Tożsamość zbyt ważna, aby ją zaniedbać. Czy outsourcing to dobry pomysł?
Firmy i organizacje – zwłaszcza podczas szalejącej inflacji – dokonują przeglądu swoich wydatków. Szukają miejsc, w których mogą wprowadzić zmiany, po to by utrzymać koszty operacyjne na najniższym poziomie. Dotyczy to również obsługi procesów związanych z zarządzaniem tożsamością. Ponieważ outsourcing w tym zakresie wydaje się tańszą alternatywą, coraz częściej zaczyna być zlecany na zewnątrz. Jak zdecydować, czy jest to dobry pomysł dla organizacji, i jaki ma to związek z wieloskładnikowym uwierzytelnianiem opartym na standardzie FIDO2?
Na rynku istnieje wiele rozwiązań z zakresu cyberbezpieczeństwa, które chronią przed różnymi wektorami ataków. Problemem drugiej dekady dwudziestego pierwszego wieku jest już jednak nie tylko złożoność środowisk IT oraz implementacja w nich nowych technologii, ale również brak osób do ich obsługi.
Zagrożenie z innej strony
Głównie z wyżej wymienionego względu, wiele firm decyduje się na wydzielenie (outsourcing) usług bezpieczeństwa i zarządzania tożsamością poza organizację. Taka praktyka pozwala odciążyć przepracowanych programistów, którzy zmagają się na co dzień z utrzymaniem i rozbudową różnorodnych, trudnych do zintegrowania systemów. Wiąże się to jednak z dużym ryzykiem i firmy powinny być świadome tego, że nie tylko one mogą stać się ofiarami ataku, ale intruzi mogą dostać się również do organizacji zarządzającej ich tożsamością. Wtedy zagrożenie przychodzi z innej strony.
Przykładów takiej sytuacji nie trzeba daleko szukać. Całkiem niedawno głośno było o ataku na giganta na rynku rozwiązań IAM (Identity and Access Management). W styczniu wykryto tam bowiem nieudaną próbę włamania na konto inżyniera obsługi klienta, a w marcu atakujący mieli skompromitować poświadczenia jej administratora. Jak się okazało w toku śledztwa, cyberprzestępcy nie pobrali jednak baz danych, a swoją uwagę skupili właśnie głównie na klientach oraz klientach klientów. Finalnie dotyczyło to około 2,5 proc. z nich.
Czy to mało, czy dużo – trudno ocenić. Na pewno żadna z firm, która zdecydowała się na outsourcing zarządzania tożsamością – a są wśród nich duże przedsiębiorstwa, instytucje rządowe i uniwersytety – nie chciała znaleźć się w tej grupie. Pomimo iż końcowy wynik śledztwa okazał się mniej drastyczny w skutkach, niż podejrzewano początkowo, dostawca IAM musi teraz intensywnie popracować nad odbudową zaufania.
Zero zaufania
Wnioski? Firmy muszą się dostosować do nowych wymagań bezpieczeństwa. Nadal złotym standardem jest budowanie bezpieczeństwa na tzw. cebulę, czyli warstwowo. Nie ma bowiem na świecie technologii, producenta, integratora, który będzie potrafił ustrzec przed wszystkimi możliwymi zagrożeniami.
Skuteczność ochrony można maksymalnie podnieść, przyjmując model typu zero-trust oraz, stosując wieloskładnikowe uwierzytelnianie MFA na wszystkich aplikacjach i punktach dostępowych w organizacji. Co istotne – MFA musi opierać się na FIDO2, czyli nowoczesnym standardzie uwierzytelniania, w którym do logowania wykorzystujemy skan twarzy lub odcisk kciuka. Kody SMS lub aplikacje generujące hasła jednorazowe mogą już być z powodzeniem przechwytywane przez cyberprzestępców – najczęściej przy użyciu socjotechnik.
