Tomislav Bobić, Business Development Manager u Exclusive Networks, objašnjava zašto je upravljanje identitetima i zaštita podataka kriptiranjem zanemareni aspekt cyber sigurnosti. Kada je u pitanju IT sigurnost, najčešće pričamo o tehnologijama kao što su anti-malware, firewall zaštita, EDR/XDR rješenja… Međutim, većina uspješnih napada na organizacije započinje krađom identiteta kroz socijalni inženjering ili phishing.

Tomislav Bobić, Business Development Manager u Exclusive Networks

Procjene se razlikuju, ali se svejedno radi o dominantnom načinu proboja u organizacije. Prema istraživanju Verizona iz 2022. godine, čak 82% uspješnih proboja uključuje korištenje ukradenih vjerodajnica kroz phishing, objašnjava Tomislav Bobić, koji se u Exclusive Networks, između ostalog, bavi tehnologijom za zaštitu identiteta.

Zašto se napadači dominantno fokusiraju na identitete korisnika?

Kompromitirani kredencijali znatno olakšavaju infiltraciju u IT sustav organizacija, a isto tako omogućuju zaobilaženje tradicionalnih “slojeva” zaštite kao što su firewall ili anti-malware. I zato napadači ciljaju identitete korisnika sa sve sofisticiranijim tehnikama, a takozvani ljudski rizik ostaje najveća prijetnja za organizacije. Stoga se organizacije, kada je u pitanju zaštita, moraju usredotočiti na prvi korak koji svi korisnici imaju sa svakim sustavom – to su, naravno, prijava i autentikacija. Ne zaboravimo da je to prvi korak i za maliciozne aktere. Ako je taj prvi korak slab, ranjiv ili slabo otporan na phishing, veća je šansa da ćemo imati proboje i destruktivne napade poput ransomwarea.

-- tekst se nastavlja nakon oglasa --

 

Što je s lozinkama? Zašto one više ne pružaju dovoljnu razinu zaštite od takvih proboja?

Oslanjanje isključivo na lozinke za zaštitu identiteta danas je praktički pozivnica napadačima. Lozinke su zastarjele i nalaze se posvuda, od e-maila do bilježaka na radnom stolu, a napadači su toga itekako svjesni. Multifaktorska autentifikacija je stoga razvijena s ciljem da se autentikacija temeljena na lozinkama osnaži i učini otpornom na phishing. Danas je MFA apsolutni minimum i industrijski standard koji se očekuje od svake organizacije. Tvrtke ga trebaju implementirati za sve pristupne točke – od VPN-a do web aplikacija. Ipak, tijekom posljednje se godine dogodio obrat i napadači su počeli rutinski zaobilaziti one MFA metode koje se temelje na out-of-band provjeri identiteta. Tu se najčešće radi o push notifikacijama na smatphoneu putem aplikacija poput Microsoft Authenticator ili Google.

Kako točno napadači zaobilaze metode multifaktorske autentikacije?

Napadači najčešće koriste takozvane attacker-in-the middle proxy tehnike i prompt bombing. U prvom slučaju, korisnici se navode da pristupe lažnoj stranici koja ima isti izgled kao originalna. Ta stranica prima i prosljeđuje sve web zahtjeve korisnika i odgovore s legitimnog servera. Mobilni push autentifikator, naravno, nije svjestan da korisnik pristupa stranici preko servera koji krade podatke. Napadači najčešće šalju niz takvih upita i računaju na grešku ili zamor korisnika koji će odobriti push notifikaciju, što nazivamo prompt bombing. Ako korisnik odobri push, vjerodajnice i tokeni bit će ukradeni.

Dakle, multifaktorska autentikacija je postala ranjiva na phishing napade. Kako industrija odgovara na ovaj problem?

Da, multifaktorska autentikacija je izuzetno ranjiva. Moramo spomenuti su ovom metodom zaobilaženja MFA nedavno probijene velike organizacije poput Ubera, Cloudflare, Twilio i Mailchimp. Takve prakse postaju sve šire rasprostranjene. Microsoft sada svoje korisnike MS365 redovito upozorava na ove tehnike napada. Situacija je ujedno potaknula Microsoft da ubrzano podrži nove phishing-resistant autentikatore na Azureu. Isto tako nije čudno da Američka agencija za kibernetičku sigurnost (CISA) sada savjetuje svim organizacijama da hitno implementiraju MFA otporan na krađu identiteta, odnosno phishing-resistant MFA. Ovo je velik problem za organizacije. Nešto što je prije godinu dana bilo gotovo neprimjetno, odjednom predstavlja značajan izvor rizika. Naime, autentikacija putem push notifikacija na smartphoneu ili one-time passwordom (OTP) odjednom je postala vrlo slaba.

