Текущие принципы построения системы многофакторной аутентификации не отвечают современным вызовам и далеко не всегда закрывают имеющиеся потребности обеспечения безопасности доступа.
На разработку и модернизацию систем аутентификации тратятся колоссальные силы и средства. Но все инновации касаются способов аутентификации, но не принципов.
Проще реализовать новый способ входа в веб-приложение, чем придумать новый принцип, но так ли это эффективно? Разберемся в этом вопросе подробнее.
Аутентификации является неотъемлемой частью широко известной концепции безопасности Zero Trust («нулевое доверие»). Цель концепции — защитить от несанкционированного доступа все ИТ-системы компании, расположенные во внутренней и внешней сети. Попытавшись ее реализовать на практике, вы неизбежно столкнетесь с трудностями, потому что именно многофакторная аутентификация не позволит реализовать вам концепцию в полной мере.
Традиционная система многофакторной аутентификации реализуется за счет агентов.
Агенты — это специализированное ПО, осуществляющее инъекцию дополнительного фактора в стандартный процесс аутентификации. Такие агенты устанавливаются на рабочие станции пользователей, Radius сервера и сервера приложений. Для большинства специалистов такой подход выглядит вполне логичным вариантом, если бы не один нюанс.
Любая компания не стоит на месте. Она развивается, обрастает приложениями, насыщается системами, поэтому всегда находится одно или несколько приложений, которые не могут быть интегрированы с системой многофакторной аутентификации. Причины могут быть разные — технологические или экономические. Но в результате часть корпоративной сети остается без защиты.
Основной провайдер аутентификации — контроллер домена всегда всегда работает в однофакторном режиме.
Контроллер домена является тем самым слабым звеном, обратившись к которому с логином и паролем, злоумышленник получает доступ к корпоративному ресурсу.
Уже неоднократно говорили, что учетные записи пользователей являются основным вектором атаки. Их крадут, за ними охотятся, а потом используют для кражи чувствительной информации. Существующие системы MFA, к сожалению, не в силах этому противостоять. Более того, создавая иллюзию защищенности, они иногда и сами становятся источником проникновения.
Буквально несколько месяцев назад один из лидеров рынка многофакторной аутентификации стал причиной взлома компании, осуществляющей управление фешенебельными курортами. Злоумышленники получили доступ к паролям всех пользователей через агент системы аутентификации.
Очевидным становится тот факт, что принципы, заложенные в логику работы традиционных систем многофакторной аутентификации, к сожалению, уже устарели. Озвученные выше проблемы требуют современного решения. Мир не стоит на месте, все меняется. Нужно менять и подходы к реализации многофакторной аутентификации.
Компания Индид создала новый подход, который реализован в уникальном для российского рынка продукте — Indeed ITDR (Identity Threat Detection and Response).Решение фокусируется на той части инфраструктуры безопасности, которая обычно остается без внимания, а именно на контроллерах домена.
Рассмотрим основные преимущества нового подхода реализации системы аутентификации:
Минимизация изменений в инфраструктуре и сокращение издержек на поддержание системы MFA.
В корпоративной среде за управление доступом к ресурсам отвечает контроллер домена. Именно он выдает разрешения. Количество контроллеров домена существенно меньше, чем целевых систем. Теперь не нужно поддерживать огромное количество агентов аутентификации на рабочих станциях и серверах. Решение Indeed ITDR полностью безагентское.
Возможность выявлять атаки на учетные данные и противодействовать им в режиме реального времени.
Осуществляя перехват и перенаправление запросов доступа на контроллере домена еще до их обработки службой каталога мы получаем ряд преимуществ по сравнению с традиционным системами многофакторной аутентификации.
Indeed ITDR позволяет выявлять различные типы атак: начиная от перебора паролей и логинов, заканчивая вариациями атак на протокол kerberos и латеральное движение. В случае выявления атаки система может блокировать доступ и уведомлять другие системы безопасности (SIEM, SOAR).
Также наш подход позволяет реализовать многофакторную аутентификацию для сценариев, где раньше это было невозможно:
- Многофакторная аутентификация для различных утилит командной строки powershell psexec, которые часто используются для управления серверам.
- Возможность настройки многофакторной аутентификации для папок общего доступа на файловых хранилищах.
Новый подход Компании Индид позволяет реализовывать адаптивные политики доступа к ресурсам. В том числе возможность прозрачно встраивать запрос дополнительного фактора у пользователя в зависимости от контекста: с какой рабочей станции поступает запрос, к какому ресурсу, какой пользователь запрашивает доступ.
Indeed ITDR в своем арсенале имеет встроенные механизмы выявления сервисных аккаунтов.
Администраторы могут подтвердить классификацию аккаунта как сервисного и применить к нему все необходимые ограничения:
- привязать к определенному хосту;
- разрешить доступ только к определенным корпоративным сервисам;
- запретить интерактивный вход в систему;
- запретить использование вне разрешенных систем.
Постоянно собирая и агрегируя запросы доступа, Indeed ITDR выявляет паттерны поведения пользователей и в случае выявления аномалий в поведении оперативно информирует офицеров безопасности и блокирует нетипичное поведение пользователей.
Уже сегодня Indeed ITDR позволяет заместить воображаемую защиту учетных данных и доступа на реальную.
Подробнее вы можете узнать на сайте Компании Индид.
