Wahrscheinlich sage ich Banalität, aber die Leute sind sehr seltsam (und die IT-Mitarbeiter sind doppelt). Sie sind sehr an Marketinginnovationen interessiert und möchten diese gerne einführen, gehen aber gleichzeitig gleichgültig an Technologien vorbei, die ihre Unternehmen tatsächlich vor echten Schäden schützen können.
Nehmen wir zum Beispiel die Zwei-Faktor-Authentifizierungstechnologie (2FA). Ein Angreifer kann leicht normale Passwörter ausspionieren und / oder stehlen (
was sehr häufig vorkommt ) und sich dann als legaler Benutzer anmelden. Darüber hinaus wird der Benutzer selbst höchstwahrscheinlich nicht über den Diebstahl des Passworts raten, bevor unangenehme (und manchmal sehr schwerwiegende) Folgen auftreten.
Und dies trotz der Tatsache, dass praktisch für niemanden eine Offenbarung ist, dass die Verwendung von Zwei-Faktor-Authentifizierungsmethoden die Wahrscheinlichkeit schwerwiegender Konsequenzen erheblich verringert oder sich sogar vollständig vor ihnen schützt.
Im Rahmen des Schnitts werden wir Ihnen erzählen, wie wir versucht haben, uns anstelle der Entscheidungsträger bei der Implementierung von 2FA in der Organisation zu präsentieren und zu verstehen, wie wir sie interessieren können.
Für diejenigen, die eine kleine Theorie wollen:Wie Passwörter gestohlen werdenWenn sich herausstellt, dass Mitarbeiter einfache Kennwörter verwenden ("
Qq1234567 "), legen sie normalerweise strenge Kennwortrichtlinien fest. Beispiel: Ein
Passwort muss mindestens 10 Zeichen lang sein, mindestens einen Klein- und einen Großbuchstaben, mindestens eine Ziffer und ein weiteres Zeichen. Das Passwort sollte keine häufig verwendeten Wörter und numerischen Sequenzen enthalten. Das Passwort sollte einmal im Monat geändert werden und nicht mit 12 vorherigen Passwörtern übereinstimmen .
Infolge der Einführung solcher Richtlinien war es jedoch so schwer, sich an Passwörter zu erinnern, dass sie aufgeschrieben wurden. Und lassen Sie es an den prominentesten Stellen, an denen jeder es ausspionieren kann. Zum Beispiel so:
Die Passwörter ordentlicherer Kollegen stehen zu dem Zeitpunkt neben ihnen, wenn sie diese Passwörter eingeben.
Die
Kali Linux-Distribution , die formell für Penetrationstests entwickelt wurde, enthält Software, mit der der Datenverkehr abgefangen und analysiert werden kann, um Kennwörter für die Authentifizierung zu erhalten. Dies geschieht fast automatisch. Sie müssen keine hohen Qualifikationen oder Spezialkenntnisse haben - laden Sie einfach das Kali Linux Distribution Kit herunter und führen Sie das Programm aus.
Wenn ein Mitarbeiter außerhalb des Büros arbeitet (Geschäftsreise, Besuch des Kunden, Urlaub, Home Office), erstellt er zum Erstellen von Kennwörtern gefälschte Zugriffspunkte mit demselben Namen wie legale, z. B. mithilfe von
WiFi-Pumpkin von demselben Kali Linux. Eine Person stellt eine Verbindung zum Sheremetievo-WiFi-Zugangspunkt in Sheremetyevo her und der gesamte Datenverkehr steht einem Angreifer zur Verfügung. Eine andere Möglichkeit, Kennwörter zu stehlen, besteht darin, Zugriffspunkte mit bösartigem Code zu infizieren. Anschließend erhält der Angreifer die Möglichkeit, den vorbeifahrenden Datenverkehr zu analysieren.
So funktioniert die Zwei-Faktor-AuthentifizierungBei der Authentifizierung wird die Identität eines Benutzers überprüft. Ein Benutzer kann seine Identität mithilfe verschiedener Faktoren bestätigen:
- Wissensfaktor („Ich weiß“). Der Benutzer kennt sein eindeutiges geheimes Passwort oder seine PIN. Das Passwort kann mit spezieller Software und Hardware gestohlen werden oder einfach nur gucken. Es kann auch mit Hilfe von Social Engineering abgerufen werden, wenn das Opfer sein Passwort unabhängig an den Angreifer überträgt.
