logo_opentech2

AktuALNOŚCI

UC
Facebook
Twitter
LinkedIn

Uwierzytelnienie a Cyberbezpieczeństwo – Jakie podejście?

Najważniejszym elementem bezpieczeństwa informacji i cyberbezpieczeństwa jest uwierzytelnienie. W tym artykule przedstawimy koncepcje stosowania uwierzytelnień i jakie podejście wdrożeniowe może zostać zastosowane.

Słabe uwierzytelnianie jest powszechnym błędem w systemach informatycznych i króluje na liście w pierwszej piątce najczęściej wykrywanych przez CISA USA, najczęściej wykrywanych przez CISA w Federalnych systemach o wysokiej wartości. Ponadto w raporcie 2019 Verizon Data Breach. Verizon Report z 2019 r. Verizon Data Breach Report stwierdza, że zagrożone hasła pozostają „istotnym elementem” naruszeń, co wiąże się z bardzo mało wygórowaną formą stosowania odpowiednich form uwierzytelnienia.

Silne metody uwierzytelnienia

Wdrożenie silnych metod uwierzytelniania w całej organizacji może znacznie poprawić odporność na powszechne zagrożenia cyberbezpieczeństwa, takie jak ataki phishingowe i naruszone dane uwierzytelniające.

Celem niniejszego artykuły jest przestawienie pewnego rodzaju przewodnika opartego na art. CISA i przedstawienie koncepcji uwierzytelniania, rekomendowanego przez CISA związanego z nim bezpieczeństwa oraz dostarczenie wskazówek pomocnych przy planowaniu i wdrażaniu rozwiązań silnego uwierzytelniania. Silne uwierzytelnianie jest jednym z wielu filarów strategii cyberbezpieczeństwa typu „obrona w głąb”, ale nie jest jedynym rozwiązaniem na problemy związane z bezpieczeństwem cybernetycznym. Uwierzytelnienie jest też wymaganiem określonym w normie ISO/IEC 27001:2013 i przede wszystkim wysoko wyartykułowane w nowej normie ISO/IEC 27002:2022 i normach uzupełniających określających warunki techniczne i kontrole w tym zakresie (ISO/IEC 27008).

Co to jest uwierzytelnienie?

Uwierzytelnianie to proces sprawdzania (weryfikacji), czy tożsamość użytkownika jest prawdziwa. Większość systemów wymaga, aby użytkownik został uwierzytelnienia przed przyznaniem dostępu do systemu. Użytkownik wykonuje tę czynność, wprowadzając hasło, wkładając kartę kartę inteligentną i wprowadzenie powiązanego z nią osobistego numeru identyfikacyjnego (PIN), podając dane biometryczne (np.: odcisk palca, próbkę głosu, skan siatkówki)  lub inną kombinację tych czynności, aby udowodnić, że jest tym, za kogo się podajemy lub ktoś się podaje. Podane dane uwierzytelniające są porównywane z danymi, które zostały wcześniej skojarzone z danym użytkownika. Dopasowanie danych uwierzytelniających może nastąpić w obrębie systemu, do którego uzyskuje się dostęp, lub za pośrednictwem zaufanego źródła zewnętrznego. Jeżeli dane uwierzytelniające są zgodne, system uwierzytelnia tożsamość i przyznaje dostęp. Występuje tutaj zależność pomiędzy identyfikacją, autoryzacją (uwierzytelnianiem) i dostępem.

Jakie metody uwierzytelniania?

W różnych systemach stosuje się różne metody uwierzytelniania w celu potwierdzenia tożsamości użytkownika.

Metody uwierzytelniania można pogrupować na trzy czynniki:

– Coś, co Państwo wiedzą (wiedza) – np.: hasło, fraza lub PIN

– Coś, co Państwo mają (posiadanie) – np.: karty inteligentne, tokeny, sekrety wyszukiwania, urządzenia z hasłami jednorazowymi lub urządzenia kryptograficzne

– Coś, czym Państwo są (dziedziczenie/cechy fizyczne) – np.: odciski palców, tęczówkę, cechy twarzy, wzór głosu lub chodu.

Uwierzytelnianie jednoskładnikowe jest powszechną, mało bezpieczną metodą uwierzytelniania. Wymaga tylko jednego czynnika, np. nazwy użytkownika i hasła, aby uzyskać dostęp do systemu. (Chociaż zawiera dwie informacje, nazwa użytkownika i hasło łącznie to nadal jeden czynnik, ponieważ oba pochodzą z tej samej kategorii).

