Оглавление
Мы уже почти три года живем в новой реальности, поставившей невиданные ранее задачи перед российскими организациями с точки зрения угроз информационной безопасности. Уход иностранных производителей из всех сегментов ИТ- и ИБ-решений стал мощным катализатором для рынка, ускорив процесс импортозамещения.
Автор: Андрей Шпаков, руководитель проектов по информационной безопасности в Компании «Актив»
Фундаментом любой информационной системы является операционная система и доменная структура. Эти компоненты обеспечивают функциональность, безопасность и управляемость информационной системой предприятия. Они предоставляют возможности по сетевому взаимодействию и работе с аппаратным обеспечением серверов и рабочих станций для прикладного ПО, будь то ИТ-сервис или СЗИ.
Одной из ключевых задач, стоящих сегодня перед заказчиками, является обеспечение надежной защиты учетных записей в операционных системах. Традиционная аутентификация, основанная лишь на вводе логина и пароля, остается уязвимой перед угрозами, такими как подбор паролей, фишинг или утечка учетных данных. Для повышения уровня безопасности настоятельно рекомендуется внедрение многофакторной аутентификации (MFA), которая добавляет дополнительные слои проверки личности пользователя. Однако в условиях активного перехода на отечественные операционные системы и доменные контроллеры возникает вопрос: как адаптировать и внедрить многофакторную аутентификацию в этой новой реальности?
Нормативные предпосылки
Внедрение многофакторной аутентификации сегодня обусловлено также и строгими требованиями регуляторов. Особенно это заметно в финансовом секторе, где обязательность использования MFA зафиксирована в трех ключевых документах: ГОСТ Р 57580.1–2017, новом стандарте Банка России СТО БР БФБО–1.8–2024, а также в международном стандарте PCI DSS.
Кроме того, необходимость применения многофакторной аутентификации косвенно отражена в мерах информационной безопасности, предусмотренных приказами ФСТЭК России №№ 17, 21, 31 и 239. Эти нормативные документы и сложившиеся тренды на рынке позволяют выделить основные категории организаций, для которых внедрение MFA является приоритетной задачей:
компании с высокой зрелостью в области кибербезопасности либо те, кто уже пострадал от последствий атак;
организации финансового сектора, операторы государственных информационных систем и субъекты КИИ.
Особое внимание стоит обратить на перспективы усиления требований ФСТЭК России. Регулятор ведет работу над обновлением ключевых приказов, и в ближайшем будущем можно ожидать, что использование многофакторной аутентификации станет еще более жестко регламентированным.
В этих уловиях сегмент MFA в России стремительно развивается. По данным МТС RED [1], его объем в 2023 г. составил 3,1 млрд руб., а к 2027 г. ожидается достижение отметки в 5,6 млрд руб. Это соответствует среднегодовому темпу роста около 17%, что находится в согласии с прогнозами общего развития рынка ИБ в России.
Три «Рутокена» – три технологии
Для решения задач аутентификации Компания «Актив» предлагает три устройства, основанных на разных технологиях.
Рутокен ЭЦП 3.0 NFC – универсальный продукт, использующий инфраструктуру открытых ключей (PKI). Он подходит как для электронной подписи, так и для аутентификации.
Рутокен OTP – аппаратное средство для генерации криптографически вычисляемых одноразовых паролей, которое обеспечивает усиленную аутентификацию и повышает безопасность доступа.
Рутокен MFA – первый отечественный токен на базе технологии FIDO2, позволяющий полностью отказаться от ненадежных паролей при работе с веб-приложениями. Это устройство обеспечивает строгую аутентификацию и соответствует самым высоким стандартам безопасности.
Использование аппаратных аутентификаторов Рутокен имеет ряд преимуществ для заказчиков:
наличие материального носителя ассоциируется с надежностью и безопасностью;
модель «один пользователь – одно устройство» упрощает понимание и планирование расходов;
Рутокен – лидер на рынке аппаратных средств для электронной подписи и аутентификации, этот бренд хорошо известен, и клиенты ему доверяют;
в сфере ИБ все ведущие компании поддерживают токены и смарт-карты Рутокен в той или иной форме.
