Аутентификация. Руководство по надежному и безопасному управлению доступом

Беспокоитесь о защите своей организации от несанкционированного доступа? Внедряете архитектуру Zero Trust? Какой бы ни была ваша цель, для достижения успеха крайне необходима аутентификация.

Читайте дальше, чтобы узнать о важности строгой аутентификации, доступных вариантах и о том, как Entrust может подготовить вашу компанию к будущему.

Национальный институт стандартов и технологий (NIST) определяет аутентификацию как процедуру проверки идентификационных данных пользователя или устройства, которая является необходимым условием для предоставления доступа к ресурсам в информационной системе.

Проще говоря, это способ подтвердить, что кто-то (или что-то) является тем, за кого себя выдает. Таким образом, аутентификация — это мера безопасности, предназначенная для защиты от доступа неавторизованных пользователей и машин к защищенным активам.

Сравнение аутентификации и авторизации

Термин «неавторизованный доступ» особенно актуален при обсуждении методов аутентификации. Несмотря на то что эти термины тесно взаимосвязаны, определение термина «авторизация» существенно отличается.

В частности, авторизация — это процедура предоставления аутентифицированному пользователю разрешения на доступ к определенному ресурсу или функции. Это важное различие, поскольку не все объекты, прошедшие аутентификацию, могут быть авторизованы для использования определенных активов.

Допустим, сотрудник хочет получить доступ к конкретному облачному приложению. Ему будет предложено ввести свои учетные данные для аутентификации, такие как имя пользователя и пароль. Однако политики контроля доступа его организации могут предусматривать ограничение, в соответствии с которым это приложение разрешено использовать только сотрудникам высшего звена. В этом случае сотрудник не сможет воспользоваться запрошенным ресурсом, поскольку он не является авторизованным пользователем.

Образно говоря, аутентификация — это ключ к двери, а авторизация — это бейдж, позволяющий попасть в определенные части здания. Любой, у кого есть ключ, может войти в здание, но неавторизованные пользователи не могут попасть в VIP-зал. Итак, подведем итоги различий:

• аутентификация подтверждает идентификационные данные;
• авторизация подтверждает разрешение.

В совокупности обе процедуры являются важнейшими компонентами кибербезопасности и управления доступом.

Цифровая аутентификация началась в 1960-х годах. В то время компьютеры представляли собой огромные устройства размером с комнату, которые можно было встретить только в крупных исследовательских институтах и университетах. Ввиду своих размеров они находились в общем пользовании студентов, сотрудников и исследователей.

Тем не менее была одна проблема: все имели неограниченный доступ к файлам друг друга. Осознав эту проблему, студент Массачусетского технологического института создал базовую программу паролей — так родилась цифровая аутентификация.

Спустя десятилетия методы аутентификации изменились, но предпосылка осталась та же: предоставлять пользователям безопасный и надежный доступ к ресурсам, на которые они полагаются. Только сейчас, учитывая наш цифровой век, как никогда важна строгая аутентификация.

Если нет надлежащей системы аутентификации, злоумышленники могут получать несанкционированный доступ к личным и корпоративным учетным записям. Хуже того, взлом всего одного набора учетных данных может привести к полномасштабной атаке на все связанные учетные записи, в результате которой будет скомпрометировано огромное количество конфиденциальных данных.

К счастью, новые и улучшенные подходы к кибербезопасности открывают инновационные способы борьбы с этими типами угроз, а именно концепцию Zero Trust. Эта модель не только выступает против неявного доверия, но и помещает аутентификацию в центр своей архитектуры.

Аутентификация и Zero Trust

Если вкратце, безопасность Zero Trust — это система, которая предполагает, что все объекты являются потенциально вредоносными и что к ним следует относиться как к таковым. Вместо того чтобы проверять идентификационные данные только один раз, она нацелена постоянно аутентифицировать пользователей каждый раз, когда они запрашивают доступ к любому ресурсу, включая сети, приложения, файлы и многое другое.