Uwierzytelnianie wieloczynnikowe (MFA) jest silną metodą uwierzytelniania. Wymaga dwóch lub więcej czynników, aby uzyskać dostępu do systemu. Każdy czynnik musi pochodzić z innej kategorii (np. coś, co Państwo wiedzą i coś, co Państwo mają, coś, co się posiada). MFA może być określane jako uwierzytelnianie dwuskładnikowe, lub 2FA, gdy stosowane są dwa czynniki.

Wiele badań w uniwersytetach amerykańskich potwierdza, że wdrożenie MFA znacznie poprawia znaczącą poprawę, na odporność organizacji na złośliwe ataki. Stwierdzono, że zastosowanie MFA zablokowało 100 procent automatycznych botów, 99 procent masowych ataków phishingowych i 66 procent ataków ukierunkowanych na Google użytkowników.

Różne metody uwierzytelniania mają różne poziomy pewności w oparciu o solidność procesu i pewności, że dana osoba jest tym, za kogo się podaje. Organizacje mogą stwierdzić, że nie warto ponosić kosztów koszt wdrożenia wyższego poziomu bezpieczeństwa dla systemów, które nie zawierają wrażliwych informacji i nie są nie są podłączone do tej samej sieci, co systemy zawierające informacje wrażliwe.

Należy zaznaczyć, że poziomy stosowania siły uwierzytelnienia należy stosować po przeprowadzeniu analizy ryzyka, ale nie wątpliwie standardem staje się uwierzytelnienie min. dwuskładnikowe.

PROBLEM

Uwierzytelnianie jednoskładnikowe – wszyscy używają haseł. Czy są one naprawdę takie złe?

Uwierzytelnianie jednoskładnikowe, które zazwyczaj oznacza nazwę użytkownika i hasło, zapewnia atakującym łatwy sposób na uzyskanie dostępu do systemu. Ponieważ hasła to tylko dane, atakujący mają wiele różnych technik, których mogą użyć, aby wykraść hasło bez fizycznej obecności, w tym

– Ataki siłowe – Zapisywanie haseł w postaci zwykłego tekstu

– Phishing – Zrzucanie danych uwierzytelniających

– Keylogging – Sniffing sieciowy

– Inżynieria społeczna – Złośliwe oprogramowanie

Słabe hasła (np. domyślne hasło producenta lub hasła o słabym zabezpieczeniu ułatwiają atakującemu przechwycenie hasła. Inne niezabezpieczone praktyki mogą potęgować wpływ, jaki skompromitowane hasło może mieć na organizację.

Ponowne użycie hasła umożliwia atakującemu, który je skompromitował, uzyskanie dostępu do wielu systemów, sieci lub zbiorów danych. Organizacje mogą zniechęcać do ponownego użycia hasła, ale nie istnieje kontrola techniczna, która mogłaby zapobiec ponownemu użyciu hasła przez użytkownika w wielu systemach. Brak możliwości zapobiegania ponownemu użyciu hasła sprawia, że skompromitowane hasło jest dostępne dla osób atakujących, które mogą je wykorzystać do uzyskania dostępu do innych systemów.

Udostępnianie hasła administratora zwiększa prawdopodobieństwo naruszenia uprzywilejowanego konta (administracyjnego) o podwyższonym dostępie; hasło administracyjne jest często zapisywane, znajduje się w miejscu, do którego dostęp ma wiele osób, jest uproszczone, aby ułatwić jego zapamiętanie, i nie jest często zmieniane – nawet po odejściu pracownika z organizacji. Po jego złamaniu hasło administracyjne daje atakującemu zwiększony dostęp do sieci i/lub wielu systemów.

Dodanie kolejnego czynnika uwierzytelniającego (tj. czegoś, co się ma lub czym się jest) dramatycznie zwiększa trudności w przejęciu konta, ponieważ przejęcie wymaga teraz fizycznej obecności użytkownika lub posiadania fizycznego przedmiotu, takiego jak karta inteligentna.

