W nie tak znowu odległych latach, gdy hasła były uważane za skuteczną ochronę, często podchodzono do nich w sposób – delikatnie mówiąc – niefrasobliwy. Nazwą użytkownika był zazwyczaj adres mailowy, hasło było krótkie, łatwe do zapamiętania i związane z czymś, co znamy (np. imieniem psa). Te czasy to już na szczęście przeszłość, bo nawet w tych firmach, które wciąż polegają wyłącznie na hasłach, widać jednak pewną zmianę w zachowaniu użytkowników i administratorów.

– W przedsiębiorstwach, w których istnieje jako taka świadomość w obszarze cyberbezpieczeństwa, ale też bardzo mocne ograniczenia budżetowe, stosuje się zarządzanie polityką haseł. Nadaje im się wymagania co do długości, rodzaju użytych znaków oraz wymusza cykliczne zmiany hasła, uwzględniając wcześniejszą historię zmian. Takie rozwiązanie co prawda nie jest najlepsze, ale dobrze, że w ogóle jest stosowane – mówi Jakub Jagielak, lider technologiczny w obszarze cyberbezpieczeństwa w Atende.

Na przestrzeni ostatnich lat zaszło wiele zmian w sposobach realizacji dostępu do wszelkiego rodzaju zasobów. Nowa normalność to dziś praca hybrydowa albo nawet całkowicie zdalna. W budowaniu cyberbezpieczeństwa stosowane od dawna podejście „zamku i fosy” (wokół firmowej sieci) przestaje być efektywne z perspektywy nie tylko ochrony, ale również wygody użytkownika. Za trendami muszą podążać sposoby i narzędzia uwierzytelniania. Dziś hasło to za mało, nawet naprawdę skomplikowane. Proces uwierzytelniania bazujący tylko na nim lub czymkolwiek innym, co człowiek zna, to proszenie się o kłopoty.

Kilka składników zamiast hasła  

W nowej rzeczywistości rośnie zainteresowanie rozwiązaniami MFA (Multi-Factor Authentication), czyli uwierzytelnienia wieloskładnikowego, najczęściej realizowanego w formie dwuskładnikowej (2FA). Przy odpowiedniej implementacji daje ono wyraźny wzrost bezpieczeństwa i ogranicza kradzieże tożsamości. Jeśli hasło wyciekło, to – dajmy na to – bez urządzenia mobilnego, które służy jako drugi wektor uwierzytelnienia, napastnikowi na niewiele się przyda.

– To, że fizycznie nie siedzimy już przy swoich służbowych biurkach, nie zmienia faktu, że potrzebujemy stałego i bezpiecznego dostępu do naszych narzędzi – mówi Michał Porada, Business Development Manager Cisco Security w Ingram Micro.– Z tego samego powodu firmy coraz chętniej migrują do chmury: dla prostego dostępu do zasobów czy współużytkowania dokumentów. Jak wtedy upewnić administratora systemu, że dostęp uzyskuje uprawniona osoba? W takim przypadku 2FA to podstawa.

Najbliższa przyszłość należy więc do dwuskładnikowego, czy nawet kilkuskładnikowego uwierzytelniania, w którym oprócz tradycyjnej metody (login plus hasło) stosuje się dodatkowe składniki potwierdzające, że osoba, która się właśnie loguje jest tą, za którą się podaje: token sprzętowy lub programowy, kod SMS albo wiadomość push.

– Jako dodatek do hasła, silną metodą podwójnego uwierzytelnienia jest klucz sprzętowy, z tego powodu, że generowanie drugiego składnika odbywa się poza systemem komputera. Token nie ma połączenia z internetem, więc hakerzy nie są w stanie go przejąć. Popularnym i dobrym rozwiązaniem są też aplikacje na smartfonie, ale tutaj nie można już wykluczyć kompromitacji urządzenia – mówi Jakub Jagielak.