Этот подход особенно важен по двум причинам:

1. Киберпреступность. Хакеры постоянно нацеливаются на привилегированные учетные записи, используют слабые пароли, внедряют программы-шантажисты и собирают при этом конфиденциальные данные. Согласно отчету компании Verizon за 2023 год, примерно половина всех внешних утечек произошла в результате кражи учетных данных. Собственно, 90 % опрошенных организаций подвергались фишинговым атакам в 2020 году, а еще 29 % сообщили об атаках с подстановкой учетных данных и атаках методом грубой силы, которые привели к сбросу множества паролей.
2. Идентификационные данные машин. Знаете ли вы, что на большинстве предприятий количество подключенных устройств превышает количество пользователей? Эти «машины» — серверы, компьютеры и т. п. — аутентифицируются с помощью цифровых сертификатов и криптографических ключей, называемых идентификационными данными машин. Однако если эти учетные данные попадут в плохие руки, они могут разрушить систему безопасности. В мировом масштабе незащищенные идентификационные данные машин обходятся в более чем 51 млрд долл. США экономических потерь. Вот почему организации должны постоянно проверять идентификационные данные машин на соответствие с теми, которые хранятся в их базе данных.

К счастью, именно эти проблемы и решает архитектура Zero Trust. А благодаря тому, что аутентификация является центральным принципом ее модели, предприятия могут создать прочную основу для своей системы, внедрив механизм непрерывной аутентификации во всей своей среде.

Варианты использования аутентификации

Теперь, когда больше организаций имеют более четкое представление о том, что такое контроль доступа, они начинают использовать цифровую аутентификацию новыми и интересными способами. Некоторые из наиболее распространенных вариантов использования на предприятиях перечислены ниже.

1. Вход в корпоративные ресурсы. Инструменты непрерывной аутентификации позволяют сотрудникам осуществлять доступ к ключевым системам компании — от электронной почты и документов до баз данных и облачных служб. Это гарантирует, что конфиденциальные корпоративные данные остаются под надежной защитой.
2. Онлайн-банкинг и финансовые услуги. Строгая аутентификация необходима для адаптации клиентов и онлайн-банкинга. Помимо того, что в ходе этой процедуры проверяются идентификационные данные лица во время открытия нового счета или осуществления доступа к существующему, она еще и не наносит серьезного ущерба удобству для пользователей.
3. Безопасный удаленный доступ. Аутентификация особенно важна в эпоху гибридной работы. Сотрудники работают по всему миру, используя незащищенные устройства и незащищенные сети, поэтому проверка идентификационных данных пользователей и машин становится еще более важной.
4. Защита цифровых транзакций. Электронная коммерция развивается со скоростью света, но некоторые организации изо всех сил пытаются не отставать от нее. С помощью инновационной схемы аутентификации можно защитить финансовые данные и конфиденциальную информацию, одновременно борясь с мошенничеством и повышая доверие клиентов.
5. Улучшение управления идентификационными данными машин. Предприятия могут вернуть контроль над идентификационными данными машин, хоть их и очень много, используя непрерывную аутентификацию. Она защищает криптографические активы на протяжении всего их жизненного цикла, обеспечивая безопасные подключения между машинами.

Пользователь или объект предоставляет учетные данные, которые сравниваются с учетными данными, зарегистрированными в базе данных авторизованной информации. Эта запись может находиться на локальном операционном сервере или на облачном сервере аутентификации.

Примечательно, что эти учетные данные могут представлять собой не просто сочетание имени пользователя и пароля, а серию идентифицирующих атрибутов, которые гармонично работают для проверки запрашивающего лица. В конечном счете это зависит от конкретного метода аутентификации. Например, в рамках биометрической аутентификации может использоваться распознавание лиц или снятие отпечатков пальцев.