Aby w pełni skorzystać z funkcji MFA, organizacje powinny upewnić się, że została ona wdrożona we wszystkich systemach, aplikacjach i zasobach. Wymaganie uwierzytelniania wieloczynnikowego w celu uzyskania pierwszego dostępu do sieci organizacji (zazwyczaj stacji roboczej użytkownika) jest dobrym pierwszym krokiem, jednak zapewnia ono jedynie ograniczoną ochronę innych systemów i danych w organizacji, które są chronione wyłącznie uwierzytelnianiem jednoskładnikowym. Podmioty stanowiące zagrożenie mogą próbować wykorzystać słabiej chronione systemy, a następnie przenieść się do innych systemów i kontynuować swoje szkodliwe działania.  Sieć składników aktywów o najsłabszej metodzie uwierzytelniania staje się potencjalną drogą do ominięcia silniejszego uwierzytelniania w systemie, z którym jest połączony. Do budynku z betonu i stali ze wzmocnionymi drzwiami i wyrafinowanymi zamkami intruzi mogą się łatwo dostać, jeśli są w nim duże otwarte okna.

Segmentacja może również zmniejszyć zdolność napastnika do poruszania się w sieci, ale konta oparte na uwierzytelnianiu jednoskładnikowym są nadal podatne na kompromitację i stanowią najsłabsze ogniwo.

Co należy zrobić?

Planowanie strategiczne

Wdrożenie MFA we wszystkich systemach, aplikacjach i zasobach może być trudne i kosztowne; gdy podchodzi się do tego indywidualnie, każdy z nich wymaga własnej, specyficznej metody weryfikacji tożsamości użytkownika (np. trzeba wydać wiele poświadczeń, zarządzać nimi i je unieważnić). Z tego powodu, organizacje będą najbardziej efektywne we wdrażaniu uwierzytelniania poprzez przyjęcie podejścia ogólnie organizacyjnego i wdrożenie rozwiązania jako usługi korporacyjnej dla systemów i aplikacji w całej organizacji, zamiast próbować wdrażać nadmiarowe, izolowane rozwiązania uwierzytelniania dla każdej aplikacji.

Strategia obejmująca całą organizację pozwala na standaryzację polityk i praktyk uwierzytelniania, w tym wydawania i zarządzania niezbędnymi poświadczeniami, a także zmniejsza koszty zakupu lub budowy własnego rozwiązania uwierzytelniania przez każdą aplikację. Organizacje powinny zbadać swoje istniejące możliwości, aby określić, czy posiadają już realne rozwiązanie do zapewnienia MFA w całej organizacji. Niektór organizacje, posiadają uwierzytelnianie użytkowników w oparciu o Personal Identity Verification (PIV). Organizacja, której konta użytkowników są zarządzane przez dużych dostawców komercyjnych, może być w stanie wykorzystać możliwości MFA, które są już dostępne u ich usługodawcy. Organizacje, które nie mają obecnie dostępnych możliwości MFA, powinny nabyć lub zaprojektować rozwiązanie MFA.

Decydując się na rozwiązanie MFA, organizacje powinny wziąć pod uwagę następujące kwestie.

– Początkowe uwierzytelnienie użytkownika w sieci lub systemie

– Dodatkowe uwierzytelnianie, gdy użytkownicy uzyskują dostęp do innych systemów, aplikacji lub nowych segmentów infrastruktury

– Uwierzytelnianie do zasobów zewnętrznych

– Uwierzytelnianie do zasobów wewnętrznych przez podmioty zewnętrzne

Gdy organizacja zdecyduje się na rozwiązanie MFA dla przedsiębiorstw, możliwości uwierzytelniania można rozszerzyć poprzez usługi pojedynczego logowania (SSO) i federacji tożsamości. SSO i federacja tożsamości bezpiecznie współdzieli informacje dotyczące uwierzytelniania i tożsamości pomiędzy organizacjami, systemami, aplikacjami i zasobami, bez konieczności indywidualnego wdrażania funkcji MFA w każdym systemie. Wiele systemów jest już wyposażonych w konektory do SSO. SSO i federacja tożsamości zwiększają bezpieczeństwo organizacji poprzez oddanie kontroli nad dostępem do zasobów w ręce centralnego administratora zarządzania tożsamością, co pozwala organizacji na szybkie i kompleksowe odebranie dostępu do wszystkich swoich zasobów, gdy użytkownik odejdzie lub gdy konto zostanie kiedykolwiek zagrożone. Te kroki upraszczają zarządzanie cyklem życia tożsamości – w tym różnymi danymi uwierzytelniającymi wydanymi użytkownikowi – i pomagają zapewnić, że dostęp w całej organizacji zostanie szybko cofnięty, gdy użytkownik odejdzie.

