Секреты многофакторной аутентификации: девайс, который спасет бизнес от потери данных

Безопасность информационных ресурсов – уже давно не привилегия, а обязательное условие существования бизнеса. Утечка конфиденциальной информации может обернуться серьезными финансовыми потерями, подорвать репутацию компании и даже привести к ее закрытию. Один из самых надежных способов защиты – это многофакторная аутентификация (MFA) с использованием USB-токена в качестве второго фактора.

Вместе с генеральным директором компании-интегратора систем защиты информации и обеспечения физической безопасности SDS Fusion Дмитрием Ефимовым разобрались, как с помощью одного девайса значительно обезопасить бизнес.

Двухфакторная аутентификация: что это и зачем она нужна

Многие слышали о двухфакторной аутентификации, но не все понимают, что это такое. На самом деле это дополнительный уровень защиты, который подтверждает вашу личность двумя разными способами – помимо привычного логина и пароля, система запрашивает еще один фактор, чтобы убедиться, что вы действительно являетесь владельцем аккаунта.

Традиционная авторизация с помощью только логина и пароля теряет свою надежность. Утечки данных и взломы баз паролей – это реальные угрозы. Двухфакторная аутентификация усложняет задачу злоумышленникам: теперь им нужно не только подобрать ваш пароль, но и получить доступ ко второму уровню подтверждения.

Рассмотрим, какие факторы аутентификации бывают.

• Первый фактор – логин (номер телефона, email или уникальное имя пользователя) и пароль. Это основа любой авторизации.

• Второй фактор может быть представлен несколькими вариантами:

  • SMS-код – на номер телефона приходит одноразовый код, который нужно ввести для подтверждения входа.

  • Приложение-аутентификатор создает временные коды для вашей авторизации (например, «Яндекс Ключ»).

  • Push-уведомление – на устройство приходит уведомление с запросом подтверждения входа. Эту опцию можно настроить через специальные приложения.

  • CAPTCHA – это тест, который помогает отличить человека от компьютера. Пользователю предлагают распознать искаженные символы или выбрать определенные объекты на изображениях.

  • Аппаратный ключ безопасности (USB-токен) – физическое устройство, которое подключается к компьютеру и генерирует уникальные коды.

Даже если злоумышленник каким-то образом узнает ваш логин и пароль, ему будет крайне сложно получить доступ ко второму фактору. Например, перехват SMS-сообщения – задача практически невыполнимая, ведь для этого нужно, чтобы совпало огромное количество факторов.

Аппаратные ключи: USB-токен на страже информационной безопасности компании

Многофакторная аутентификация надежно охраняет корпоративные данные.

Хорошим решением для защиты информации становятся USB-токены. Принцип их работы прост: вы вводите свой логин и пароль, а затем подключаете специальную флешку – ваш USB-токен. Система запрашивает у вас уникальный PIN-код, который привязан именно к этому устройству. Без флешки или забытого PIN-кода доступ к системе невозможен.

Взлом современных операционных систем, таких как Windows, может быть осуществлен довольно легко, особенно если злоумышленник завладел вашим ноутбуком. Специальные программы позволяют сбросить пароль в считанные минуты. Однако наличие USB-токена серьезно повышает уровень защиты.

В том случае, если вместе с утерянным ноутбуком у него в руках будет и заветный ключ, ларец с корпоративной информацией не откроется – для входа в систему потребуется ввести еще и пароль, который знает лишь сотрудник.

Для еще большей защиты данных можно позаботиться об их шифровании. В сочетании со специализированным программным обеспечением для шифрования диска USB-токен становится настоящим щитом от несанкционированного доступа к вашим данным. Этот тандем позволяет зашифровать важные разделы жесткого диска, обеспечивая конфиденциальность информации даже в случае утери или кражи устройства.

Многофакторная аутентификация: панацея или плацебо?

Количество инцидентов, которые можно предотвратить с помощью многофакторной аутентификации, зависит от множества факторов, включая тип угроз, уровень внедрения MFA и текущие уязвимости системы. Статистика компании Indeed показывает, что MFA блокирует:

• 99% автоматических атак с украденными паролями (по данным Microsoft);

• 100% атак методом brute-force;

• 80-90% атак, связанных с сессионными cookie или MITM (MFA с динамическими кодами или аппаратными токенами).

Кроме того, по данным Google, внедрение MFA снижает риск взлома на 50-70% даже при утечке паролей.