Но Рутокен – это не только надежные аппаратные ключи для электронной подписи. Компания «Актив» делает уверенные шаги в направлении развития современных программных решений для аутентификации, отвечая на вызовы, с которыми сталкиваются заказчики в России. Посмотрим на примерах, как работают эти решения.
Аутентификация для Linux
Устройства линейки Рутокен ЭЦП 3.0 могут использоваться в качестве основного компонента решения вместо связки логин-пароль во всех известных операционных системах, включая отечественные. На токене или смарт-карте может храниться либо сертификат, либо сложный пароль, но для применения сценария с сертификатами понадобится развернуть в компании инфраструктуру PKI.
Таким образом, получается комплексное решение, позволяющее обеспечить надежную двухфакторную аутентификацию при входе на рабочие станции, адаптированное под современные требования и отечественные программные продукты. Существует несколько вариантов интеграции токена или смарт-карты в информационную систему.
Во-первых, можно воспользоваться встроенными средствами ОС для поддержки токенов и смарт-карт. Этот вариант можно назвать условно бесплатным, но поскольку операционные системы на базе Linux не имеют механизмов быстрой настройки аутентификации, то все операции придется проводить вручную на каждом рабочем месте.
Второй вариант – это использование IAM-системы. Такой вариант существенно расширит возможности аутентификации. Однако, внедрение IAM – процесс достаточно долгий и требующий от заказчика определенных организационных действий.
Компания «Актив» разработала третий, промежуточный вариант – Рутокен Логон. Это ПО существенно снижает усилия на настройку двухфакторной аутентификации в Linux, расширяя при этом функциональность системы, и сто’ит относительно недорого.
Рутокен Логон предназначен для расширения возможностей аутентификации операционных систем на базе Linux и сокращения затрат на настройку аутентификации для инфраструктур любого размера. Аутентификация возможна по сертификату, либо по длинному и сложному паролю (63 символа), который хранится на токене. В таком сценарии пользователю известен только короткий PINкод от токена, но не сам пароль.
В первом релизе Рутокен Логон поддерживаются три самых популярных российских операционных системы (Astra Linux, РЕД ОС и ОС «Альт») и все актуальные контроллеры домена на российском рынке (Active Directory, ALD Pro, FreeIPA, SambaDC). ПО позволяет настраивать 2FA по сертификату и паролю на токене или смарт-карте и устанавливать политики безопасности при извлечении токена, а также имеет свои экраны входа и блокировки компьютера.
При этом готовятся инструменты, которые позволят централизованно и гибко масштабировать внедрение для большого количества рабочих мест. Планируется также интеграция продукта с системой управления ключевой информацией Рутокен KeyBox. Выход Рутокен Логон запланирован на I квартал 2025 г.
Помимо задачи защиты входа пользователя в свое рабочее место, аутентификаторы Рутокен решают и другие задачи.
Аутентификация в СЗИ от НСД
Чаще всего задача защиты рабочих станций реализуется с помощью аппаратных модулей доверенной загрузки или средств защиты от несанкционированного доступа. Ключевые носители Рутокен ЭЦП 3.0 позволяют идентифицировать и аутентифицировать пользователей и администраторов в такие средства.
Токены и смарт-карты Компании «Актив» поддерживаются во всех отечественных продуктах этого класса, включая замки «Соболь», «Аккорд», комплексы VipNet SafeBoot и Safepoint, DallasLock, Secret Net и Secret Net Studio и многие другие.
Беспарольный FIDO2 для защиты веб-приложений
Существует много подходов для защиты доступа в веб-приложения, но наиболее инновационным и удобным является использование технологии FIDO2.
FIDO2 – часть спецификации WebAuthn, которая была разработана консорциумом FIDO Alliance для реализации беспарольной аутентификации пользователей в Интернете. В основе технологии лежит стойкая ассиметричная криптография, соответствующая международным стандартам. Как же работает такое решение?