Dodatkową korzyścią jest uproszczenie doświadczenia użytkownika – nie musi on już śledzić dziesiątek danych uwierzytelniających, a jednocześnie zmniejsza podatność organizacji na słabe punkty w sposobie zarządzania wieloma danymi uwierzytelniającymi przez użytkowników.

 

Single Sign-On

SSO to metoda uwierzytelniania, w której użytkownik uwierzytelnia się raz – zazwyczaj przy użyciu silnego rozwiązania uwierzytelniania MFA wybranego przez organizację – do scentralizowanego rozwiązania SSO. Inne systemy i aplikacje są skonfigurowane tak, aby ufać scentralizowanemu rozwiązaniu SSO w celu uwierzytelnienia użytkownika bez konieczności dalszej interakcji

Zmniejsza to potrzebę wielokrotnego uwierzytelniania w wielu systemach i usługach. Co najważniejsze, gdy użytkownik przechodzi od pierwotnego uwierzytelnienia do innych systemów poprzez SSO, dane uwierzytelniające użytkownika dla pierwotnego systemu nie są udostępniane innym systemom. Po uwierzytelnieniu użytkownika, rozwiązanie SSO w sposób przejrzysty i bezpieczny kończy proces dla wszystkich zaangażowanych systemów bez dalszego ujawniania danych uwierzytelniających systemu początkowego. Ponadto, każda aplikacja nie musi zarządzać swoim własnym magazynem danych uwierzytelniających, lecz korzysta ze scentralizowanego magazynu w całej organizacji.  Uwaga: niektórzy dostawcy SSO mogą nadal uwierzytelniać do innych systemów za pomocą nazwy użytkownika/hasła dla danego systemu; organizacje powinny upewnić się, że ich rozwiązanie SSO jest skonfigurowane z silnymi, nie opartymi na hasłach protokołami na każdym etapie łączenia się z zasobem.  Istnieje wiele opcji technicznych umożliwiających włączenie funkcji SSO do infrastruktury organizacji. Wybierając rozwiązanie SSO, organizacje powinny rozważyć możliwość pojedynczego wylogowania, które kończy wszystkie otwarte i aktywne sesje, gdy użytkownik się wylogowuje, aby zminimalizować ryzyko porwania sesji.

Federacja tożsamości

Chociaż federacja tożsamości nie jest sama w sobie rozwiązaniem problemu słabego uwierzytelniania, może ona stanowić istotne pośrednie wsparcie dla poprawy uwierzytelniania. Federacja tożsamości odnosi się do ustanowienia zaufanej relacji pomiędzy więcej niż jedną organizacją, która zarządza własnymi użytkownikami, tożsamościami i uwierzytelnianiem, w celu wzajemnego akceptowania użytkowników. Organizacje powinny federować się tylko z innymi organizacjami, których procesom weryfikacji tożsamości i uwierzytelniania ufają. Na przykład, dwie organizacje zarządzają własnymi użytkownikami, tożsamością i uwierzytelnianiem, a następnie tworzą połączenia między swoimi systemami, aby ograniczyć punkty słabego uwierzytelniania dla użytkowników zewnętrznych, które narażają organizację na ataki.

Federacja tożsamości może zatem jeszcze bardziej rozszerzyć możliwości silnego uwierzytelniania i SSO organizacji na systemy należące do zaufanych organizacji, do których mają dostęp jej użytkownicy i odwrotnie. Organizacje, które muszą współdzielić zasoby z użytkownikami innej organizacji, mogą korzystać z zaufanych, sfederowanych tożsamości użytkowników bez dublowania procesu uwierzytelniania lub zarządzania tożsamością dla tych użytkowników. Bez federacji tożsamości, uwierzytelnianie i magazyn tożsamości dla każdego zasobu, który jest współdzielony z inną organizacją, musi być skonfigurowany i zarządzany oddzielnie od głównego magazynu tożsamości, co zwiększa złożoność.

Wiedzieć, kiedy zrobić następny krok.