Kako organizacije mogu povećati otpornost i zaštititi se od napadača koji zaobilaze MFA?

Mnogi će možda pomisliti kako je ovakve probleme moguće lako riješiti uz tradicionalnu autentikaciju temeljenu na kriptografiji javnog ključa. To u praksi podrazumijeva PKI tokene, odnosno USB ili smart kartice. Nažalost, PKI tokeni komplicirani su za upravljanje. Dodatni softver na klijentima za mnoge tvrtke predstavlja prevelik teret u administriranju. Mnogi vjerojatno imaju iskustva s instalacijom ili reinstalacijom kompliciranog middleware softvera kako bi proradio PKI token za neki bankovni ili servis državne uprave. Čak i ako uspijemo natjerati PKI token da proradi, velika je šansa da na smartphoneu takva autentikacija neće biti moguća. Takve kompleksnosti organizacije, naravno, žele izbjeći.

Srećom, Fido Alliance već neko vrijeme radi na razvoju autentikacije koja s jedne strane ovisi sve manje o lozinkama, a s druge omogućuje jednostavnost korištenja i administriranja. Ova je organizacija sve aktivnija u izradi standarda koji je široko prihvaćen od strane industrije i vodećih platformi.

O kakvom se točno standardu radi i koje ga platforme podržavaju?

Fido omogućuje snažnu autentikaciju temeljenu na kriptografiji s javnim ključem, ali uz smanjene administrativne troškove i puno širu podršku za različite podrške i platforme. Fido standard podržavaju vodeći preglednici poput Google Chrome i Microsoft Edge, a podržan je i od strane Apple, Google i Microsoft operativnih sustava. Najnovija varijanta, nazvana FIDO2, praktično rješava spomenute MFA izazove i povećava otpornost organizacija na krađu kredencijala.

Što to znači u praksi? Kako radi FIDO2?

FIDO2 tokeni imaju dva ključna svojstva koja ih čine otpornima na krađu identiteta. Prvo, autentifikator automatski provjerava razgovara li s dodijeljenom aplikacijom ili web stranicom kod inicijalnog enrollmenta korisnika. Neće se autentificirati na lažnu web-stranicu koja posreduje zahtjeve i odgovore s legitimnog servisa. Ovo je ključan element za prevenciju phishinga. Dakle, odluku od pristupu nekoj stranici ne donosi korisnik jer takva odluka može biti kriva.

Drugo, FIDO2 token podrazumijeva provjeru fizičke blizine uređaju s kojeg se vrši pristup aplikaciji. Takva se provjera vrši putem dodirivanja uređaja ili biometrijske provjere. To može biti otisak prsta, prepoznavanje lica… Na ovaj način provjerava se je li korisnik koji potvrđuje autentičnost uistinu i taj koji je pokrenuo pristup aplikaciji. Tako se ustvari sprječavaju scenariji u kojima se napadačima često omogući da se spoje na udaljeno računalo s otključanim token. Taj token im može omogućiti spajanje na, na primjer, internet banking, i to u ime legitimnog korisnika.

Dakle, FIDO2 može spriječiti neovlašteni transfer novca.

Da, upravo tako. Kao i kod PKI-ja, korisnički privatni ključ nikada ne napušta autentifikator i ne pohranjuje se u aplikaciji, odnosno na strani poslužitelja. Ali ne smijemo zaboraviti spomenuti da je PKI i dalje nezaobilazan za različite scenarije poput digitalnog potpisivanja i enkripcije sadržaja. Thales je u ovom segmentu jako dobro pozicioniran jer isporučuje i FIDO2 autentifikatore – čak i one koje kombiniraju PKi i FIDO2 – a istovremeno je u stanju korisnicima omogućiti upravljanje identitetima kroz IAM i Identity-as-a-Service rješenja.  Tako korisnici mogu jednostavno zaštititi sve pristupne točke u organizaciju, počevši od VPN-a, preko RDP-a i desktop prijave u računalo do SaaS web aplikacija.

Što je s drugim načinima zaštite, primjerice zaštitom podataka kroz kriptiranje?

