Többfaktoros azonosítás: az vagy-e, akinek mondod magad?
Egyre elterjedtebb módszer, hogy a kiberbűnözők az adathalászattal és más trükkökkel megszerzett valódi bejelentkezési azonosítók segítségével hatolnak be vállalati hálózatokba, valamint e-mail- és más fiókokba, s lopnak el onnan értékes adatokat. Többfaktoros azonosítással megakadályozható a vállalati rendszerek feltörése az érvényes felhasználónév-jelszó páros használatával. Ezt a védelmi eljárást a szervezetek azonban korlátozottan, csak egyes részterületeken alkalmazzák, így továbbra is sebezhetőek maradnak a támadásokkal szemben. Szakértők szerint a többfaktoros azonosítás akkor igazán hatékony védelmi megoldás, ha vállalatszerte mindenhol használják: az összes vállalati erőforrásnál - felhőalapú és házon belüli alkalmazásoknál, virtuális magánhálózatokban, a végpontoknál, a szerverekre való bejelentkezésnél - és mind a kiemelt jogokkal rendelkező, mind a végponti felhasználóknál. Ilyen kiterjedt alkalmazásnál azonban mindenképpen gondoskodni kell arról, hogy a többfaktoros azonosítást egyszerűen használható módon valósítsák meg, mert csak így várható el annak széles körű elfogadottsága a munkavállalók és ügyfelek körében.
Mindenre kiterjedően
Többfaktoros azonosításnál a felhasználók csak akkor férhetnek hozzá a felhős alkalmazásokhoz, ha megfelelnek a biztonsági előírásoknak. A mai felhőalapú, többfaktoros azonosítási megoldások nem igénylik a funkció integrálását az alkalmazásokba, hanem az alkalmazások előtt működnek, függetlenül attól, hogy az adott app rendelkezik-e fejlett biztonsági funkciókkal, vagy csak egy házon belül fejlesztett programocskáról van szó. Szakértők szerint ez különösen hasznos az üzleti környezetekben, ahol folyamatosan nő a futtatott alkalmazások száma.
A létesítményen belüli rendszerek és kiszolgálógépek védelmében ugyancsak komoly szerep jut a többfaktoros azonosításnak. Csakúgy, mint az alkalmazások használatakor, nagymértékben növeli a biztonságot, hogy bejelentkezéskor a felhasználóknak többféle módon kell azonosítaniuk magukat, mivel a szerverek a bizalmas vállalati információk megszerzésére szakosodott hackerek kedvelt célpontjai. Ráadásul a szerverek védelme egyre nagyobb nehézségekbe ütközik, ahogy a vállalatok egyre inkább hibrid (mind házon belüli, mind felhőalapú rendszereket tartalmazó) infrastruktúrát használnak, ezért szükséges a többfaktoros azonosítás kiterjesztése a teljes informatikai környezetre.
Nagyításhoz kattintson a képre.
Nem feledkezhetünk meg a vállalati erőforrásokhoz biztonságos távoli hozzáférést nyújtó virtuális magánhálózatok (VPN-ek) többfaktoros azonosítással való védelméről sem, mivel egyre több alkalmazott dolgozik távoli telephelyeken, terepen vagy az otthonában. A VPN-ek nyilvános hálózaton keresztül kialakított titkosított csatornákon át teszik elérhetővé a privát vállalati hálózatok szolgáltatásait, így mindenképpen gondoskodni kell arról, hogy csak az arra jogosultak használhassák. Megfelelő azonosítás nélkül a VPN-eken keresztül illetéktelenek szerezhetnek hozzáférést a kritikus vállalati erőforrásokhoz.
Végezetül gondot kell fordítani a végfelhasználók többfaktoros azonosításra is, és a módszernek ki kell terjednie a kiemelt jogokkal rendelkező alkalmazottakra, többek között a rendszergazdákra is. A kiberbűnözők ugyanis főként e fontos személyek bejelentkezési adataira vadásznak, hiszen ők sokkal több erőforráshoz férhetnek hozzá, mint az átlagos munkavállalók.
