Geekly articles weekly

Héroes de autenticación de dos factores, segunda parte


Recientemente, en la primera parte del artículo , dijimos que nos sorprendió la forma en que pocas compañías consideran la falta de autenticación de dos factores como una seria amenaza para la seguridad de la información.

Para comprender las razones, compilamos cuatro descripciones de los tomadores de decisiones: dos directores y dos jefes de departamentos de TI, uno para una empresa grande y mediana. Con la ayuda de estos retratos psicológicos, intentaremos comprender el motivo de la actitud frívola hacia la empresa de seguridad de la información.

La última vez, examinamos al director del departamento de TI de la refinería FlyTech , y hoy es hora de conocer su cabeza (y los otros dos personajes).



Konstantin


Empresa


Refinería de petróleo FlyTech, parte de la gran empresa petrolera FlyOil. En total, más de 3 mil personas trabajan en la refinería, pero alrededor de mil están conectadas con la tecnología informática. Estas son unidades auxiliares (gerentes, contabilidad, logística, servicio de ventas, marketing) y trabajadores de producción que trabajan con ICS a través de terminales en Microsoft Windows.

Título del trabajo


CEO

¿De qué es responsable?


  1. Para el buen funcionamiento de la refinería en su conjunto.
  2. Para la coordinación efectiva de las unidades: financiera, comercial, industrial, transporte, seguridad y TI.
    Hablando en términos generales, todos los días se debe suministrar petróleo a la refinería por ferrocarril y oleoducto, el petróleo se debe procesar en gasolina, queroseno, combustible, etc., todo esto se debe almacenar, vender, transportar con la ayuda de nuestro propio transporte ferroviario y por carretera, el territorio debe estar protegido. , los empleados deberían recibir un salario, las computadoras deberían funcionar y servir a los empleados y la producción. Para cada función individualmente, el jefe del departamento es responsable, de todos a la vez: Konstantin.
  3. Para propuestas al consejo de administración y gerentes de la explotación sobre el desarrollo estratégico de la planta.

De qué no es responsable


  1. Para el trabajo diario de las unidades anteriores es responsabilidad de sus líderes. Si hubo un accidente en el sitio de producción, los tanques no se vaporizaron, el dinero no vino del cliente, se hizo un intento de entrar en la red: los jefes de departamento deberían ocuparse de todo esto, ya que tienen las habilidades, la información y las herramientas necesarias para resolver estos problemas.
  2. Para el trabajo de toda la explotación.

Cosmovisión profesional


Desde el exterior, parece que la refinería está lejos de ser la mayor de las empresas posibles, y aunque la producción es bastante peligrosa, todavía no es una planta de energía nuclear. Pero si se mira desde arriba, se verá que la refinería es en realidad una ciudad, con sus oficinas, fábricas dentro de las plantas, tuberías, comedores, bomberos, guardias y miles de empleados.

Y si esta ciudad está mal administrada, los servicios están mal coordinados, entonces las consecuencias pueden ser cualquiera, hasta detener la producción, o incluso un accidente que no parece suficiente. Y esto pondrá en peligro el suministro de combustible a toda la región.

Por lo tanto, Konstantin todos los días una gran cantidad de trabajo rutinario y nervioso para mantener la salud de la empresa. Para este trabajo, necesita tantos conocimientos y habilidades especiales que no tiene la fuerza y ​​el tiempo para comprender áreas específicas, como las complejidades de la contabilidad financiera o la implementación de SOC. El máximo de su conocimiento y experiencia está en el campo de la producción, comercialización y transporte. Y esto es normal: ¿cuántos trabajadores de TI conocen al menos en términos generales la tecnología de craqueo o los principios básicos de la refinación de petróleo?

De las amenazas a TI, Konstantin conoce los virus y el ransomware (no está bien versado para saber que el ransomware es en realidad los mismos virus, pero con ciertos síntomas).

Él cree que toda la responsabilidad de la prevención de todas las amenazas recae en Fedor, ya que tiene la educación y la experiencia adecuadas. No tiene el deseo ni la oportunidad de profundizar en el problema. Todos los intentos de informarle sobre problemas en TI hacen que sea rechazado. Cualquiera que le cuente sobre amenazas de TI, lo redirige a Fedor.