- Der Faktor des Besitzes ("Ich habe"). Der Benutzer verfügt über ein physisches Gerät, das er für den Authentifizierungsprozess verwenden muss. In der Regel handelt es sich bei einem solchen Gerät um ein USB-Token oder eine Smartcard (es kann auch als elektronischer Ausweis für das Büro dienen). Zur Authentifizierung muss ein Token oder eine Smartcard mit einem Computer oder Mobilgerät verbunden sein. Sie können auch einen Software- oder Hardware-Einmalkennwortgenerator verwenden.
- Eigenschaftsfaktor ("Ich bin"). Biometrie wie Fingerabdrücke, Irismuster, DNA usw. Ein Faktor, der sehr zuverlässig erscheint, aber tatsächlich viele Nachteile hat. Hochwertige biometrische Lesegeräte sind ziemlich teuer und billige sind nicht zuverlässig genug. Fingerabdrücke haben das Fälschen gelernt , Iris-Scanner irren sich oft und die Gesichtserkennung kann mit einem dreidimensionalen Modell des Kopfes getäuscht werden . Darüber hinaus ist die Anzahl der Indikatoren sehr begrenzt (10 Finger, zwei Augen, eine Stimme). Das kompromittierte Passwort kann geändert werden, das verlorene Token kann ersetzt werden, aber das Hacken Ihrer Finger, wenn die Informationen über den Fingerabdruck den Angreifer erreichen, ist irgendwie nicht sehr korrekt (und es ist völlig unmöglich, neue zu entwickeln). Wir werden auch das schmerzhafte Verfahren des Laserverbrennens von Fingerabdrücken nicht berücksichtigen.
Die Kombination zweier miteinander verbundener Faktoren ist eine Zwei-Faktor-Authentifizierung.In den meisten Fällen muss der Benutzer das Token / die Smartcard mit dem Computer verbinden und einen PIN-Code eingeben, der den Zugriff auf das Token ermöglicht (bei einigen OTP-Token müssen Sie den Code über den Bildschirm des Geräts eingeben).
Der PIN-Code kann recht einfach ausgedacht werden, da der Angreifer auch nach dem Erkennen nichts ohne Token tun kann. Und wenn das Token gestohlen wird, erkennt der Eigentümer diese Tatsache sofort und ruft sofort an oder schreibt an den Systemadministrator, der die Zertifikate des Benutzers sofort widerrufen muss. Dies bedeutet, dass eine Anmeldung mit dem gestohlenen Token nicht mehr möglich ist.
Das Microsoft Windows / Windows Server-Betriebssystem enthält die gesamte erforderliche Software für die Implementierung der Zwei-Faktor-Authentifizierung basierend auf Token / Smartcards in der Organisation. Das heißt, Sie müssen keine zusätzliche Software kaufen, und jeder Mitarbeiter muss
ein Token ausgeben .
Es ist zu beachten, dass die Verwendung von per SMS empfangenen Bestätigungscodes kein Element der Zwei-Faktor-Authentifizierung ist, sondern eine Bestätigung in
zwei Schritten und einen
viel schwächeren Schutz gegen Hacking bietet. Zum Beispiel haben Betrüger gelernt,
SIM-Karten zu
fälschen , wodurch sie SMS- und Dienstnachrichten abfangen und dadurch Geld und Informationen stehlen können.
In einigen Fällen wird der
Zugriff auf eine SIM-Karte von übermäßig vertrauenswürdigen oder unehrlichen Mitarbeitern eines Mobilfunkbetreibers bereitgestellt.
Hier ist ein kürzlich auf Habré veröffentlichter Artikel , in dem der Autor demonstriert, welche Vertreter von welchem Betreiber sich bereit erklärt haben, den angeblichen "Cracker" zu treffen, und welche abgelehnt haben.
Sie sollten auch Phishing nicht vergessen, wenn Menschen nach einiger Überredung den Betrügern selbst helfen, indem sie sie über die per SMS gesendeten Codes informieren. Um das Ganze abzurunden, werden SMS-Codes normalerweise über öffentliche Netzwerke an den Server gesendet, d. H. Dem Übertragungsmedium wird nicht vertraut. Ja, und die Laufzeitumgebung ist auch nicht vertrauenswürdig. Auf dem Smartphone kann sich schädliche Software befinden, die die gesendeten Codes sofort an den Angreifer sendet.