Egyre inkább szükség van rá
Napjaink több technológiai trendje is a többfaktoros azonosítás alkalmazásának irányába hat. Először is a kiberbűnözők egyre fejlettebb módszereket alkalmaznak a vállalati adatok megszerzésére, szinte egymást érik a nagyszabású - több millió felhasználó adatait érintő - adatlopásokról beszámoló hírek. Bármely szektorban tevékenykedő vállalat áldozatául eshet az ilyen támadásoknak, de különösen veszélyeztetettek a pénzügyi, egészségügyi és kiskereskedelmi cégek, mivel tőlük lehet a legértékesebb ügyfél-információkat eltulajdonítani. Másodszor, egyre többen veszik igénybe a felhőalapú szolgáltatásokat, mivel ezekkel csökkenthetők a költségek, továbbá nagyobb rugalmasságot biztosítanak. Ugyanakkor a felhő komoly kockázatokkal is jár, különösen akkor, ha vegyesen használnak nyilvános és privát felhőszolgáltatásokat, mivel a hibrid környezeteket nehezebb megvédeni a támadásoktól. Harmadszor, egyre elterjedtebb a mobileszközök használata a munkahelyeken, és egyre többen dolgoznak a központi irodától távol, így mind fontosabbá válik az ellopott jelszavak segítségével megkísérelt jogosulatlan hozzáférések megakadályozása. Ráadásul sok szervezetnél terjesztik ki a felhasználók körét az ügyfelekre, beszállítókra és más üzleti partnerekre is, vagyis egyre nyíltabbá válik az informatikai környezet, ami komoly biztonsági kihívások elé állítja a vállalatokat.
Adaptív azonosítás viselkedéselemzéssel
Szakértők szerint nagymértékben hozzájárul a többfaktoros azonosítás elfogadásához, ha a felhasználóktól csak akkor kérnek további azonosítási lépést, ha erre feltétlenül szükség van. Először jelszavukkal azonosítják magukat a belépni kívánók, majd annak kiderítésére, hogy a felhasználó valóban az-e, akinek mondja magát, a rendszer megvizsgálja, hogy az illető honnan akar bejelentkezni, hálózati eszközének mik a paraméterei és mely időpontban történik a belépési kísérlet. Amennyiben a körülmények nem felelnek meg az előre definiált szabályoknak, további azonosítási lépésre lesz szükség.
Így például, ha egy alkalmazott a vállalati hálózatból, felügyelt eszközről próbál meg bejelentkezni valamely alkalmazásba, a hozzáféréshez elegendő lesz csupán a jelszavát megadnia. Ha viszont egy másik földrészről akar belépni egy nem felügyelt eszközzel, további azonosítást kér tőle a rendszer, hogy kiszűrje a lopott jelszóval kísérletező hackereket.
Ami a többfaktoros azonosítási módszereket illeti, egy sor technológia áll rendelkezésre, vagyis az igényektől és az alkalmazási területektől függően rugalmasan választhatnak közülük a szervezetek. A többfaktoros azonosítás talán legismertebb módszere (ezzel találkozhatunk többek között a bankok online szolgáltatásainak használatakor) a korábban megadott mobilszámra sms-ben küldött egyszer használatos bejelentkezési kód.
A hardveres token kisméretű hardvereszköz (okoskártya vagy kulcstartó formátumban), amely szintén egyszer használatos kódot generál. Hátránya, hogy a felhasználónak mindig magával kell vinnie, és így akár el is veszítheti. A szoftveres token vagy alkalmazás ugyancsak egyszer használatos kódot generál. Jobban kedvelt a vállalatok körében, mivel egy, az alkalmazottak által egyébként is maguknál tartott eszközt, például okostelefont használ, továbbá a tokenek terjesztése egyszerűbb és olcsóbb. Persze az is igaz, hogy a mobiltelefont is gyakran veszítik el az emberek, vagy lopják el tőlük.
A telefonos azonosításnál a felhasználót felhívják a rendszerben regisztrált telefonszámon, és a hozzáférés engedélyezéséhez helyesen kell válaszolnia egy kérdésre. Ez a módszer nem igényel mobiltelefont, mint az sms-ben küldött jelszóval történő azonosítás. A sok internetes szolgáltatás regisztrációjánál is használt e-mailes azonosításnál a felhasználó elektronikus levelet kap, benne egy hivatkozással, erre kell kattintania az azonosítási folyamat teljessé tételéhez. Számos pénzügyi szolgáltató weboldalán előre meghatározott biztonsági kérdések segítségével azonosítják a felhasználókat. És végül, de nem utolsósorban, itt vannak a nagy jövő előtt álló biometrikus módszerek - például az arcfelismerés, a retinaszkennelés és az ujjlenyomat-vizsgálat -, amelyek nehezen feltörhetőek, de megvalósításuk egyelőre meglehetősen drága.
Megtekintés: 1057