Si el "espantapájaros" se hundió en el alma de Konstantin, entonces le pide a Fedor que le informe sobre la probabilidad de riesgo y su impacto potencial en el funcionamiento de la refinería, pero la evaluación de objetividad de Fedor, por supuesto, nunca se verifica.

Actitud actual ante 2FA


  1. Konstantin sabe que la autenticación se realiza en una PC, Fedor participa en todas las PC, lo que significa que toda la evaluación de la necesidad de implementar 2FA debe provenir de Fedor.
  2. Konstantin no entiende que 2FA se refiere a aquellos problemas que caen formalmente en áreas adyacentes de responsabilidad, pero de hecho, cada una de las partes cree que otros servicios deberían ser responsables del robo de contraseñas.
  3. Konstantin no comprende la conexión entre el 2FA, incomprensible para él, y las amenazas que comprende (en las que cree): infección con virus y ransomware.

Ahora, la hipótesis sobre la razón de la falta de autenticación de dos factores en la refinería FlyTech comenzó a surgir. Quizás el hecho es que Konstantin y Fedor consideran que 2F es una preocupación de los demás y no se dan cuenta de que en caso de robo de contraseña o derrame de datos esto se convertirá en un problema común. Como resultado, Konstantin cree que dado que Fedor no señala problemas de TI, entonces no existen. Pero Fedor cree que la protección con contraseña es más una tarea administrativa, y dado que Konstantin no se enfoca en ella, este problema no es grave.
Para confirmar o refutar esta hipótesis, veamos dos caracteres más.

Como descubrimos la autenticación de dos factores en las grandes corporaciones, es hora de descubrir cómo están las cosas en el medio. Para esto, se nos ocurrió la empresa de transporte Tradex y describimos a su CEO (y al mismo tiempo al propietario) y al jefe del departamento de TI. Quizás comencemos con eso.



Peter


Empresa


Empresa de transporte "Tradex". Realiza transporte de carga en Rusia, la CEI, China y Turquía. Tiene su propia y atraída flota de vagones y camiones, así como su propio complejo de almacenes. Realiza actividades de comercio exterior (actividad económica extranjera), participa en licitaciones electrónicas.

Título del trabajo


Jefe de TI Dirige un equipo de tres personas, donde un empleado tiene bastante buen conocimiento en la configuración de equipos y software de red, y los otros dos son principiantes "enikeyshchiki".

¿De qué es responsable?


Para todo lo relacionado con las computadoras. Al mismo tiempo, ni las políticas de trabajo ni las prioridades se detallan. Por lo tanto, restaurar Windows en la computadora de un director puede ser más importante que repeler un ataque DDoS en el sitio web de una empresa.

Al mismo tiempo, Peter confía en que la mayoría de los problemas pueden resolverse por el hecho de que ocurran, y los jefes considerarán filosóficamente otros problemas. Eso es:
  • los datos de CRM / 1C se destruyen - mal, CRM / 1C no funciona un día - tolerante;
  • La PC del director no funciona; la PC del gerente normal no funciona durante el día, es tolerante
  • cliente-banco no funciona - mal, el correo electrónico no funciona - tolerante.

De qué no es responsable


Para derechos y políticas de acceso a datos y servicios. El jefe del departamento dijo que debía dar acceso a los empleados al escritorio mediante la configuración remota de VPN y RDP. Si un empleado puede "fusionar" datos ya es un problema para el director general y el jefe del departamento.
Para una mayor preparación para varios tipos de riesgos. Tradex no tiene dinero para comprar computadoras portátiles de repuesto en caso de que el empleado de repente rompa las suyas. Ahora, si se rompe, pensaremos qué hacer con él. Al mismo tiempo, por supuesto, se tienen en cuenta los riesgos más probables, como un canal de comunicación de la oficina de respaldo.

Cosmovisión profesional


"Funciona, no lo toques". Es poco probable que el director de Petr lo elogie por su celo excesivo, pero si en el proceso de mejora estropea (o al menos temporalmente deja de funcionar) los servicios de trabajo, entonces Peter será culpable. Por lo tanto, a Peter no le gusta la experimentación. Cada vez que considera si introducir algo nuevo, evalúa si la ausencia de estas oportunidades realmente amenaza a la empresa con problemas que se le pueden culpar. Y si la introducción conducirá a los problemas en los que se le acusa.