Однако, несмотря на все преимущества многофакторной аутентификации, считать ее абсолютной панацеей от всех киберугроз неверно. Злоумышленники тоже развиваются и находят способы обходить MFA, поэтому надеяться лишь на «волшебный» гаджет – по меньшей мере опрометчиво.

Многофакторная аутентификация важна для кибербезопасности, но она не заменяет другие меры защиты. Например, если устройство заражено вредоносным ПО, злоумышленники могут похитить корпоративные данные различными методами, включая перехват вводимых паролей и создание снимков экрана. Поэтому необходима именно комплексная защита информационных систем.

Для глубокой защиты информационных систем необходим всесторонний подход, который должен быть разработан квалифицированным специалистом по безопасности. Как правило, комплексный подход включает следующие меры обеспечения безопасности:

• внедрение специализированных решений для защиты учетных записей пользователей;

• использование антивирусных программ;

• лицензионное ПО;

• применение технологий противодействия фишингу;

• использование инструментов для оперативного выявления, анализа и автоматической реакции на компрометацию облачных аккаунтов;

• обучение персонала распознавать фишинговые атаки, понимать методы социальной инженерии и знать, как на них реагировать.

Кому не подходит USB-токен как второй фактор аутентификации

USB-токены имеют ограничения и подходят далеко не каждой организации. Поэтому, принимая решение об использовании многофакторной аутентификации, нужно начинать с определения целей. Рассмотрим несколько вариантов, когда в качестве второго фактора лучше выбрать альтернативный вариант.

Компании с большим штатом сотрудников

Для крупных компаний с тысячами сотрудников массовое внедрение токенов становится неэффективным решением: требуются закупка большого количества USB-токенов, а следовательно, значительные ресурсы на администрирование. Кроме того, часто возникают проблемы с потерей и поломкой устройств, что тоже требует дополнительных вложений.

Для повышения эффективности защиты лучше использовать карточки доступа СКУД. Они бывают разных форм, принципов действия, дальности считывания и технологий идентификации: пластиковые карты или брелоки. Когда сотрудник подносит карту к ридеру на входе в офис, система проверяет данные. Если информация совпадает, электромагнитный замок или турникет открывается.

Эти карты также можно настроить для доступа к рабочему ноутбуку или компьютеру. Установка картридера на каждый компьютер помогает использовать карточки доступа СКУД как дополнительное средство подтверждения личности сотрудника при входе в систему. Такой подход экономит средства на покупку и обслуживание оборудования, обеспечивая высокий уровень безопасности.

Компании с распределенной структурой или удаленными сотрудниками

Многие компании имеют географически распределенную структуру либо полностью перешли на дистанционный режим работы. Использование традиционных методов защиты информационных ресурсов – таких как USB-флешки или физические карты – становится крайне неэффективным решением.

Во-первых, доставка оборудования сотрудникам, работающим удаленно, представляет собой логистический кошмар: высокий уровень расходов, возможность потери посылок, поломка устройств. Каждый раз, предоставляя новые устройства новым сотрудникам, организация сталкивается с большими организационными сложностями.

Во-вторых, даже при наличии физического устройства нельзя гарантировать его правильное использование. Требуется настройка компьютера сотрудника, установка специализированного программного обеспечения, что требует значительных временных и финансовых вложений. В результате возникает риск несоответствия стандартов безопасности между различными филиалами или подразделениями компании.

Компаниям приходится искать другие методы, обеспечивающие надежность информационной инфраструктуры. Например, дополнительным способом подтвердить свою личность может служить код, создаваемый специальным приложением на смартфоне или получаемый по SMS.

Особенно важным аспектом является обеспечение безопасного подключения к внутренним ресурсам организации. Сегодня большинство крупных организаций используют виртуальные частные сети (VPN-туннели) для дистанционного доступа сотрудников к корпоративным сетям.

Как это работает? Удаленные работники устанавливают на свои персональные ноутбуки специальное ПО, которое обеспечивает шифрованный канал связи между сотрудником и внутренними серверами компании. Это позволяет минимизировать риски утечки конфиденциальной информации.

Резюме

Для обеспечения высокого уровня информационной безопасности и снижения рисков компаниям следует использовать многофакторную аутентификацию (MFA). USB-токен – это отличное решение, но каждая организация должна подходить к этому вопросу индивидуально. Определить оптимальный вариант может специалист по информационной безопасности.

Важно помнить, что в условиях растущей активности кибермошенников недостаточно полагаться только на MFA. Компании должны заботиться о комплексной защите своих данных.

Оригинал статьи на SEOnews