In letzter Zeit wird vorgeschlagen, anstelle der Übertragung von Codes per SMS PUSH-Benachrichtigungen zu verwenden. Es wird behauptet, dass sie sicherer sind, dies ist jedoch nicht der Fall, da alle Benachrichtigungen den Push-Benachrichtigungsdienst durchlaufen, bevor sie das Gerät des Benutzers erreichen. Beispielsweise verbietet das Apple Developer Program diese Aktionen direkt (Lizenzvereinbarung, Anhang 1, Absatz 4), da solche Benachrichtigungen unsicher sind. Details werden in diesem
sehr vernünftigen Artikel beschrieben .
Es gibt also eine Zwei-Faktor-Authentifizierungstechnologie, die Benutzer bei minimalen Kosten (Geld und Zeit) effektiv vor Passwortdiebstahl und damit ihren Arbeitgebern vor dem Verlust von Informationen und anderen Sicherheitsproblemen schützen kann.
Aus irgendeinem Grund wurde diese Technologie jedoch nur in einer relativ kleinen Anzahl der am besten geschützten und fortschrittlichsten Unternehmen auf dem Gebiet der Informationssicherheit eingeführt. Worauf warten die anderen noch? Sorgen Sie sich nicht um die Sicherheit ihrer IT-Infrastruktur oder betrachten Sie die Bedrohung nicht als ernst? Und können Sie sicher sein, dass die Einführung zusätzlicher Sicherheitsmaßnahmen zu einer Verschlechterung der Arbeitsbedingungen der Benutzer und / oder zu einer Verringerung ihrer Effizienz führt?
Um dies zu verstehen, haben wir uns entschlossen, uns der alten bewährten
Methode zuzuwenden - um Charaktere zu finden, die für die Implementierung von 2FA verantwortlich sein sollten, und bei der Beschreibung ihrer Verhaltensprofile zu versuchen, in ihre Schuhe zu schlüpfen (oder, wie die Amerikaner sagen,
in ihren Schuhen zu
laufen ). Wenn eine solche Methode zum Entwerfen neuer Produkte funktioniert, warum dann nicht genauso effektiv die Gründe für die (nicht) Verwendung bewährter Technologie analysieren?
Wir haben vier Charaktere geschaffen: zwei Direktoren und zwei Leiter der IT-Abteilungen für zwei Unternehmen - große und mittlere. Und für jeden von ihnen haben sie ihre eigene Geschichte geschrieben. Hier ist der erste.
Fedor
Firma
Ölraffinerie FlyTech, Teil der großen Ölfabrik FlyOil. Insgesamt arbeiten mehr als 3.000 Menschen in der Raffinerie, aber ungefähr tausend sind mit Computertechnologie verbunden. Dies sind sowohl Hilfseinheiten (Manager, Buchhaltung, Logistik, Verkaufsservice, Marketing) als auch Hersteller, die über Microsoft Windows-Terminals mit industriellen Steuerungssystemen (automatisierte Prozesssteuerungssysteme - Herstellung von Erdölprodukten) arbeiten.
Berufsbezeichnung
Leiter der IT-Abteilung. Er leitet ein Team von 10 Personen.
Wofür ist verantwortlich?
Für die Leistung der Unternehmens-IT-Infrastruktur. Grob gesagt, damit sich niemand über irgendetwas beschwert.
- Fedor weiß, dass geringe IT-Kenntnisse der Mitarbeiter zu Abstürzen auf ihrem PC führen können. Er organisierte einen technischen Support, der mit ähnlichen kleinen Problemen arbeitet.
- Fedor weiß, dass die Geräte altern und möglicherweise ausfallen, was die Arbeit eines Mitarbeiters, einer Abteilung oder der gesamten Anlage unmöglich macht. Daher organisierte er einen Reservefonds für den Fall des Ersatzes und verordnete Notfallersatzrichtlinien - das Verfahren und die Verantwortlichen.
- Fedor weiß, dass aufgrund von Hackerangriffen, Hardwarefehlern, Bränden, Überschwemmungen usw. Daten beschädigt werden können. Er organisierte die Erstellung von Datensicherungen und schrieb eine Richtlinie für die Datenwiederherstellung im Fehlerfall vor.
- Fedor weiß, dass Serversoftware abstürzt, was die Büroarbeit oder die Produktion gefährden kann. Daher verwendet er Methoden zur Online-Fehlerbehebung und vorgeschriebene Richtlinien zum Wiederherstellen der Verfügbarkeit von Serversoftware.
- Fedor hat Angst vor Viren. Er weiß, dass sie die Computer oder ICS-Systeme der Mitarbeiter infizieren können. Daher kaufte und installierte er Antivirensoftware und konfigurierte sie so, dass sie regelmäßig aktualisiert wurde.