Wymieniając inne sposoby weryfikacji tożsamości niż hasła, Michał Sanecki, architekt rozwiązań IT w NetFormers, zwraca uwagę na dane biometryczne. W tym sposobie uwierzytelniania wykorzystywane są unikalne cechy biologiczne osoby, aby zweryfikować jej tożsamość. System może analizować odciski palców, głos, siatkówkę, rysy twarzy itp. Dane biometryczne są bezpieczne, ponieważ są prawie niemożliwe do podrobienia lub powielenia. Metoda ta jest również przyjazna dla użytkownika – skany są szybkie, a sam sposób uwierzytelnienia całkiem wygodny. Nie trzeba pamiętać kodu ani nosić przy sobie urządzenia zewnętrznego. Jednak, aby ograniczyć ryzyko włamania, lepiej rozszerzyć podejście do zabezpieczeń.

– Hasło pozostaje ważnym czynnikiem, pod warunkiem, że nie jest używane samodzielnie. To samo dotyczy biometrii, która również ma swoje wady i w pewnych sytuacjach może okazać się zawodna. Dlatego wdrażamy rozwiązania, które łączą dwa lub więcej mechanizmów bezpieczeństwa dostępu do zasobów IT, w tym aplikacji i urządzeń. Zapewniają one bezpieczny dostęp do zasobów sieciowych, wykorzystujący właśnie wielopoziomową autentykację. Wspieranych w nich jest wiele metod uwierzytelniania, chociażby za pomocą aplikacji mobilnej, tokena, wiadomości SMS, czy czujników biometrycznych – mówi Michał Sanecki.

Artykuł Jak hasło staje się przeżytkiem pochodzi z serwisu CRN.

Przez długie lata technologie IT i OT były w przemyśle ściśle rozdzielone. Jednak wskutek konwergencji IT/OT systemy przemysłowe z ich specyficznymi protokołami komunikacyjnymi nie są już odizolowane – poprzez wprowadzenie technologii cyfrowych przemysł staje się coraz bardziej połączony z „resztą świata”. W efekcie jest również coraz bardziej narażony na cyberzagrożenia. W rzeczywistości staje się jednym z najczęściej atakowanych sektorów gospodarki. Dlatego, aby uniknąć konsekwencji potencjalnie katastrofalnego ataku, absolutną koniecznością w ochronie dostępu do danych, systemów i urządzeń przemysłowych mających wpływ na właściwe działanie kluczowej infrastruktury, jest zagwarantowanie jej cyberbezpieczeństwa.

Nic dziwnego, że rosnąca liczba ataków i zagrożeń dla systemów informatycznych prywatnych firm i organizacji publicznych określanych jako Operatorzy Usług Kluczowych skłoniła Unię Europejską do wydania dla nich rekomendacji dotyczących standardów bezpieczeństwa – w formie Dyrektywy NIS. Wśród nich znajdują się: kontrola kont administratorów, uwierzytelnianie czy zarządzanie prawami dostępu.

Rozwiązania Wallix zabezpieczają nie tylko tożsamość IT i dostęp, ale także chronią architekturę systemów automatyki przemysłowej i sterowania (IACS), oferując scentralizowaną kontrolę połączeń z wewnątrz i zewnątrz oraz udostępniając skuteczne narzędzia śledzenia oraz audytu w ramach utrzymania i administracji. Oprogramowanie WALLIX przeznaczone dla stacji końcowych pozwala na tzw. utwardzenie systemu operacyjnego i pełną kontrolę przywilejów dla aplikacji, procesów czy użytkowników. Ma to szczególe zastosowanie w przypadku systemów operacyjnych z rodziny Microsoft Windows, dla których przestano publikować poprawki. W efekcie rozwiązania Wallix umożliwiają Operatorom Usług Kluczowych zapewnianie zgodności i ochrony krytycznej infrastruktury.