Pored phishinga, drugi najčešći način putem kojeg napadači pokušavaju doći do podataka je iskorištavanje nekog sigurnosnog propusta ili buga. Današnjim napadačima treba sve manje vremena za iskorištavanje novootkrivenih i objavljenih propusta. Dovoljno je samo nekoliko sati da se iskoristi novi propust masovno iskoristi u organizacijama diljem svijeta. Takvi napadi zaobilaze autorizaciju za prijavu u sustav.

Upravo je zato vrlo važno kriptiranje podataka u pokretu i u pohrani uz adekvatne autorizacijske kontrole. Zamislimo, na primjer, proboj Windows Server operativnog sustava kroz poznatu ranjivost, koja napadaču omogućava sistemske ovlasti na serveru na kojem se nalazi SQL baza kritične ERP aplikacije. Ako postoji kriptiranje slogova na samoj SQL bazi, takvi podaci neće biti od koristi napadaču koji se stekao sistemske ovlasti. Ovdje također moram spomenuti Thales čija platforma za i rješenja za zaštitu podataka nude kriptiranje na svim slojevima IT infrastrukture – od pohrane, preko baza do clouda. Takva je zaštita pritom uparena sa snažnim kontrolama pristupa te otkrivanjem te klasificiranjem podataka.

Zašto je važno kriptiranje i pravilno upravljanje enkripcijskim ključevima?

Kako sazrijeva infrastruktura, tako organizacije ovise o sve većem broju Infrastructure-as-a-service (IaaS) i Software-as-a-service (SaaS) pružatelja usluga. To podrazumijeva ograničenu vidljivost o tome gdje su podaci pohranjeni, kao i uvid u vrste podataka. Osobni podaci su u posebnom fokusu u mnogim regulatornim režimima, posebno u EU. Osobne podatke treba tretirati poput “radioaktivnog materijala” – dakle, rukovati s posebnom pažnjom. Bilo kakvo curenje ili povreda takvih podataka može rezultirati visokim kaznama regulatora, koje su često temeljne na prihodu kompanije – a ne dobiti.

Ako organizacija ne zna gdje su sve pohranjeni osobni i drugi osjetljivi podaci ili nema uvid u klasifikaciju podataka, česti su neuspjeli interni ili vanjski auditing postupci. Česte su i povrede osobnih podataka prouzročene zlonamjernom aktivnošću ili nenamjernom pogreškom zaposlenika organizacije. U svakom slučaju, izravna i neizravna šteta je vrlo visoka. Kriptiranje i upravljanje enkripcijskim ključevima je zato iznimno važno. Thalesova platforma s jedne strane omogućuje otkrivanje i klasifikaciju podataka, a s druge sigurno kriptiranje tih podataka. Tako se smanjuju rizici povrede podataka, bilo da se radi o malicioznom napadu ili nenamjernom greškom zaposlenika.

Je li sigurna verifikacija i provjera identiteta važnija nego ikada?

Sve digitalne interakcije između građana, poslovnih subjekata, državnih institucija temelje se na sigurnoj verifikaciji identiteta, bez čega nema niti digitalne ekonomije. To, na primjer, može biti zaposlenik koji pristupa organizacijskoj mreži, pojedinac koji otvara bankovni račun online ili građani koji se autenticiraju na različite e-servise. Verifikacija i sigurna provjera identiteta je svakako važnija nego ikad, a upravo na tim područjima sveprisutni su Thalesovi tokeni i autentifikatori.

Thales je prisutan na tržištu već više od 40 godina i vodeći je ponuđač rješenja za kriptiranje podataka te upravljanje identitetima i pristupom. Štiti najveće svjetske brendove i organizacije. Prisutan je i kao ponuđač u mnogim ključnim segmentima kao što su sigurnost plaćanja u financijskoj industriji i sigurno spremanje root privatnih ključeva, to je u temelju svake PKI infrastrukture. Pohrana ključeva, a posebno root ključeva, kroz HSM model jedan je od temelja digitalne ekonomije, a Thales je vodeći proizvođač takvih HSM-ova – od onih opće namjene do onih za financijsku industriju i cloud infrastrukturu. Svima poznata zelena kvačica kod pristupa omiljenom web shopu zapravo je rezultat implicitnog povjerenja koje preglednik ima prema root certifikacijskom tijelu. Mnoga takva tijela izvor povjerenja temelje na Thalesovim HSM-ovima.

 

 

Vezane objave