Αναπόσπαστο τμήμα της πολιτικής Zero-Trust είναι και η υλοποίηση Multi Factor Authentication (MFA), καθώς η απλή χρήση Password προσφέρει περιορισμένη προστασία και θεωρείται ανεπαρκής για πρόσβαση σε ευαίσθητο περιεχόμενο.
Γράφει ο Αντώνης Καλοχριστιανάκης
Διευθυντής Πωλήσεων
Digital Sima – www.digitalsima.gr
Σύμφωνα με έρευνες, ο σύγχρονος άνθρωπος χρησιμοποιεί κατά μέσο όρο περισσότερα από 60 passwords, ενώ οι τεχνικές phishing για υποκλοπή τους γίνονται όλο και πιο προηγμένες. Μάλιστα, η πλειοψηφία των εφαρμογών (ακόμη και οι μη ευαίσθητες) απαιτούν πολύπλοκα passwords και περιοδική αλλαγή. Οι περισσότεροι δεν είναι εκπαιδευμένοι σε τεχνικές δημιουργίας ευκολομνημόνευτων passwords, ούτε είναι εξοικειωμένοι με τους μηχανισμούς διαφύλαξής τους. Το πιο εύκολο για το μέσο χρήστη είναι να «νικάει το σύστημα» με διάφορους τρόπους όπως χρήση προηγούμενων passwords, καταγραφή τους σε εμφανή μέρη κ.λ.π.
To dark web είναι μια συλλογή από ανώνυμες ιστοσελίδες που είναι δημόσια διαθέσιμες αλλά κρύβουν τις διευθύνσεις IP ώστε να είναι αδύνατο για τους χρήστες να αναγνωρίσουν το host. Είναι πολύ συνηθισμένο να καταλήγουν εκεί προς πώληση ευαίσθητες πληροφορίες που προέρχονται από παραβιάσεις συστημάτων. Σύμφωνα με έκθεση του 2021 για την παγκόσμια κατάσταση της κυβερνο-ασφάλειας, το 63% των μικρών και μεσαίων επιχειρήσεων ανέφερε ένα τουλάχιστο περιστατικό το προηγούμενο έτος, που αφορούσε την απώλεια ευαίσθητων πληροφοριών.
Η εξάπλωση της τηλε-εργασίας εντείνει το πρόβλημα καθώς πολλοί απομακρυσμένοι χρήστες εργάζονται με δικό τους εξοπλισμό που δεν έχει το ίδιο επίπεδο προστασίας όπως τα τερματικά του γραφείου. Το multifactor authentication συμβάλλει αποτελεσματικά στη ασφάλεια, καθώς δεν προστατεύει μόνο τις εφαρμογές στις οποίες έχει πρόσβαση ο χρήστης, αλλά και την διαρροή των ίδιων των συνθηματικών, που είναι ακόμα πιο σημαντικό καθώς αποτρέπει μια γενικότερη ζημιά.
Βασικές πρακτικές εφαρμογής Zero-Trust προσέγγισης
Για την εφαρμογή Zero-Trust στα δίκτυα οι βασικές πρακτικές είναι:
- Αναγνώριση χρηστών και συσκευών: Να γνωρίζουμε ποιος και τι συνδέεται στο εταιρικό δίκτυο. Έλεγχος ταυτότητας πολλαπλών παραγόντων που βασίζεται σε σύννεφο (MFA) προσφέρει προστασία έναντι της κλοπής συνθηματικών, απάτης και επιθέσεων phishing.
- Παροχή ασφαλούς πρόσβασης: Στο πλαίσιο της υλοποίησης του zero-trust, η πρόσβαση στο δίκτυο πρέπει να ελέγχεται κεντρικά για όλα τα κοινά συστήματα πληροφορικής, ενώ η πρόσβαση στα κρίσιμα συστήματα και εφαρμογές πρέπει να περιορίζεται αποκλειστικά στις συσκευές που έχουν ρητή εξουσιοδότηση πρόσβασης. Για την υλοποίηση των παραπάνω, αλλά και για τη διευκόλυνση των χρηστών, απαιτείται η χρήση τεχνολογιών ενιαίας σύνδεσης (SSO) σε συνδυασμό με το MFA.
- Συστηματική παρακολούθηση: Παρακολούθηση της κατάστασης και της ασφάλειας του δικτύου και όλων των συνδεδεμένων τερματικών σταθμών. Πέρα από την χρήση του antivirus τα τερματικά πρέπει να προστατεύονται από εφαρμογές Detection & Response καθώς και από μηχανισμούς ελέγχου της χρήσης του internet όταν αυτά είναι εκτός δικτύου.
Υλοποίηση MFA
Η υλοποίηση του 2FA μπορεί να γίνει με:
- Κάτι που ξέρεις (π.χ.password)
- Κάτι που έχεις (ένα token, είτε αυτόνομο, είτε στο κινητό, ή το DNA του κινητού)
- Κάτι που είσαι (π.χ. δακτυλικό αποτύπωμα)
Το πλέον διαδεδομένο μέσο για την υλοποίηση του MFA είναι το smartphone, ενώ σε κάποιες περιπτώσεις χρησιμοποιούνται hardware tokens. Το βασικό ζητούμενο για να είναι αξιόπιστη μία τέτοια λύση είναι η ισχυρή ασφάλεια που μεταφράζεται στην αδυναμία να παρακαμφθεί. Πέραν της ασφάλειας, τα υπόλοιπα χαρακτηριστικά που πρέπει να διαθέτει μία λύση MFA είναι:
- Φιλική προς τους χρήστες. Η λύση πρέπει να είναι απλή στην λειτουργία της και να υποστηρίζει ποικιλία τρόπων πιστοποίησης όπως One Time Password, on demand access, off-line authentication, καθώς και άλλους τρόπους που υποστηρίζονται από τα σύγχρονα smartphones (δακτυλικό αποτύπωμα, gesture, αναγνώριση προσώπου κ.λ.π.)
- Συμβατότητα με την πλειοψηφία των εφαρμογών που υποστηρίζουν 2FA και με όσο το δυνατό περισσότερους μηχανισμούς προστασίας (VPN Firewalls κ.λ.π)
- Ευκολία παραμετροποίησης και διαθεσιμότητα. Πλέον αρκετές λύσεις υλοποιούνται και στο σύννεφο, κάτι που προσδίδει υψηλότερη διαθεσιμότητα.
…αλλά και επιπλέον χαρακτηριστικά λειτουργικότητας όπως δυνατότητα portal, Single Sign On, κ.λ.π.
Φυσικά το κόστος είναι σημαντική παράμετρος, ιδιαίτερα στις λύσεις που έχουν επαναλαμβανόμενα κόστη.
Η λύση Authpoint περιλαμβάνεται στο portfolio της WatchGuard. Είναι από τις πλέον διαδεδομένες και προσιτές οικονομικά λύσεις MFA, ενώ συνεργάζεται πρακτικά με όλους τους μηχανισμούς και τις εφαρμογές που υποστηρίζουν MFA. Υλοποιείται στο σύννεφο της WatchGuard σε ενιαίο περιβάλλον με τις υπόλοιπες λύσεις του κατασκευαστή. Περισσότερα για την λύση του Authpoint μπορείτε να βρείτε εδώ: digitalsima.gr/authpoint.
Η Digital SIMA είναι επίσημος διανομέας του οίκου WatchGuard στην Ελλάδα.