Na szczęście, deweloperzy i organizacje coraz częściej zdają sobie sprawę z tego, że bezpieczeństwo tożsamości użytkowników jest dziś zbyt ważne, żeby pozwolić sobie na zaniedbanie w tym aspekcie. Outsourcing tych procesów w połączeniu z outsourcingiem zarządzania tożsamością, jak widać po prawdziwych przykładach naruszeń, również należy mocno przemyśleć.
Receptą – zarówno w sytuacji, kiedy tożsamością zarządzamy samodzielnie, jak i w przypadku korzystania z usług outsourcingu – może być rozdzielenie zarządzania tożsamością od jej zabezpieczania. Pomocna w tym jest technologia Secfense, która pozwala bez ingerencji w kod nałożyć na każdym punkcie dostępowym w organizacji zabezpieczenie MFA z wykorzystaniem standardu FIDO2 – dla dowolnych tożsamości użytkowników i miejsca ich pochodzenia.
FIDO2, czyli najbezpieczniejszy sposób logowania przyszłości
A dlaczego akurat FIDO2? Ponieważ jest to prawdziwa rewolucja w zakresie uwierzytelniania i zachowania bezpieczeństwa w sieci. Ten otwarty standard, dzięki któremu każda usługa w Internecie może zostać zabezpieczona z wykorzystaniem kryptografii, jest w pełni odporny na phishing oraz kradzież loginów i haseł.
FIDO2 pozwala na wykorzystanie kluczy kryptograficznych, ale również urządzeń, które zawsze mamy przy sobie, takich jak laptopy z wbudowaną kamerą, Windows Hello lub smartfony z czytnikiem linii papilarnych.
Niewykorzystane i darmowe bezpieczeństwo
Dlaczego więc skoro istnieje FIDO2 – otwarty i skuteczny standard – firmy nadal mają problem z zabezpieczeniem kont swoich pracowników wieloskładnikowym uwierzytelnianiem?
Największy kłopot wciąż sprawia implementacja. Wdrożenie MFA jest trudne, uciążliwe i kosztowne. Co więcej, jeśli firma posiada w swojej organizacji setki aplikacji, masowa implementacja na wszystkich programach jest praktycznie niewykonalna. Efekt? Jedna z najlepszych metod uwierzytelniania, czyli standard FIDO2 – choć zaprojektowany w kwietniu 2018 – po ponad czterech latach wciąż jest jeszcze dodatkiem, a nie uniwersalnym sposobem zabezpieczania tożsamości w internecie.
Liczymy bardzo na to, że dzięki Secfense uda się właśnie tę sytuację zmienić. Naszym celem było i jest otwarcie ścieżki do masowego wykorzystania MFA w biznesie i sięganie w tym celu po najmocniejszy standard FIDO2. Wymyślona przez nas technologia pozwala robić to bez generowania kosztów związanych z zatrudnieniem programistów, bez kosztu zakupu kluczy sprzętowych i bez żadnego wpływu na płynność operacji.
Dziś zalogowanie się do dowolnego komputera, uzyskanie dostępu do aplikacji w chmurze, a nawet pobranie czegokolwiek na telefon czy komputer wymaga wprowadzenia informacji uwierzytelniających. Każda taka aktywność – jeśli nie jest dobrze zabezpieczona – staje się dla firmy potencjalnym zagrożeniem.
Mniej czy bardziej spektakularne przykłady ataków wykorzystujących socjotechniki służące przejęciu loginów i haseł użytkowników pokazują dobitnie, że firmy, którym nie jest obojętne bezpieczeństwo, muszą odejść od używania słabych i stosowanych wybiórczo form identyfikacji. Nie sprawdzają się już bowiem do logowania standardowe hasła, a nawet podwójne uwierzytelnianie z wykorzystaniem kodów SMS. Niezależnie więc od tego, czy zarządzanie tożsamością zostawimy u siebie, czy oddamy do firmy zewnętrznej, podstawą jest upewnienie się, że wszystkie punkty dostępowe zabezpieczone są za pomocą uwierzytelniania wieloskładnikowego – najlepiej opartego na bezhasłowym uwierzytelnianiu FIDO2.