Silverfort. Двухфакторная аутентификация Россия Казахстан Беларусь

Как обеспечить МФА в изолированных корпоративных сетях

В данной статье мы рассмотрим риски и подходы к реализации МФА в сетях, изолированных от Интернета, на основе решения Silverfort.

Что такое изолированная сеть?

Сети, изолированные по принципу «воздушного зазора» (air-gapped) — это компьютерные сети, у которых нет интерфейсов для подключения к внешнему миру. Очевидно, что это достаточно радикальная мера обеспечения безопасности, поэтому такой подход обычно применяется в организациях с крайне чувствительными ресурсами, которым необходим максимальный уровень защиты.

Например, изолированные сети используются компаниями КИИ (обеспечение энерго- и водоснабжения), а также организациями, в которых работают с различными видами совершенно секретных систем и данных (подрядчики министерства обороны, государственные структуры, вооруженные силы). Обычно эти организации полностью изолируют свои наиболее критичные сегменты сети, благодаря чему они, по крайней мере, в теории, отрезаны от любых Интернет-подключений.

В действительности изолированные сети не так безопасны, как кажется

Такая концепция хорошо выглядит на бумаге, но на практике эти сети гораздо менее изолированы, чем предполагают многие операторы. В большинстве случаев все же есть необходимость периодического подключения к внешнему миру. Например, операторам может потребоваться передать в защищенный сегмент сеть внешние файлы. Например, обновления ПО могут передаваться в изолированную сеть с помощью USB-накопителя. Кроме того, время от времени необходимо обращаться за поддержкой удаленного вендора. Это означает, что по сути сеть уже не полностью изолирована от внешней среды. Всем известна история с вредоносом Stuxnet, который проник в изолированные сети через зараженные съемные USB-носители.

Значит, в изолированные сети все-таки можно проникнуть

Оказавшись внутри изолированной сети, злоумышленники могут начать латеральное (внутреннее) движение, чтобы продвинуться вглубь и ближе к ценным ресурсам. Это осуществляется с помощью украденных паролей и учетных записей. Так, в 2017 году при атаках NotPetya злоумышленники использовали известный инструмент Mimikatz, причем этот метод распространения работал не только в ИТ-сетях с выходом в Интернет, но и в изолированных сегментах АСУ ТП.

Изолированные сети вовсе не столь безопасные, как может показаться. Такой подход к обеспечению защиты мог казаться надежным в прошлом, но современные угрозы и способы реализации атак показали, что изоляция сетей не обеспечивает их непроницаемости и защищенности, и этот риск необходимо учитывать.

Трудности защиты изолированных сетей

Изолированные сети содержат особо ценные ресурсы, поэтому организации такими сетевыми сегментами остро нуждаются в гарантии того, что изолированные сети действительно защищены не только от угроз внешнего мира, но и от злоумышленника, которому удалось закрепиться внутри сети.

Проблема в том, что достичь этого нелегко.

Многие изолированные сети содержат критичные системы, которые должны стабильно работать и быть доступны круглосуточно 365 дней в году, поэтому их нельзя перезапускать для установки ПО или патчей. На другие проприетарные системы распространяются жесткие гарантийные условия вендора, по которым на серверах нельзя устанавливать какое-либо стороннее ПО. Кроме того, в этих сетях можно часто обнаружить устаревшие, но до сих пор активные системы, хотя они уже не поддерживаются своими производителями. Обычно это означает, что эти системы больше не поддерживаются и вендорами защитных решений. Таким образом, развертывание программных агентов для защиты систем в изолированных сетях часто является невыполнимой задачей.

Критичные системы должны быть стабильны и доступны, поэтому организациям также необходимо учитывать, как использование защитных средств будет влиять на скорость и стабильность работы приложений и устройств. Если защитное средство генерирует слишком много ложных срабатываний, или, что еще хуже, блокирует легитимные процессы, то оно крайне негативно влияет на работу системы. В этой ситуации решения для многофакторной аутентификации (МФА) обладают преимуществом, так как они предоставляют не только два варианта — разрешить или запретить доступ, — но позволяют пользователям самим подтверждать легитимные запросы доступа без привлечения службы поддержки или SOC. Следовательно, это снижает количество ложных срабатываний, оптимизирует процессы и минимизирует количество прерываний в работе пользователей.

Однако сегодня многие средства защиты информации, особенно решения для аутентификации, требуют подключения к сети Интернет. Очевидно, что из-за этого они не подходят для изолированных сетей. В итоге остается не так уж много вариантов для должной защиты таких сетей, и зачастую безопасность большинства изолированных сред не обеспечивается должным образом.