Organizacja może zidentyfikować zasoby, dla których wprowadzenie silnego uwierzytelniania okaże się zbyt kosztowne lub technicznie skomplikowane. W takim przypadku organizacja musi zdecydować, czy:

1) pozostać przy obecnym systemie i wdrożyć kontrole kompensujące ryzyko dla organizacji; czy

2) migrować do nowego, zmodernizowanego systemu, który umożliwia integrację z rozwiązaniem silnego uwierzytelniania.

Organizacja powinna rozważyć koszty i ryzyko związane z każdą opcją. Organizacja powinna rozważyć korzyści związane z wydajnością i bezpieczeństwem, oprócz silnego uwierzytelniania, które zapewni migrację do unowocześnionej technologii.

Inne względy strategiczne

Szczególnie w przypadku dużych organizacji istotne będą prawdopodobnie względy pozatechniczne dotyczące wiążących polityk, odpowiedzialności i budżetów. Jeżeli systemy informacyjne nie są zarządzane i kontrolowane przez biuro centralne lub głównego informatyka, konieczne będzie dodatkowe zaangażowanie i koordynacja działań z różnymi biurami, które posiadają systemy, w celu dostosowania ich do ogólnej strategii organizacji. Podobnie, jeżeli budżet informatyczny (IT) organizacji nie jest zarządzany centralnie, to organizacja może być zmuszona do rozważenia, w jaki sposób koszty wdrożenia i obsługi komponentów silnego uwierzytelniania, SSO lub federacji tożsamości mogą być odzyskane z każdego elementu organizacji.

Chociaż zautomatyzowane połączenia między systemami nie są ściśle objęte zakresem niniejszych wytycznych (a MFA nie jest opcją dla poświadczenia serwera), nadal pozostawiają otwartą drogę ataku poprzez zapewnienie „nieosobistego konta” w celu uzyskania dostępu do systemu. Jak wspomniano wcześniej, gdy jakakolwiek forma słabego uwierzytelnienia jest połączona z brakiem skutecznej segmentacji sieci, słabość ta może być dalej wykorzystywana do poruszania się w sieci, co zniweczy korzyści wynikające z silnego uwierzytelnienia wdrożonego w innym miejscu. Organizacje mogą usunąć tę drogę dla atakujących, aby ominąć silne uwierzytelnienie użytkownika do systemów, zabezpieczając te połączenia silnymi danymi uwierzytelniającymi (certyfikaty Secure Socket Layer [SSL]), szyfrowaną komunikacją oraz listą aplikacji lub adresów IP.

Planowanie taktyczne

Planowanie taktyczne obejmuje poznanie aktualnego stanu środowiska, określenie stanu przyszłego oraz opracowanie planu przejścia w celu wdrożenia efektywnych kosztowo metod migracji do stanu docelowego.

Aby rozwiązać problem słabego uwierzytelnienia, należy 1) znać stan „obecny”, 2) dostępne możliwości oraz 3) zrozumieć, co jest potrzebne do osiągnięcia stanu pożądanego. Przy planowaniu i podejmowaniu tych wysiłków na rzecz doskonalenia przedsiębiorstwa należy unikać paraliżu analitycznego. Dążenie do stuprocentowej wiedzy lub pewności (doskonałości), czy to dla stanu obecnego, czy przyszłego, hamuje stopniowe doskonalenie w oparciu o dostępne (wystarczająco dobre) informacje.

Zrozumieć stan „jak jest”

1.      Skatalogować obecne aplikacje i systemy.

2.      Zidentyfikować użytkowników i grupy użytkowników, którzy mają dostęp do systemu lub aplikacji, w tym partnerów i interesariuszy zewnętrznych, z którymi dzielą się Państwo danymi.

3.      Skatalogować charakter danych wymienianych z partnerami, ponieważ potrzeba ochrony danych wrażliwych może wpłynąć na protokół i względy architektoniczne. Jeżeli wymieniane są dane wrażliwe, mogą być konieczne bardziej szczegółowe informacje o użytkownikach, aby wymusić dostęp na zasadzie najmniejszego uprzywilejowania. Dotyczy to w szczególności systemów, w których dane wrażliwe stanowią jedynie podzbiór danych w systemie (a organizacja nie chce ponosić kosztów finansowych lub efektywnościowych dodatkowego zabezpieczenia danych niewrażliwych).