- Fedor hat Angst vor Netzwerk-Hackern und verwendet daher Tools zur Erkennung und Verhinderung von Eindringlingen und andere Tools zur Netzwerksicherheit.
Was haben diese sechs Punkte gemeinsam? Fedor versteht, dass wenn ihn etwas im Rahmen des oben Gesagten passiert, sie ihn fragen werden. Manchmal für die Ursache (Viren, wenn sie sich unkontrolliert über das Netzwerk verbreiten), manchmal für die Folgen (fehlende Backups während der Wiederherstellung).
Wofür ist nicht verantwortlich
- Obwohl es eine IT-Quelle hat, fällt es in den Verantwortungsbereich anderer Manager. Wenn beispielsweise das Terminal des Betreibers des automatischen Steuerungssystems ausfällt, ist Fedor dafür verantwortlich. Wenn der Bediener des automatisierten Prozessleitsystems den falschen Befehl eingibt, sind dies die Probleme der Hersteller. Fedor kann auf Befehl einen Befehl erteilen, die Software des automatisierten Prozessleitsystems so zu ändern, dass er falsche Befehle erkennt und deren Ausführung nicht zulässt. Aber TK wird von Produktionsmitarbeitern geschrieben, Fedor wird nur der Vermittler sein und für die Implementierung und den störungsfreien Betrieb verantwortlich sein. Ein näheres Beispiel für dieses Thema ist, wenn ein Mitarbeiter, der rechtmäßig über die Rechte verfügt, in der IT-Infrastruktur eines Unternehmens zu arbeiten, versucht, diese für destruktive Aktionen zu verwenden, oder Unternehmensinformationen für persönliche Zwecke verwenden möchte, Fedor nur dann reagiert, wenn mehr Rechte erteilt wurden als Der Arbeitnehmer muss im Moment seine Arbeit verrichten. Andernfalls ist dies das Problem des Sicherheitsdienstes und des unmittelbaren Vorgesetzten des Mitarbeiters.
- Zur Umsetzung der vom Management akzeptierten Risiken. Es ist unmöglich, sich gegen alles zu verteidigen oder zu teuer. Wenn das Management beispielsweise entscheidet, dass der vollständige Verlust von Servern aufgrund eines Brandes oder einer Überschwemmung aufgrund des Standorts oder des Schutzes des Serverraums nicht möglich ist, wird den Sicherungsservern kein Geld zugewiesen. Und bei Problemen trägt das Management bereits die Verantwortung.
Jedoch! Dies gilt, wenn Fedor das Management im Voraus über diese Risiken informiert hat. Tatsache ist, dass Top-Manager selten IT-Spezialisten sind, sodass sie möglicherweise nicht einmal erraten, wie viel Schlimmes passieren kann. Wenn also etwas passiert, von dem die Tops nichts wussten, wird Fedor für schuldig erklärt. Deshalb versucht er, vor möglichen Problemen zu warnen, aber danach geht die Verantwortung für eine Entscheidung an die Spitze.
Professionelle Weltanschauung
Fedor hat genug Probleme und Sorgen bei der Erfüllung seiner Pflichten und bei der Verteidigung gegen Bedrohungen, die er für wahrscheinlich hält oder denen er selbst begegnet ist. Er versteht auch, dass Hersteller von Sicherheitssystemen sich auf den Verkauf ihrer Produkte konzentrieren und daher daran interessiert sind, so viel wie möglich zu erschrecken - neue Bedrohungen zu entwickeln und die Wahrscheinlichkeit und Bedeutung bestehender Bedrohungen zu übertreiben. Daher ist Fedor normalerweise sehr skeptisch gegenüber Geschichten über neue Bedrohungen und wie man sie löst.
Für Fedor ist es einfacher, an neue Bedrohungen zu glauben, die durch eine neue Runde der Technologieentwicklung verursacht werden, oder an Hacker, die neue Lücken für das Hacken öffnen, als an langjährige Bedrohungen, denen er theoretisch begegnen konnte, denen er jedoch nicht begegnete.