Требования к безопасной аутентификации в изолированных сетях

Как уже упоминалось, многофакторная аутентификация (МФА) — крайне важное средство защиты информации, позволяющее предотвратить несанкционированный доступ. Однако оно должно соответствовать жестким требованиям изолированных сетей.

Для защиты изолированных сетей нужны решения, обладающие следующими свойствами:

  • работа без подключения к Интернету;
  • не требуются агенты и изменения кода приложений, так как зачастую развернуть агенты или изменить код невозможно для многих высокодоступных, устаревших или сторонних систем;
  • минимизируют количество прерываний в работе и не оказывают негативного влияния на стабильность и доступность чувствительных систем и процессов;
  • требование, которое ранее не упоминалось: решения для безопасной аутентификации в изолированных сетях должны предоставлять аппаратные токены, которые считаются наиболее безопасными и могут использоваться там, где использование личных телефонов запрещено.

Из соображений безопасности и из-за отсутствия подключения к Интернету в изолированных сетях вместо мобильных устройств для аутентификации используются аппаратные токены. Токены с поддержкой стандарта аутентификации FIDO2 считаются более безопасными, чем устаревшие OTP-токены, которые можно украсть или потерять, к тому же они уязвимы к атакам «человек посередине». Из-за этого FIDO2 является предпочтительным стандартом, применяемым в аппаратных токенах. Также считается, что токен FIDO2 исключает реализацию как новейших, так и традиционных фишинговых атак.

Однако возможности токенов FIDO2 изначально ограничены. Дело в том, что для их использования нужны защищенные приложения, которые бы применяли поддерживающие их протоколы webauthN или U2F. Очень сложно, если вообще возможно, вносить  изменения в защищаемые системы, чтобы они могли поддерживать эти протоколы, поэтому с такими токенами может работать небольшое число приложений.

Таким образом, на сегодняшний день системы в изолированных сетях редко бывают хорошо защищены.

Безопасная аутентификация в изолированных сетях с помощью Silverfort

С момента своего появления Silverfort помогает организациям любых типов защищать активы, которые долго считались незащищаемыми, например, ИТ-инфраструктура, файловые серверы, базы данных, устройства IoT и даже системы АСУ ТП, такие как человеко-машинные интерфейсы (HMI) и производственные серверы. Недавно Silverfort расширил свои возможности по обеспечению безопасной аутентификации на изолированные сети, предоставляя полностью локальное развертывание, при котором не нужны Интернет-соединения, программные агенты на серверах или изменения кода в системах, находящихся под защитой. В качестве второго фактора используются аппаратные токены FIDO2.

1.  Новый режим развертывания без подключения к Интернету: начиная с версии 3.0, Silverfort предоставляет режим полностью локального развертывания. В этом режиме Silverfort работает как виртуальная машина и предоставляет полную функциональность, не вызывая сторонних функций. Обратите внимание, что Silverfort также поддерживает вариант SaaS-развертывания и гибридного развертывания в облаке и на площадке заказчика.

2.  Безагентная архитектура, не требующая менять код: уникальная инновационная архитектура Silverfort позволяет организациям использовать многофакторную аутентификацию на любых системах или ресурсах, без программных агентов на защищаемых серверах, а также без изменения кода или внедрения новых протоколов аутентификации.

3.  Аппаратные токены, совместимые с FIDO2: Silverfort предоставляет организациям выбор поставщика аутентификатора для изолированных сред, обеспечивая гибкую интеграцию с поддержкой всех аппаратных токенов FIDO2.

Благодаря такой интеграции Silverfort бесшовно закрывает технологический разрыв между современными токенами FIDO2 и существующей инфраструктурой предприятий, позволяя заказчикам использовать безопасные аппаратные токены без внесения изменений в инфраструктуру или приложения.

Благодаря инновации Silvefort МФА можно применять для защиты систем в изолированных сетях, не внося изменений в сеть, не используя пакеты разработчиков (SDK), агенты или прокси. МФА позволяет не только проверять подлинность пользовательских учетных записей, но и предотвращать латеральное движение, если злоумышленник попадет во внутреннюю сеть.

Заключение

В организациях с крайне чувствительными ресурсами изоляция сети может стать правильным выбором для ее защиты — но только в том случае, если организации осознают и компенсирует слабые места, которые присущи таким средам. Благодаря платформе безагентной аутентификации Silverfort заказчики могут усилить безопасную аутентификацию, проверяя подлинность пользовательских учетных записей в изолированных сетях, что добавляет компенсирующие защитные меры и обеспечивает непрерывную защиту доступа к наиболее критичным активам.

Авторы — Рон Расин и Ревитал Аронис, Silverfort

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/