4.      Określenie metody uwierzytelniania dla każdego użytkownika do każdej aplikacji lub systemu.

5.      Zidentyfikować protokoły uwierzytelniania, które obsługuje każdy system lub aplikacja.

6.      Zidentyfikować wspierające elementy architektury – takie jak automatyczne połączenia między systemami, które również będą musiały być zabezpieczone, aby zapewnić, że konfiguracja elementów drugorzędnych nie wprowadza luk w zabezpieczeniach.

Określenie aktualnych możliwości

1.      Zidentyfikować istniejące możliwości MFA, takie jak uwierzytelnianie za pomocą kart PIV, w ramach organizacji.

2.      Ocenić możliwości nabycia lub opcje budżetowe dla realizacji inicjatywy wzmocnienia uwierzytelniania, włączając w to strategię odzyskiwania kosztów, która jest zgodna ze strategią szerokiego przyjęcia silnego uwierzytelniania.

3.      Zidentyfikować istniejące zasoby lub licencje na aplikacje, które mogłyby zapewnić możliwości MFA.

4.      Ocenić umowy licencyjne dla systemów lub aplikacji, które mają być zintegrowane z rozwiązaniem silnego uwierzytelniania. Wsparcie dla metod silnego uwierzytelniania lub silnych protokołów SSO/federacji może wymagać dodatkowych licencji lub innego rodzaju licencji niż aplikacja, która ma być zabezpieczona; licencje te są niezależne od kosztu samego rozwiązania silnego uwierzytelniania lub SSO/federacji.

5.      SSO/federacji. Zrozumienie całkowitego kosztu wdrożenia pozwoli na określenie całkowitego kosztu posiadania i pomoże w podjęciu decyzji o opłacalnym zarządzaniu ryzykiem.

6.      Zidentyfikować obecny personel z doświadczeniem we wdrażaniu możliwości MFA.

Zrozumienie stanu „być (to-be)”

1.      Wybrać rozwiązanie silnego uwierzytelniania, które najlepiej pasuje do Państwa środowiska i wymogów regulacyjnych (np. pewne rozwiązania uwierzytelniania mogą się sprawdzić w architekturze on-premise, ale mogą się nie sprawdzić w architekturze cloud).

2.      Zdefiniować, w jaki sposób użytkownicy będą uwierzytelniać się w sieci, w każdym kolejnym systemie i aplikacji oraz w zasobach zewnętrznych; zdefiniować, w jaki sposób użytkownicy zewnętrzni będą uwierzytelniać się w zasobach wewnętrznych.

3.      Określić, które systemy i aplikacje zostaną zintegrowane w ramach rozwiązania SSO.

4.      Określić organizacje, z którymi należy utworzyć federację zaufanych tożsamości.

5.      Ustalić granice dla systemów o różnej sile uwierzytelniania i zapewnić, że połączenia ze słabiej uwierzytelnionych systemów lub użytkowników nie pozwolą na dostęp o słabym uwierzytelnieniu do systemu, który jest zabezpieczony silniejszym uwierzytelnieniem. Proszę zwrócić uwagę na połączenia między systemami, które przekraczają granicę z mniej bezpiecznego środowiska do systemu w bardziej bezpiecznym środowisku.

6.      Zaprojektować architekturę docelową po pełnym wdrożeniu planowanego rozwiązania w zakresie silnego uwierzytelniania. Proszę uwzględnić, gdzie rozwiązanie uwierzytelniające będzie wspierać inne praktyki bezpieczeństwa organizacji, takie jak segmentacja sieci.

Plan przejściowy

1.      Proszę opracować plan przejścia i harmonogram, aby przejść od stanu „jak jest” do zdefiniowanego stanu „być”.

a.      Należy zastosować strategię zarządzania ryzykiem, aby nadać priorytet użytkownikom i aplikacjom, które mają zostać wprowadzone do rozwiązania.

b.      Użytkownicy z podwyższonymi uprawnieniami w systemie lub aplikacji są najbardziej krytyczni przy wdrażaniu, podobnie jak te systemy lub aplikacje, które są krytyczne dla realizacji misji biznesowej, dla podstawowej funkcjonalności organizacji, lub które zawierają dane wrażliwe.

c.       Nadać priorytet najbardziej krytycznym systemom i aktywom organizacji, które mają najsłabsze uwierzytelnienie.

2.      Jeżeli będzie stosowana federacja zaufanych tożsamości z inną organizacją, proszę określić, w jaki sposób użytkownicy zostaną przeniesieni bez negatywnego wpływu na ich obecny dostęp.