Wenn Fedor von einer neuen Bedrohung erfährt, an die er glaubt, schreibt er einen einfachen Schutzplan gegen diese Bedrohung, in dem angegeben ist, welche Ressourcen (Personen, Software, Hardware) dafür erforderlich sind. Dieser Plan wird den Spitzen präsentiert. Wenn die Top-Unternehmen sich bereit erklären, die entsprechenden Ressourcen zuzuweisen, wird in der Raffinerie ein Schutz gegen eine bestimmte Bedrohung eingeführt. Da es sich bei den Top-Unternehmen jedoch nicht um IT-Experten handelt, hängt die Zustimmung zur Umsetzung des Plans häufig von der korrekten Einreichung durch Fedor ab. Es hängt davon ab, ob er wirklich Schutz gegen diese Bedrohung implementieren möchte oder ob er die potenzielle Verantwortung nach oben verlagern möchte, wenn sich die Bedrohung tatsächlich als real herausstellt und der Plan, sie zu verhindern, nicht akzeptiert wird.
Aktuelle Einstellung zu 2FA
Fedor war die ganze Zeit nie mit den schwerwiegenden Folgen des Passwortdiebstahls konfrontiert. Er ist bereit zuzugeben, dass einige Mitarbeiter die Passwörter anderer kennen könnten, und hörte sogar ein paar Mal heimlich, wie Mitarbeiter ihre Passwörter diskutierten. Fedor ist sich sogar bewusst, dass Mitarbeiter ihre Passwörter übertragen, Sitzungen nicht blockieren und von einem anderen Konto aus arbeiten. Aber seiner Meinung nach hat und wird dies nicht zu ernsthaften Lecks führen, geschweige denn zu Hacks oder Schäden. Er ist bereit zuzugeben, dass ein Kausalzusammenhang besteht, möchte aber, dass jemand ihn ihm klar zeigt. Er wird 2FA erst in Betracht ziehen, wenn es einen klaren Präzedenzfall gibt oder wenn er gezwungen wird
Laut Fedor ist der Sicherheitsdienst für die Bekämpfung von Lecks verantwortlich (die IT-Abteilung kann nur die erforderlichen technischen Mittel bereitstellen). Letztendlich zwingt die IT die IT nicht dazu, die Aufbewahrung von Papierdokumenten und Eisenschlüsseln vom Büro aus zu überwachen - selbst wenn die IT Videoüberwachungskameras bedient, die auf Anordnung des Sicherheitsrates installiert wurden.
Fedor ist der Ansicht, dass das Unternehmen Richtlinien hat, nach denen Mitarbeiter ihre von den Mitarbeitern selbst signierten Passwörter sicher speichern müssen. Und wenn etwas passiert, wird eine bestimmte Person für ihre Nachlässigkeit bestraft. Und überwacht die Umsetzung der Politik lassen den Sicherheitsrat. Hier kann man jedoch nicht übersehen, dass die Theorie oft von der Praxis abweicht. Ein besonders wichtiger oder geehrter Mitarbeiter wird nicht berührt, selbst wenn er ein Passwort auf die Stirn schreibt, und ein entmächtigter Mitarbeiter auf niedriger Ebene kümmert sich nicht darum, da er nichts zu verlieren hat. Nur der Einsatz technischer Mittel kann jeden ausgleichen.
Der einzige Bereich, in dem Fedor wirklich besorgt ist, ist die Sicherheit von Passwörtern für Systemadministratoren. Denn wenn jemand im Auftrag des Systemadministrators und mit seinen umfangreichen Rechten die IT-Infrastruktur schädigt, wird unweigerlich eine ernsthafte Untersuchung durchgeführt, bei der nicht nur der nachlässige Systemadministrator den Tätern zugewiesen werden kann, sondern auch (abhängig von der Schwere des Schadens) Fedor selbst.
Wo sind die Schlussfolgerungen? Sie sind es noch nicht, denn über den Rahmen dieses Artikels hinaus gibt es eine Geschichte über drei weitere Charaktere - den direkten Leiter von Fedor, den Generaldirektor der Raffinerie sowie den Leiter der IT-Abteilung und den Eigentümer des Logistikgeschäfts. Sehr bald werden wir Ihnen sagen, was sie über die Zwei-Faktor-Authentifizierung denken.
In der Zwischenzeit würde ich gerne wissen, was Sie über 2FA denken - sowohl in Form von kostenlosen Kommentaren als auch in Form von Antworten auf die Umfrage. Finden Sie dieses Thema relevant? Ist die Bedrohung aus Ihrer Sicht real? Sollten Unternehmen Geld für die Implementierung von 2FA ausgeben?
Übrigens - haben Sie sich in Fedor wiedererkannt oder sieht Ihr Chef / Kollege vielleicht wie er aus? Und vielleicht haben wir uns geirrt und ähnliche Charaktere haben ganz andere Interessen?