых разрешено
администрирование, особые правила на SIEM.
Комментарии
В крайнем случае применяйте компенсирующие меры: стойкие пароли - их нет,это миф, который кстати как раз мешает грамотно защищать инфраструктуру с помощью 2ФА! Даже самые "стойкие пароли" быстро превращаются в повторяющиеся и не стойкие, благодаря нашей памяти и психологии, так что не надо делать исключений, это создаёт иллюзию безопасности...
Если подходить серьезно, то компенсирующие меры подобрать можно, например физически выделять отдельные АРМы для работы с историческими системами, делать выделенные каналы для управления, которые изолированы от остальной сети, "стойкие пароли" + регулярное тестирование их стойкости, специальные правила на SIEM-ах, лампочки которые загораются когда ктото подключился с правами администратора и т.п.
Но повторюсь, что такие компенсирующие меры могут обойтись дороже и доставить больше неудобств.