Artykuł Wallix ułatwia zapewnienie zgodności z Dyrektywą NIS pochodzi z serwisu CRN.

– Nie było czegoś takiego jak w ubiegłych latach, że jeśli projekty były przesuwane w czasie, to tylko na 1-2 kwartały – podkreśla Paweł Rybczyk, Senior Territory Sales Manager CEE&CIS w Wallix.

Teraz powinno być już lepiej

Są jednak optymistyczne przesłanki, by twierdzić, że czas sprzedaży oprogramowania do zabezpieczania dostępu dopiero się zaczyna. Wcześniej budżety musiały zostać przeznaczone na sprzęt, więc zeszłoroczne inwestycje na IT dotyczyły zakupów laptopów, serwerów, rozwiązań do wideokonferencji itp. W tym roku są już pierwsze oznaki innego podejścia. Klienci, dysponując niezbędną infrastrukturą sprzętową i połączeniami VPN, chcą teraz lepiej nadzorować to, co się dzieje w ich środowisku IT.

Na decyzje o zakupie lepszej ochrony bez wątpienia wpływać będzie nagłaśnianie poważnych incydentów bezpieczeństwa w Polsce, takich jak ataki na Małopolski Urząd Marszałkowski czy CD Projekt. Coraz częściej dochodzi do nich w naszym kraju, a pytani przez CRN Polska integratorzy twierdzą, że powoływanie się na te i podobne przykłady bardzo pomaga w rozmowach.

– Ponieważ teraz stały się zdalnymi nawet te zewnętrzne usługi, które wcześniej były realizowane na miejscu w firmie, to klienci chcą mieć lepszy wgląd w zasady takiego dostępu – twierdzi Paweł Rybczyk. – I niekoniecznie kontrolowani muszą być użytkownicy z uprawnieniami superadmina. Firmy chcą wiedzieć, kto i kiedy się łączy, a dodatkowo rejestrować, co robi. Za tym idzie integracja rozwiązań IAM/PAM z uwierzytelnianiem dwuskładnikowym.

Większe zainteresowanie zarządzaniem dostępem przejawia też przemysł, bowiem w zakładach produkcyjnych część czynności, w tym związanych z utrzymaniem czy serwisem urządzeń, zaczęła być wykonywana zdalnie. Wobec konieczności rygorystycznej kontroli dostępu wymagane są profesjonalne zabezpieczenia.

Hasła prędko nie odejdą

Przeszło dwa lata temu Gartner przewidywał, że do 2022 r. 60 proc. korporacji i globalnie działających przedsiębiorstw oraz 90 proc. średnich przedsiębiorstw wdroży metody bezhasłowe w ponad 50 proc. zastosowań, co miało być ogromnym wzrostem w porównaniu z 5 proc. w 2018 r. Na początku 2021 można mieć jednak wątpliwości, czy już za rok hasła znajdą się w odwrocie. Rzeczywiście, postęp techniczny w biometrii i rozwój standardów takich jak FIDO2 sprawiają, że trend „passwordless” przybiera na sile. Powstają ciekawe rozwiązania bazujące na biometrii behawioralnej, która jest połączeniem biometrii i analizy behawioralnej UBA (User Behavior Analytics), czyli uczenia maszynowego – rejestrującego standardowe zachowania użytkownika i alarmującego, gdy odbiegają one od normy. Przykładem może być rozwijana przez polski startup usługa Digital Fingerprints.

Pytani przez CRN Polska dostawcy i integratorzy nie zauważają jednak, by klienci gremialnie rezygnowali z haseł. Zwracają przy tym uwagę, że samo hasło nie powinno być jednak podstawą udzielenia dostępu do systemów newralgicznych. Reguły polityki związane z hasłami zmieniają się, ale pewne przyzwyczajenia użytkowników zostają. Gdy korzysta się z prostych haseł, trzeba być świadomym, że jest wiele metod, które mogą być wykorzystane przez napastników do ich złamania. Kolejnym zagrożeniem jest wykorzystywanie tych samych haseł przez użytkowników w wielu serwisach.

