Вольфганг Герлих, главный консультант Cisco по информационной безопасности Duo Security: "Безопасность и производительность не должны быть взаимоисключающими факторами"
Вольфганг Герлих, главный консультант Cisco по информационной безопасности Duo Security: "Безопасность и производительность не должны быть взаимоисключающими факторами"
Представители компании Cisco рассказали об актуальных ИБ-трендах, главным из которых является отказ от паролей как от основного средства аутентификации. В компании убеждены, что внедрение беспарольных технологий - это тактический ход для поддержки инициатив по укреплению информационной безопасности, основанный на упрощении действий пользователей.
© ComNews
15.10.2020

По данным отчета, представленного компанией - владельцем генератора паролей LastPass, на среднестатистического сотрудника компании приходится в среднем 191 пароль. При этом 81% подтвержденных утечек данных происходят из-за взлома паролей. Однако, несмотря на это, во многих компаниях именно пароли остаются основным средством аутентификации, а 61% ИТ-руководителей полагаются в этом вопросе исключительно на предпочтения сотрудников. Такая практика небезопасна, так как, согласно отчету, 61% людей применяют один и тот же или похожий пароль для всех своих учетных записей. При этом в качестве паролей пользователи часто используют простейшие комбинации - даты рождения, имена родных или домашних питомцев. Соответственно, взлом таких паролей не представляет ни малейшего труда.

Выходом из сложившейся ситуации может стать переход к многофакторной аутентификации. И хотя, по данным отчета LastPass, пока только около трети предприятий используют многофакторную аутентификацию, эта практика получает все более широкое распространение. По словам главного консультанта Cisco по информационной безопасности Duo Security Вольфганга Герлиха, этому способствуют два фактора. Во-первых, технологии многофакторной аутентификации становятся все более ориентированными на потребителя, работать с устройствами и технологиями становится все более комфортно. Во-вторых, идет доработка стандартов и формирование передовых практик. Отраслевая ассоциация FIDO Alliance активно работает над изменением подхода к аутентификации, развивая открытые стандарты, которые начинают пользоваться все большим доверием. "Так, например, web-аутентификация (WebAuthn), являющаяся частью набора спецификаций FIDO2, написана и ратифицирована Консорциумом Всемирной паутины (World Wide Web Consortium, W3C), при участии Google, Mozilla, Microsoft, Yubico, Duo и других компаний. API WebAuthn позволяет серверам регистрировать и аутентифицировать пользователей с помощью криптографии с открытым ключом вместо пароля", - рассказал Вольфганг Герлих.

Эксперт Cisco отметил, что руководители отделов ИБ (CISO) нацелены на то, чтобы беспарольные технологии работали на уровне их предприятия, и интегрируют их в дорожные карты цифровой трансформации. На рынке уже представлены решения, отвечающие требованиям беспарольного будущего, однако они не всегда способны удовлетворить текущие требования предприятий к обеспечению информационной безопасности. В этой связи предприятиям необходимо с осторожностью подходить к выбору таких решений, оценивая их способность поддерживать текущие бизнес-процессы и решать долгосрочные цели и задачи. При этом консультант по информационной безопасности Cisco Ричард Аркдикон призывает не забывать, что, помимо многофакторной аутентификации, необходимо руководствоваться принципами нулевого доверия и прочими современными подходами к обеспечению ИБ. Также специалисты Cisco отметили, что скорость, с которой будет осуществляться переход в беспарольное будущее, во многом зависит от действий регуляторов и того, станет ли многофакторная аутентификация обязательным требованием, например, для подтверждения финансовых транзакций.

Вольфганг Герлих напомнил, что компания Duo Security, специализирующаяся на разработке систем идентификации (которую Cisco приобрела в 2018 г.) была пионером в создании инструментов бесшовной многофакторной аутентификации на основе push-уведомлений. "Как лидеры в индустрии безопасности, мы несем ответственность за оказание помощи пользователям, разработчикам и предприятиям, которые хотели бы участвовать в эволюции аутентификации", - завил он.

Согласно отчету "Беспарольные технологии - будущее аутентификации" (Passwordless: The Future of Authentication), подготовленному Duo Security, для перехода к беспарольной идентификации необходимо преодолеть пять основных этапов. Во-первых, следует выявить все процессы, в которых возможен отказ от пароля, и обеспечить для них надежную альтернативную аутентификацию. Во-вторых, необходимо оптимизировать и консолидировать рабочие процессы аутентификации. Затем нужно в целом повысить доверие к многофакторной аутентификации, после чего можно переходить к формированию беспарольного пользовательского опыта. Заключительным этапом является оптимизация набора инструментов для беспарольного доступа.