Если предоставленная информация совпадает с зарегистрированной, система может разрешить объекту использовать ресурс, в результате чего конечный пользователь получает доступ. Тем не менее предоставление доступа также зависит от других условий, таких как заранее определенные политики контроля доступа, известные как разрешения.

Другими словами, даже если пользователь отправит правильные учетные данные, он не будет авторизован, если ему не предоставлены права доступа к соответствующему ресурсу.

Естественно, вас может интересовать ответ на следующий вопрос: «Сколько времени занимает эта процедура?» Хотя она может казаться сложной и обременительной, на самом деле она выполняется в течение нескольких секунд. Быстрая и надежная схема аутентификации позволяет проверять идентификационные данные без ущерба для удобства пользователей.

Что такое факторы аутентификации?

В самых общих чертах фактор аутентификации представляет собой часть информации или атрибут, которые могут проверять пользователя или объект, запрашивающих доступ к любому имеющемуся ресурсу. Как правило, факторы аутентификации представляют собой то, что вы знаете, то, что у вас есть, и то, что является частью вас. Однако за прошедшие годы появились еще две переменные, в результате чего их стало пять.

Таким образом, для аутентификации идентификационных данных используются:

1. Фактор знания. Любые учетные данные, отражающие информацию, которую знает пользователь, например персональный идентификационный номер (ПИН-код) или пароль.
2. Фактор владения. Включает любые учетные данные, которыми владеет пользователь, например токен или смарт-карту.
3. Фактор неотъемлемого свойства. Факторы неотъемлемого свойства — это то, что является частью вас. К ним относятся биометрические данные, такие как отпечатки пальцев и снимки сетчатки глаза.
4. Фактор местоположения. Этот фактор особенно актуален для устройств. Допустим, человек обычно входит в систему из дома, но однажды его учетная запись становится активной в другой стране. Географические данные позволяют предотвратить доступ злоумышленников из удаленных мест к ресурсам через скомпрометированные учетные записи.
5. Фактор времени. Время используется в сочетании с другими факторами. Этот фактор подтверждает идентификационные данные человека, просто проверяя их в установленный промежуток времени и в связи с определенным местом, например домом или офисом сотрудника.

Первые три фактора могут аутентифицировать идентификационные данные самостоятельно, а вот последним двум для достаточной проверки человека или машины требуется взаимодействовать с одним из них.

Какой метод аутентификации лучше всего подходит для вашей компании? Это вопрос с подвохом: скорее всего, подходит несколько решений. Лучше обеспечить полную защиту с помощью многоуровневой и надежной системы аутентификации, включающей множество различных методов.

Давайте рассмотрим некоторые из наиболее важных типов аутентификации и то, как они работают:

1. Однофакторная аутентификация (1FA)

1FA — это один из самых базовых типов аутентификации. Проще говоря, 1FA означает именно то, на что указывает ее название, — систему, которой требуется только один из трех основных факторов аутентификации.

Возьмем, к примеру, аутентификацию по паролю. Этот метод требует, чтобы человек предоставлял имя пользователя и пароль (или ПИН-код). Это, безусловно, не только самая распространенная тактика аутентификации, но и самая простая в использовании.

К сожалению, люди склонны использовать слабые пароли. Хуже того, они повторно используют одни и те же пароли для нескольких учетных записей, в результате чего становятся уязвимы к угрозам социальной инженерии, таким как фишинговые атаки.

2. Многофакторная аутентификация (MFA)

MFA требует несколько факторов аутентификации для проверки чьих-либо идентификационных данных. Согласно определению, под эту категорию подпадает двухфакторная аутентификация (2FA), но MFA обычно считается более безопасным вариантом.

При использовании многофакторной аутентификации, помимо пароля, люди должны предоставлять дополнительную информацию, например одноразовый проверочный код. Им также может быть задан личный контрольный вопрос, ответ на который знают только они.

MFA помогает организациям предотвращать фишинговые атаки и другие вредоносные угрозы, создавая больше уровней защиты, чем базовая аутентификация.

