В начале августа под эгидой ресурса Anti-Malware прошла онлайн-конференция «AM Live: Выбор корпоративной системы многофакторной аутентификации (MFA)», которой приняли участие представители компаний Аванпост, Thales, Актив, Аладдин РД и Тайгер Оптикс в качестве дистрибьютора компании Silverfort. Вы можете посмотреть запись мероприятия ниже.
Вопросы и ответы
В рамках конференции зрители задавали множество вопросов, и некоторые из них не были полностью раскрыты в рамках мероприятия. Приводим детальные ответы на вопросы, наиболее релевантные Silverfort.
Удаленный доступ на карантине показал, что МФА одно лечит, а другое калечит. Проброс токена через RDP создает уязвимость утечки данных и заражения вирусами не сопоставимыми с простой аутентификацией по паролю. Пароль еще подобрать нужно и хорошая парольная политика с мониторингом дает прекрасный результат противодействия взлому. А вот подключенный вместо токена эмулятор, который подгрузил рансомварь — это уже ЧП. Есть ли уже более продвинутые для таких случаев решения, чтоб в RDP не открывать доп. порты для этого?
Такие решения существуют. Одно из них — Silverfort, которое позволяет реализовать МФА без открытия портов, установки прокси или агентов, что позволяет сохранить уровень защищенности и не внедрять в инфраструктуру новые публичные компоненты, которые также могу стать целью атаки. При этом вторым фактором становится мобильное приложение Silverfort, в котором необходимо подтвердить факт подключения к запрошенному ресурсу. Отсутствие необходимости физического присутствия при конфигурации второго фактора также позволяет настроить многофакторную аутентификацию постфактум, уже после того, как введен удаленный режим работы.
Какие перспективы у системы аутентификации по поведенческому анализу пользователя, которую уже применяют некоторые банки при совершении операций в онлайн-банках клиентов? Есть ли статистика инцидентов и практика подтверждающая надежность данной системы аутентификации?
Системы аутентификации, которые учитывают поведение, паттерны подключений и другие аспекты окружающей среды пользователя, уже давно используются в онлайн-банкинге, но теперь аналогичный подход набирает популярность и в корпоративных сетях. Такие системы повышают удобство, например, при низком уровне риска второй фактор можно запрашивать каждые 3-6 часов, или не запрашивать вовсе. Кроме того, такие системы, как Silverfort, позволяют защищать не только графические интерфейсы и протоколы входа в систему, которые в реальности редко используются злоумышленниками, но также и те, которые злоумышленники используют в реальной жизни, например, SMB / PsExec, PowerShell, а также функции Run As и сервисные аккаунты. Часто таким образом удается остановить и криптолокеры. Принципы работы и примеры можно изучить в блоге Silverfort.
Как Silverfort считает риски? И кто несет ответственность за существенные ошибки в оценке рисков?
Архитектура и детали работы Silverfort доступны в техническом описании системы. Принцип работы Silverfort состоит в расчете уровня риска учетной записи основываясь нам множестве «сигналов» в трех категориях — выявление аномалий аутентификационного поведения УЗ на основе машинного обучения, выявление известных паттернов злоумышленников и информация от внешних систем. Нет идеальных систем защиты, например, ни один поставщик антивируса не дает гарантии, что он остановят все вирусы. Однако Silverfort позволяет существенно повысить защищенность по сравнению с традиционными МФА, а также защитить те протоколы и интерфейсы, которые наиболее подвержены атакам, но не защищаются существующими МФА (SMB / PsExec, PowerShell, функции Run As, сервисные аккаунты). Причем система работает без установки агентов и прокси, что позволяет добавить МФА к тем важным системам, которые традиционно считались незащищаемыми.
Проводился ли анализ безопасности приложений Silverfort, особенно для ОС Android?
Разработчик Silverfort следует принципам SSDLC, в том числе осуществляется проверка качества и защищенность всех компонент системы.