Вольфганг Герлих убежден, что повысить информационную безопасность можно, устранив пароль как основной фактор аутентификации. "На ноутбуках и ПК можно регистрироваться с помощью биометрических данных, используя технологии Secure Enclave и Trusted Platform Module (TPM) для приложений - Touch ID или Windows Hello. Для веб-приложений это будет, скорее всего, аутентификация на основе спецификации FIDO2, в которой используются стандарты WebAuthn (Web Authentication) и Client-to-Authenticator Protocol (CTAP). В перспективе беспарольный доступ будет реализован для всех корпоративных вариантов - гибридных, облачных, локальных, а также для унаследованных приложений", - предполагает специалист.

Другими актуальными трендами в сфере ИБ, по мнению специалистов Cisco, являются сотрудничество как альтернатива контролю, усиление ИБ при удаленной работе, применение технологий искусственного интеллекта и машинного обучения.

Первые два тренда связаны с тем, что с переходом сотрудников на удаленный режим работы компаниям пришлось не только пересмотреть свои политики обеспечения информационной безопасности, но и научиться делегировать часть ИБ-функций конечным пользователям. В условиях размытия корпоративного контура какие-то процессы должны контролироваться централизовано, но что-то необходимо передавать на контроль самим сотрудникам.

Руководитель отдела консалтинга компании Cisco Венди Натер подчеркнула: представления о том, что технологии используется только на работе, не применимы к современному миру. Сегодня они в руках у каждого, и каждый использует технологии по-своему. В этих условиях эффективным для предприятий представляется не создавать дорогостоящие системы контроля сотрудников, а привлекать их к сотрудничеству. Ведь удаленная работа подразумевает использование нескольких устройств, к которым у ИТ-службы нет полного доступа. Вольфганг Герлих обратил внимание, что чем больше ограничений ИБ-службы накладывают на пользователей, тем более творческими они становятся в попытках их обойти. Гораздо эффективнее направить эти силы на выстраивание доверительного диалога, пропаганду общих ценностей и осознание зон ответственности всех вовлеченных в бизнес-процессы сторон.

Эта тенденция, однако, не исключает усиления или пересмотра подходов к обеспечению информационной безопасности. Венди Натер считает, что по мере развития новых моделей работы, в частности полному или частичному переходу на удаленный режим, будут формироваться новые стандарты обеспечения ИБ. "Мы наблюдаем тенденцию к созданию моделей сотрудничества, при которой пользователи должны отвечать за соблюдение минимального порога требований безопасности на своих персональных устройствах, чтобы получить доступ к корпоративным ресурсам для работы", - рассказала руководитель отдела консалтинга Cisco.

Вольфганг Герлих отметил, что с началом локдауна фундаментальный контроль безопасности предприятий усилился как минимум вдвое. CISO (Chief Information Security Officer) активно внедряли и продолжают внедрять такие инструменты, как многофакторная аутентификация, DNS и VPN. По данным главного консультанта Cisco по информационной безопасности Duo Security, запрос пользователей на аутентификацию через сервис Duo вырос с 600 млн в месяц до 800 млн. И этот показатель продолжает расти.

Ричард Аркдикон подчеркнул, что, по наблюдениям Cisco, руководители ИБ-подразделений во всем мире продемонстрировали правильное понимание основных принципов обеспечения информационной безопасности в новых реалиях. Более того, они применяют полученный опыт, чтобы сформировать стратегическое видение, как их организации должны быть защищены в будущем, осознавая при этом важность роли рядовых пользователей.

Оценивая перспективы применения технологий искусственного интеллекта (ИИ) и машинного обучения (МО) для обеспечения ИБ, специалисты Cisco отметили, что важно четко осознавать, в каких бизнес-процессах они будут работать эффективнее всего. Важно достичь баланса между контролем и автоматизацией. Риск избыточной автоматизации заключается в том, что CISO перестают контролировать общую стратегию обеспечения безопасности на предприятии. Венди Натер считает, что, несмотря на некоторый скепсис со стороны ИБ-специалистов по отношению к данным технологиям, при правильном использовании они могут помочь в решении ряда трудоемких задач. "Ситуация, с которой мир столкнулся в этом году, показала, что ИИ не всегда может отличить обычное событие от экстраординарного. С учетом того, насколько кардинально сегодня меняются бизнес-процессы, иногда лучше отказаться от автоматизации, чем переобучать алгоритмы. С другой стороны, при глубоком понимании бизнеса ничто не мешает использовать встроенный функционал ИИ и МО лишь частично, там, где это действительно необходимо", - предлагает она.

Вольфганг Герлих выразил уверенность, что основанные на ИИ и МО инструменты аналитики станут краеугольным камнем архитектуры с нулевым уровнем доверия. "С точки зрения конечного пользователя, это сводится к простоте и широкому применению технологий. Организации в свою очередь должны иметь возможность адаптироваться к различным профилям риска в режиме реального времени, предоставляя сотрудникам возможность использовать те инструменты, которые им необходимы, чтобы выполнять свою работу. В конце концов, безопасность и производительность не должны быть взаимоисключающими факторами, и нам не нужно выбирать что-то одно", - резюмировал он.

Новости из связанных рубрик