Actitud actual ante 2FA


Peter se enteró de esto, pero estoy seguro de que no se trata de su compañía. La mayoría de los empleados están a la vista, y si alguien intenta fusionar datos con la contraseña de otra persona, entonces deje que el Consejo de Seguridad o el propio director lo hagan. Aunque si Peter cree en la realidad de tal amenaza, definitivamente le dirá al director, para que no sea extremo si algo sucede.

Como puede ver, Peter es responsable de todos los problemas en TI, e incluso más que su colega Fedor desde la primera parte. Debido a que la empresa promedio no es grande, no existe un servicio de seguridad dedicado (al menos competente en materia de TI). Peter no puede referirse al área de responsabilidad de otra persona ni a las instrucciones de servicio.

Y finalmente, presentamos a su atención el jefe de Peter - Paul, director y propietario de Tradex.



Pavel


Empresa


Empresa de transporte "Tradex". Realiza transporte de carga en Rusia, la CEI, China y Turquía. Tiene su propia y atraída flota de vagones y camiones, así como su propio complejo de almacenes. Realiza actividades de comercio exterior (actividad económica extranjera), participa en licitaciones electrónicas.

Título del trabajo


CEO y propietario, todo en uno.

¿De qué es responsable?


Por todo Es solo que él comprende algunas cosas y las controla por completo, y delega el resto a los artistas. El hecho de que no entiende, el director necesita la ausencia de problemas y una reacción oportuna a los cambios. Es decir, Pavel no conoce la palabra "criptógrafo", pero si todas las PC de la compañía se bloquean repentinamente, tratará con el jefe del departamento de TI. Y si los conductores de repente entran en una borrachera, él conducirá al jefe del departamento de transporte.

De qué no es responsable


Como ya se mencionó, para el conocimiento de los detalles de ciertos procesos.

Cosmovisión profesional


Esta es la compañía de Paul, por lo que quiere creer que controla completamente todos sus procesos. Se reúne periódicamente con los jefes de departamento y le informan detalladamente sobre el estado actual, sobre posibles amenazas y nuevos productos (y esto no se trata de TI en primer lugar; por ejemplo, Pavel estaba muy interesado en el impacto de la implementación del sistema Platón en los ingresos).

A Pavel le gusta asistir a varias conferencias de la industria, esto enfatiza su estado y brinda la oportunidad de aprender algo realmente importante. Si allí dicen algo que le interesa, pero desde esa área donde no es un especialista, entonces Pavel transfiere la información al jefe del departamento correspondiente, le pide que lo resuelva y le informe.

Actitud actual ante 2FA


Pavel no sabe nada sobre 2FA. En conferencias especializadas, estos problemas no se abordan; Peter no le cuenta sobre esto. Si le hubieran dicho correctamente sobre el riesgo potencial, entonces habría exigido que Peter entendiera e informara sobre lo crítico y probable que es en su empresa. Y si Peter dice que no necesitan 2FA, Pavel exigirá garantizar que sin la introducción de esta tecnología, la seguridad de Tradex no se verá afectada. Y entonces será más fácil para Pavel implementar 2FA que asumir la responsabilidad.

Conclusiones


Debería haber conclusiones inteligentes sobre las razones por las cuales cuatro personas inteligentes, sinceramente preocupadas por la seguridad de sus empresas, conocen la tecnología de autenticación de dos factores efectiva y bien establecida, pero no la implementan en casa. A pesar de que la introducción es difícil y no es crítica en términos de costo y tiempo.

Pero las conclusiones fueron muy simples. Necesitamos hablar más sobre los peligros de las contraseñas y los beneficios de 2FA, no solo para los empleados de TI, sino también para los CEO, y la cantidad de implementaciones de 2FA aumentará significativamente.

No estoy de acuerdo Estaré encantado de discutir en los comentarios!

Source: https://habr.com/ru/post/436940/

More articles:


All Articles