Dlatego bardzo wzrosło zainteresowanie rozwiązaniami MFA (uwierzytelniania wieloskładnikowego, najczęściej 2FA) w najróżniejszej formie. Jednakże z jakichkolwiek systemów klienci by nie korzystali, jeżeli nie będą za tym stały odpowiednie reguły polityki bezpieczeństwa, ich egzekwowanie i monitoring, na nic całe przedsięwzięcie.

– Warto pamiętać o zasadzie „least privilege”, czyli nieudzielania użytkownikom większego dostępu niż potrzebują do wykonania danego zadania – mówi Michał Porada, Business Development Manager Cisco Security w Ingram Micro. – Im mniej dostępu, szczególnie do zasobów newralgicznych, tym administratorzy lepiej śpią. Uprawnienia powinny być okresowo sprawdzane, ponieważ w firmach role pracowników często mogą się zmieniać, zaś treść dokumentu polityki bezpieczeństwa należy weryfikować. Uwierzytelnianie się za pomocą 2FA powinno być stosowane wszędzie, gdzie to możliwe.

Według Pawła Zwierzyńskiego, inżyniera sieciowego w Vernity, istotne jest, by użytkownicy posiadali uprawnienia do systemów zgodnie z funkcją biznesową jaką sprawują w firmie. Bardzo często są one jednak zbyt duże – zarówno w warstwie sieciowej, jak i systemowej.

– Nawet jeśli na początku zasady dostępu odpowiadają pełnionym funkcjom biznesowym, to po pewnym czasie ich spójność nie zostaje zachowana, czy to przez błędy administratorów, czy przez umyślne dawanie większych uprawnień dla „świętego spokoju”. Dlatego tak ważne jest ich cykliczne rewidowanie – mówi przedstawiciel poznańskiego integratora.

Michał Porada sugeruje, by zadawać klientowi wiele pytań o rzeczy, które mają bezpośredni wpływ na bezpieczeństwo w jego firmie. Przykładowo: co się stanie po podłączeniu małego routera Wi-Fi do gniazdka LAN w ścianie obok drukarki? Czy zapewniony jest wgląd w aktywność pracowników? Z jakich aplikacji oni korzystają i w jakim stanie są stacje końcowe? Czy pracownik nie próbuje logować się do konkretnych systemów wewnętrznych z wykorzystaniem nieautoryzowanego urządzenia?

Czym jest Zero Trust?

Skrajnym ograniczeniem i pełną kontrolą dostępu, a ostatnio bardzo nośnym marketingowo hasłem, jest koncepcja Zero Trust, powstała już wiele lat temu. U jej podstaw leży konieczność weryfikowania wszelkich prób połączenia z systemem przed udzieleniem dostępu do niego. Zasadą jest brak zaufania do wszystkich i wszystkiego, nawet jeśli to coś podłączone jest już do sieci lokalnej.

– Model ten nie jest możliwy do wdrożenia za pomocą jednego „magicznego pudełka”, bo tak naprawdę pociąga za sobą wiele elementów funkcjonujących w infrastrukturze oraz dotyczy całkowitej zmiany podejścia w dostępie do danych i zasobów, a także reguł polityki z tym związanych – mówi Michał Porada. – W rezultacie mocno dotyka użytkowników końcowych i chociaż dużo się mówi o Zero Trust, to pełne wdrożenie nie jest w tym przypadku procesem ani szybkim i tanim, ani bezbolesnym.