3. Единый вход (SSO).

Метод единого входа позволяет пользователю применять один унифицированный набор учетных данных к нескольким учетным записям. Эта процедура особенно популярна, поскольку она упрощает вход в систему и ускоряет работу пользователей.

С точки зрения компании благодаря ей сотрудники могут быстро осуществлять доступ к подключенным приложениям, выполнив всего один вход в систему. Система выпускает цифровой сертификат, который проверяется каждый раз, когда пользователь запрашивает доступ к приложению с интегрированным единым входом.

Однако если хакеры получат учетные данные для единого входа, они также получат доступ к подключенным приложениям этого пользователя. Таким образом, этот метод лучше всего подкреплять дополнительными тактиками аутентификации.

4. БЕСПАРОЛЬНАЯ АУТЕНТИФИКАЦИЯ

Система беспарольной аутентификации, как следует из названия, не требует ввода статического пароля. Вместо этого она идентифицирует пользователя с помощью других средств. К ним могут относиться биометрические данные и аппаратные токены, но чаще всего используется одноразовый пароль.

Одноразовые пароли, иногда называемые одноразовыми паролями на основе времени, обеспечивают более безопасную процедуру аутентификации, поскольку создают временные учетные данные по мере необходимости. Например, если человек входит в приложение, ему может быть отправлен код доступа на его электронную почту и (или) мобильное устройство. Предоставив этот код, он сможет получить доступ к ресурсу.

5. Биометрическая аутентификация

Вместо учетных данных, которые могут быть украдены, используются биометрические идентификаторы, уникальные для человека. Некоторые распространенные типы биометрических факторов перечислены ниже.

• Отпечатки пальцев.
• Снимки ладоней.
• Распознавание лиц.
• Распознавание радужки глаза.

6. Аутентификация на основе сертификатов (CBA)

CBA использует для проверки идентификационных данных объекта и предоставления ему доступа к компьютерной системе цифровые сертификаты.

Используя криптографию с открытым ключом, сертификаты предоставляют уникальный код, который содержит информацию о пользователе и (или) устройстве. Они также включают в себя криптографические ключи, которые устанавливают безопасное подключение к запрашиваемому ресурсу.

CBA часто используется в условиях особой секретности, в которых требуется максимальная уверенность.

7. Аутентификация на основе токенов (TBA)

TBA — это протокол аутентификации, который создает уникальные зашифрованные токены безопасности. Пользователи могут осуществлять доступ к любому веб-сайту или приложению, для которого был выпущен токен, в течение срока действия токена, который может быть отозван или продлен, а не вводить свои учетные данные повторно каждый раз при возвращении в систему.

8. Адаптивная аутентификация на основе рисков

Аутентификация на основе рисков (RBA), также называемая адаптивной аутентификацией, динамически изменяется в зависимости от уровня риска, связанного с каждым конкретным сеансом или транзакцией. Если вкратце, то в рамках этой процедуры этим взаимодействиям присваивается оценка риска, которая используется для определения объема аутентификации, необходимой для подтверждения идентификационных данных объекта.

Например, для сеанса с низким уровнем риска может требоваться только двухфакторная аутентификация. Однако если ситуация несет в себе высокий риск, система может выдавать пользователю дополнительные запросы.

Строгая и непрерывная аутентификация — главная составляющая современной кибербезопасности. Вашей организации необходима полная уверенность в том, что ее подключения, идентификационные и прочие данные защищены от несанкционированного доступа, и, к счастью, это именно то, что может обеспечить компания Entrust.

Наше портфолио решений для управления доступом и идентификационными данными (IAM) включает в себя все необходимые инструменты для защиты вашего предприятия в требуемом масштабе. Один комплексный набор поможет вам реализовать многоуровневую и надежную стратегию, начиная с многофакторной аутентификации, устойчивой к фишингу, и заканчивая адаптивной аутентификацией типа «step-up».