На веб-сервис добавляются библиотеки для поддержки спецификации FIDO2, либо заказчик использует IAMсистему с поддержкой данного стандарта.
Далее пользователям раздаются пустые токены, которые они могут купить сами или получить в своей организации.
В настройках своей учетной записи на веб-ресурсе пользователь выбирает опцию «добавить ключ безопасности», используя браузер. После нескольких несложных действий ключ оказывается добавленным, и пользователь может входить в свою учетную запись без ввода логина и пароля. Достаточно просто вставить ключ, ввести PIN-код и нажать на сенсорную кнопку.
Такой подход называется беспарольной (passwordless) аутентификацией и максимально просто реализуется для пользователя, поскольку не требует установки каких-либо драйверов практически на всех современных операционных системах и в браузерах.
Рутокен MFA – первая и пока единственная линейка отечественных устройств на базе технологии FIDO2. Она предназначена для замены «ушедших» из России ключей, таких как Yubikey и Feitian.
Аутентификация в облачных сервисах
Разработчики уделяют особое внимание вопросам интеграции устройств Рутокен с разнообразными сервисами.
Продукт Рутокен MFA полностью совместим с отечественными операционными системами и способен работать не только в корпоративной доменной структуре, но и предоставляет возможность входа в локальные учетные записи на компьютерах.
Более того, совместно с ведущими российскими ИТ-компаниями, такими как VK и Яндекс, реализована поддержка интеграции аутентификатора Рутокен MFA с провайдерами аутентификации VK ID и Яндекс ID. Сегодня Яндекс ID активно используется в экосистеме сервисов Яндекса, а VK ID обеспечивает аутентификацию в более чем пятнадцати облачных системах. Кроме того, популярные сервисы, включая Mail.Ru и платформу Nextcloud, уже поддерживают решение Рутокен MFA.
Аппаратные или программные аутентификаторы?
При выборе решения для аутентификации заказчики неизменно сталкиваются с дилеммой: отдать предпочтение программным или аппаратным средствам? Оба подхода имеют свои достоинства и недостатки, и выбор зависит от конкретных задач и приоритетов. Однако аппаратные решения обладают рядом преимуществ, которые делают их особенно привлекательными.
Аппаратные устройства обеспечивают максимальную защиту благодаря ограниченному числу векторов атак. Их операционная система закрыта, а взаимодействие с ними возможно исключительно через безопасные интерфейсы.
В отличие от программных решений, аппаратные устройства надежно защищают ключевые данные. Их извлечение с помощью вредоносного программного обеспечения невозможно.
Аппаратные решения значительно меньше зависят от операционных систем на рабочих станциях, ноутбуках, планшетах или смартфонах. Они мобильны, удобны в транспортировке и эффективны в условиях, где внедрение программных решений затруднено.
Для работы с аппаратными средствами, такими как токены или смарткарты, требуется лишь небольшая универсальная библиотека. В некоторых случаях, например, с использованием технологии FIDO, дополнительное программное обеспечение и вовсе не нужно.
Кроме того, аппаратные устройства нередко оснащены дополнительными уровнями защиты. Например, они могут использовать сенсорные кнопки для подтверждения операций, что позволяет убедиться в физическом присутствии пользователя.
В заключение
Устройства Рутокен являются передовыми аппаратными средствами пользовательской аутентификации на российском рынке. Совместно с другими средствами защиты они обеспечивают полный цикл MFA и позволяют решить любую задачу заказчика в этой области.
Реагируя на текущие потребности российских организаций, Компания «Актив» создает не только аппаратные, но и программные решения. В частности, такие продукты, как Рутокен Логон, позволяют реализовать комплексный подход к MFA, сочетая удобство использования с высокой степенью надежности в управлении аутентификацией.
https://www.cnews.ru/news/line/2024-02-02_analitika_mts_red_rynok_mnogofaktornoj
ITSec_articles