Choć na rynku zaczęły się pojawiać kompletne oferty promowane pod szyldem Zero Trust, to jednak wielu specjalistów uważa, że nie są to tak naprawdę produkty gotowe do wdrożenia i użycia. Szyte na miarę podejście Zero Trust wymaga zwykle użycia różnych produktów, co powinno wynikać ze specyfiki konkretnego klienta. Wdrożenie trzeba poprzedzić weryfikacją wszystkich zasobów w infrastrukturze klienta oraz każdego dostępu i dopiero na tej podstawie wprowadzać ograniczenia. Problem polega na tym, że potrzebnej do tego wiedzy w przedsiębiorstwach brakuje. O ile strategiczne podejście wykazują jeszcze duże firmy, o tyle mniejsze nie mają wystarczającego know-how.

Dopiero, gdy posiada się konsekwentnie realizowaną strategię bezpieczeństwa, można wdrażać różne produkty, które pomogą w realizacji modelu Zero Trust. Dlatego integrator oferujący taki produkt powinien klientowi pomóc w stworzeniu strategii, która będzie wystarczająca nie na miesiąc lub dwa, ale znacznie dłużej. Swoją drogą, dzięki temu, niejako przy okazji, relacja z klientem także staje się długoterminowa.

– W tym kontekście Zero Trust jest czymś pozytywnym. Klienci chcą o tym podejściu rozmawiać, a dla partnerów to szansa zrobienia z bezpieczeństwa projektu, a nie sprzedaży tego czy innego produktu – mówi Paweł Rybczyk.

W kontrze do Zero Trust wydają się działać niektórzy dostawcy rozwiązań bazujących na sztucznej inteligencji. Twierdzą, że zamiast zamykać wszystko, lepiej jest wdrożyć coś, co nauczy się prawidłowych zachowań w danym środowisku, wyszukując anomalie i reagując na nie. Ten rynek jest jednak wciąż w fazie rozwoju.

Zdaniem integratora

Paweł Zwierzyński, inżynier sieciowy, Vernity  

Z początkiem pandemii wyzwania, jakie pojawiły się u naszych klientów, dotyczyły głównie problemów wydajnościowych. Ich infrastruktury nie były gotowe na tak duży wzrost liczby użytkowników pracujących zdalnie. Później na pierwszy plan wyszły kwestie związane z bezpieczeństwem. Większość klientów korzysta tylko z haseł, co stanowi duże zagrożenie. Często dane uwierzytelniające do VPN to również poświadczenia korporacyjne, na przykład do Office 365, więc atakujący, przechwytując je, uzyskuje dostęp do infrastruktury – mieliśmy taki przypadek. Przy dostępie tylko na podstawie haseł i bez polityki w tym obszarze w każdej firmie znajdzie się użytkownik z hasłem typu „Zima2021!”. Klienci są coraz bardziej świadomi, że hasła to za mało i zaczynają postrzegać wieloskładnikowe uwierzytelnianie jako konieczne. Kolejne zagrożenie dotyczy tego, że domowe biura stały się w sumie zdalnymi oddziałami firm, a w domu działają urządzenia IoT. Łatwo się do nich włamać i przez nie uzyskać dostęp do infrastruktury firmowej.

  

Przyspieszenie na rynku usług bezpieczeństwa

Warto odnotować, że wśród klientów biznesowych zaczyna rosnąć zainteresowanie modelem subskrypcyjnym. Użytkownicy tacy mniej chętnie inwestują w wieczyste licencje, których cena zakupu jest odpowiednio większa, choć potem nie trzeba już nic płacić. Dzieje się tak, gdy przedsiębiorcy nie są pewni, jak rozwinie się sytuacja w gospodarce. Przy czym są klienci, którzy nie tylko decydują się na abonament, ale nierzadko chcą, by wybrane rozwiązanie ochronne było zarządzane przez dostawcę usługi.

– Nie chodzi tu o oferty SOC, których przybyło w ostatnich latach, ale ogólnie o usługę bezpiecznego dostępu do infrastruktury, która może bazować na różnych rozwiązaniach ochronnych – dodaje Paweł Rybczyk. – Może to być VPN oraz IAM/PAM z usługą zarządzania dostępem dla klienta, który nie dysponuje odpowiednim zespołem technicznym, by mógł tym zajmować się sam, albo nie ma czasu na kolejne szkolenie swojego przeciążonego personelu IT.

