OTP на страже облачных сервисов*

Аутентификация в облаках

Облачные сервисы становятся всё более популярны. Их все чаще используют не только для хранения индивидуальных данных сотрудников, но и в корпоративных целях. Частично это связано с распространением мобильных устройств, частично – с попыткой экономить на собственных хранилищах и инфраструктуре, частично – из-за перехода на модель аутсорсинга приложений. Предполагается при этом, что провайдер облачного сервиса заботится о его защите и безопасности. Возможно, что требования по безопасности даже прописаны в контракте, однако даже это не обеспечивает защиту от неприятностей.

Дело в том, что провайдер сервиса не может защитить от перехвата идентификационной информации. Если же злоумышленник каким-то образом узнал пароль администратора облачных ресурсов компании, то он может как получить доступ к хранимым в облаках данных, так и уничтожить эти данные, причём вместе с их резервными копиями.

В качестве примера подобной ситуации можно привести атаку на компанию Code Spaces, бизнес которой полностью базировался на облачных хранилищах программного кода. В какой-то момент руководство компании получило угрозы от злоумышленников – они якобы планируют уничтожить все накопленные компанией данные и только определённая сумма поможет им какое-то время не реализовывать данные планы. Администратор попытался решить проблему с помощью смены паролей, но к моменту начала атаки злоумышленники уже получили контроль над облачными ресурсами компании и начали уничтожать данные. Чем активнее администратор пытался восстановить контроль над облачным хранилищем, тем меньше данных оставалось в системе. В результате, через неделю компания перестала существовать, опубликовав на сайте сообщение о том, что не может выполнить обязательства перед заказчиками.

Провайдер ничего не может противопоставить подобной атаке, поскольку он, скорее всего, предлагал клиенту возможность двухфакторной аутентификации, но клиент по каким-то причинам предпочёл использовать устаревшие технологии парольной защиты. Либо защита была снята с помощью атаки на персональный компьютер администратора, то есть внедрять решение, которое повышает надёжность аутентификации только администратора, не очень эффективно – хакер, проникнув на компьютер администратора, может назначить ему слабый пароль и потом перехватить управление облачными сервисами.

В целом, можно отметить, что при пользовании облачными сервисами нужно обеспечить инструментами усиленной аутентификации уже не только администратора, но и простых пользователей. Если злоумышленник, например, с помощью троянской программы сможет перехватить учётные данные пользователя, то он сможет подключиться к облачному приложению от имени сотрудника и вмешаться в бизнес-процесс компании. Это может быть очень ощутимо для тех компаний, которые активно используют в своей работе критические для бизнеса облачные сервисы, например, CRM-системы.

Таким образом, аутентификация пользователей и администраторов с помощью пароля при использовании облачных сервисов может быть чревата следующими проблемами:

• Нарушение конфиденциальности данных. Поскольку в облаках сейчас могут храниться в том числе и офисные документы, и данные о клиентах и контактах, то злоумышленники, подделав учётные данные простого пользователя, могут получить доступ к обрабатываемым им документам.
• Перерасход ресурсов. Даже если в облаке не хранится секретной информации, хакер может поместить в него, например, вирус для заражения сторонних пользователей, а компании придётся платить за перерасход облачных ресурсов провайдеру. К тому же компанию могут в дальнейшем обвинить в распространении вредоносных программ.
• Уничтожение данных. Более серьёзной атакой является саботаж от имени системного администратора, в процессе которого компания может потерять ценные данные и также получить счёт за перерасход ресурсов – зависит от действий злоумышленника, который перехватил учётные данные администратора.

Аутентификация по телефону

Основным преимуществом паролей является их дешевизна и минимальные требования к перестройке информационной системы. Для внедрения строгой аутентификации с помощью дополнительных устройств требуется потратить деньги на сами эти устройства, а также на развертывание инфраструктуры, которая с ними работает. Впрочем, в большинстве компаний инфраструктуры идентификации обычно уже существует в виде Active Directory или других LDAP-каталогов, поэтому стоимость перехода на двухфакторную аутентификацию сильно зависит от стоимости этого самого второго фактора – устройства, с помощью которого пользователь выполняет строгую аутентификацию.