3.      Przetestować plan migracji na reprezentatywnych systemach.

FAZA REALIZACJI

W tej fazie Państwa organizacja wdraża silne uwierzytelnienie, wykorzystując artefakty uzyskane w fazie planowania. Podczas realizacji, harmonogramy i inne artefakty mogą wymagać dostosowania do „warunków na miejscu” i wyciągniętych wniosków. W związku z tym rozważane poprawki powinny być poddane takiemu samemu poziomowi rygoru, jaki został nadany artefaktom w fazie planowania. Poniższe hipotetyczne ramy czasowe można dostosować w zależności od wielkości i zakresu działań.

Działania krótkoterminowe

1.      Zamówienie lub zaprojektowanie rozwiązania w zakresie silnego uwierzytelniania w oparciu o analizę architektoniczną organizacji i określenie zarządzania ryzykiem.

2.      Nabycie sprzętu, oprogramowania i licencji, w tym rozwiązania SSO, niezbędnych do wdrożenia planu przejścia zdefiniowanego w fazie planowania.

3.      Zidentyfikować i skatalogować procesy biznesowe do zarządzania użytkownikami ze scentralizowanego punktu administracyjnego zarządzania tożsamością.

4.      Rozpoczęcie wdrażania silnego uwierzytelniania dla uprzywilejowanych użytkowników organizacji oraz jej systemów i zasobów o najwyższej wartości, zgodnie z planem przejścia.

5.      Włączenie kryteriów oceny kompatybilności systemu uwierzytelniania z rozwiązaniem organizacji do przeglądu proponowanych przejęć lub nowych systemów.

Działania średnioterminowe

1.      Kontynuacja migracji systemów do systemu silnego uwierzytelniania.

2.      Wykorzystanie wstępnego wdrożenia rozwiązania silnego uwierzytelniania do połączenia z rozwiązaniem SSO.

3.      Przekazanie uwierzytelniania z istniejących systemów i aplikacji do rozwiązania SSO.

4.      Ocenić nowe nabytki lub proponowane systemy w celu określenia kompatybilności z rozwiązaniem silnego uwierzytelniania organizacji przed zakupem tych systemów.

Działania długoterminowe

1.      Kontynuacja migracji systemów do systemu silnego uwierzytelniania.

2.      Ustanowienie relacji zaufania z innymi organizacjami w celu federacji tożsamości.

3.      Wdrożenie podmiotów nieosobowych, takich jak konta usługowe.

4.      Umożliwienie ciągłego doskonalenia poprzez regularne przeglądy i aktualizacje wymagań, polityki i architektury referencyjnej.

Silne uwierzytelnianie za pomocą MFA jest krytyczną i czasami kosztowną inwestycją, ale powinno być wdrożone we wszystkich sieciach, systemach, aplikacjach i zasobach, aby odpowiednio chronić organizację. Z tego powodu zalecane jest podejście obejmujące całą organizację. Jedną z metod rozszerzenia możliwości MFA w całej organizacji jest rozwiązanie SSO. Oprócz zapewnienia lepszego bezpieczeństwa zasobów organizacji, rozwiązanie SSO poprawia doświadczenie użytkownika, ponieważ eliminuje konieczność zapamiętywania haseł lub zarządzania wieloma danymi uwierzytelniającymi, takimi jak tokeny RSA, dla każdego systemu i aplikacji. Rozwiązanie SSO wdrożone na poziomie przedsiębiorstwa może również wyeliminować konieczność poświęcania zasobów przez właścicieli systemów na zarządzanie własnymi rozwiązaniami uwierzytelniania. Po wprowadzeniu rozwiązania SSO, organizacje mogą dalej rozszerzać możliwości silnego uwierzytelniania poprzez federację tożsamości z innymi organizacjami. Poprzez włączenie tych koncepcji i innych strategicznych rozważań do oceny stanu „jak jest”, organizacja może zdefiniować swój pożądany stan „być” i stworzyć plan, jak go osiągnąć.

 

Materiał został opracowany na podstawie informacji z organizacji NIST, CISA USA.

 

 

Mariusz Piskorczyk

Specjalista ds. bezpieczeństwa informacji, ochrony danych i cyberbezpieczeństwa. Audytor wiodący ISO 27001, 9001. Od 10 lat zajmujący się praktycznie bezpieczeństwem informacji i cyberbezpieczeństwem. Administrator systemów IT.