Wcześniej model MSSP z dużymi oporami przebijał się w Polsce do świadomości klientów, dostawców i ich partnerów. Wydaje się, że pandemia i krótkoterminowe planowanie wyraźnie zwiększyły trend świadczenia usług na zasadzie abonamentu, którymi zainteresowany jest nie tylko sektor prywatny, ale także publiczny. Dzięki temu integratorzy coraz częściej będą musieli nie tylko dostarczyć klientowi same produkty, jak przełącznik, router, firewall czy inne zabezpieczenia, ale „opakować” je kompleksową usługą, związaną z zarządzaniem czy integracją z innymi systemami. Co ważne, taki pakiet będzie wynikać z opracowanej wspólnie przez obie strony strategii bezpieczeństwa.

Jak chmura zmieni rynek zabezpieczeń?

Są sygnały z rynku, że klienci przenoszący się do chmury rezygnują z wdrożonych wcześniej we własnej infrastrukturze zabezpieczeń, w tym rozwiązań zarządzania dostępem. Gdy chodzi o chmurę i jej bezpieczeństwo, osobom odpowiedzialnym za IT w firmach zdarza się wpadać z jednej skrajności w drugą. Najpierw cloud był środowiskiem, któremu w ogóle nie należy ufać. Obecnie z kolei można spotkać się z opiniami, że po migracji do chmury już nie trzeba martwić się o narzędzia ochrony, bo wszystko zapewnia jej operator.

Takim klientom warto przypomnieć, kto odpowiada za bezpieczeństwo chmury i w jakim stopniu. Wszyscy dostawcy chmury publicznej proponują model odpowiedzialności współdzielonej z użytkownikiem. W przypadku często wybieranej przez przedsiębiorstwa usługi IaaS operator jest odpowiedzialny za całą infrastrukturę obsługującą – za usługi podstawowe, oprogramowanie do wirtualizacji i sprzęt, łatanie luk i naprawianie błędów w tym obszarze, a także zasilanie i redundancję centrum danych. Rzeczywiście, operator wnosi odporność na zagrożenia, ale tylko niektóre, na przykład ataki typu DDoS.

Dla użytkownika współdzielona odpowiedzialność w usłudze IaaS oznacza, że odpowiada on za to, co wnosi, czyli za systemy i aplikacje. Zarządzanie nimi, ich aktualizowanie i łatanie jest po jego stronie. Co ważne (choć może się to wydać mniej oczywiste), również do niego należy konfiguracja sieci i jej zabezpieczeń. Musi więc zadbać o wdrożenie także narzędzi do kontroli dostępu i uwierzytelniania, najlepiej zintegrowanych w jeden system ochrony dla wykorzystywanego najczęściej środowiska hybrydowego.

– Wykorzystanie chmury wiele zmienia, bo zapewnia wygodną obecnie decentralizację zasobów i możliwość korzystania z usług SaaS – mówi Michał Porada. – Trzeba jednak pamiętać, że dostęp do instancji chmurowych i przechowywanych tam danych również musi zostać odpowiednio zabezpieczony. Przechwycenie loginu i hasła bądź typowe błędy, na przykład przy ustaleniu dostępu do danych, mogą być początkiem dramatu.

Dostawcy wciąż dostosowują swoje oferty – proponują produkty, które są w stanie zabezpieczać dostęp zarówno w chmurze (w tym również w modelu multi-cloud), jak i on-premise. Dla klientów, którzy posiadają jakąś własną infrastrukturę i jednocześnie obawiają się uzależnienia od jednego usługodawcy, może to być lepszy wybór w porównaniu z natywnymi dla chmury narzędziami, które są oferowane przez jej operatorów.

Zdaniem producenta