Понято, что дополнительное устройство, которое предназначено исключительно для аутентификации, стоит достаточно дорого. Но у большинства пользователей уже есть универсальное устройство – мобильный телефон, который сотрудники постоянно держат при себе. Причём, для большей надёжность использовать даже не смартфон, где злоумышленником может быть установлена троянская программа, но обычный телефон, который только принимает звонки и SMS.

Именно для таких задач и предназначено решение компании SecurEnvoy под названием SecurAccess. Оно интегрируется в корпоративную систему аутентификации и позволяет использовать технологию получения одноразовых паролей на доступ как к облачным ресурсам, так и к корпоративным шлюзам.

Для интеграции с облачными сервисами традиционно используется технология федеративной аутентификации, которая перенаправляет корпоративного пользователя облачного сервиса на сервер аутентификации компании. Если корпоративный сервер подтверждает личность сотрудника, то и облачный сервис разрешает ему работать с данными компании. При этом перейти обратно на слабую аутентификацию по паролям уже достаточно сложно – во всяком случае троянской программе с компьютера администратора сделать это вряд ли удастся.

Решение компании имеет следующие преимущества: l Инструкции по интеграции продукта с облачными сервисами Microsoft Office 365 и Salesforce;

• Есть возможность интеграции с различными шлюзовыми VPN-продуктами, например, компаний Cisco, Check Point, Citrix и других;
• Для получения кода аутентификации можно пользоваться не только SMS, но и генерируемыми одноразовыми паролями OTP, электронной почтой и даже голосовым вызовом;
• Для аутентификации нужен только телефон, без дополнительного программного обеспечения;
• Данные о пользователях автоматически получаются из LDAP-каталога;
• Сервис аутентификации может обрабатывать до 100 тыс. запросов на аутентификацию в час;
• Фиксированная годовая подписка без скрытых комиссий;
• Возможность контроля пользователем при смене телефона или устройства.

Следует отметить, что корпоративная система аутентификации может быть использована не только для облачных сервисов, но и для дистанционной работы с корпоративными сервисами компании из Интернет. Перевести удалённый доступ на двухфакторную аутентификацию также полезно по тем же причинам, что и доступ к облачным сервисам: защита конфиденциальности корпоративных данных и ограничение доступа внешних злоумышленников, которые могут узнать пароли, к корпоративным системам. Таким образом, развернув решение SecurAccess можно одновременно усилить аутентификацию и для доступа к внутри корпоративным сервисам – это будет часть процесса интеграции.

Основной проблемой при использовании SMS в качестве канала доступа одноразовых паролей является то, что этот метод может не сработать вне зоны действия мобильного оператора. Например, в метро, где есть Wi-Fi для подключения к Интернет, но мобильная связь отсутствует. В этом случае SecurAccess предлагает следующие варианты решения:

• Использование технологии "программных паролей" – генерирования одноразовых паролей (OTP) с помощью специального приложения;
• Получение сразу трёх паролей в одном SMS, что позволяет в следующий раз использовать один из предыдущих паролей;
• Автоматическая рассылка паролей, которые действуют ограниченное время;
• Можно использовать другие способы доставки паролей – через электронную почту с вариантами или голосом по телефону.

Ещё одной ключевой проблемой при аутентификации с помощью мобильного телефона является организация временного доступа в том случае, когда телефон утерян или временно недоступен, например, в случае поломки. В этом случае в SecurAccess предусмотрена возможность получения временного одноразового пароля с помощью интерфейса самообслуживания на специальном сайте.

Заключение

Пользование облаками хотя и сокращает расходы на ИТ, но требует использования более строгих правил обеспечения информационной безопасности. В частности, начинать нужно с отказа от простых паролей и перехода на усиленные схемы аутентификации. Наиболее простая и дешёвая из них – аутентификация с помощью мобильного телефона. Для решения этой задачи компания SecurEnvoy предлагает целый набор удобных инструментов, реализованных в решении SecurAccess, которое хорошо зарекомендовало себя у российских пользователей. Это решение позволяет клиенту выбрать наиболее проходящие для него механизмы аутентификации с помощью мобильного телефона и тем самым эффективно защитить свои облачные ресурсы. В России продукт представлен компанией Топ Секьюрити www.tsecure.ru 8-495 2265789