Je dirai probablement la banalité, mais les gens sont très étranges (et les employés informatiques le sont doublement). Ils sont très intéressés par les innovations marketing et ont hâte de les présenter, mais en même temps, ils passent indifféremment par des technologies qui peuvent réellement protéger leurs entreprises contre des dommages réels.
Prenons par exemple la technologie d'authentification à deux facteurs (2FA). Un attaquant peut facilement espionner des mots de passe ordinaires et / ou voler (
ce qui arrive très souvent ), puis se connecter en tant qu'utilisateur légal. De plus, l'utilisateur lui-même ne devinera probablement pas le fait du vol du mot de passe avant l'apparition de conséquences désagréables (et parfois très graves).
Et cela malgré le fait que pratiquement pour personne est une révélation que l'utilisation de méthodes d'authentification à deux facteurs réduira considérablement la probabilité de conséquences graves, voire même s'en protégera complètement.
Sous la coupe, nous vous raconterons comment nous avons essayé de nous présenter à la place des décideurs sur la mise en place de 2FA dans l'organisation, et compris comment les intéresser.
Pour ceux qui veulent un peu de théorie:Comment les mots de passe sont volésLorsqu'il s'avère que les employés utilisent des mots de passe simples ("
Qq1234567 "), ils définissent généralement des politiques de mots de passe solides. Par exemple: un
mot de passe doit comporter au moins 10 caractères, au moins une lettre minuscule et une lettre majuscule, au moins un chiffre et un autre caractère; le mot de passe ne doit pas comprendre de mots et de séquences numériques couramment utilisés; le mot de passe doit être changé une fois par mois et ne doit pas coïncider avec les 12 mots de passe précédents .
Mais à la suite de l'introduction de telles politiques, les mots de passe sont devenus si difficiles à retenir qu'ils ont commencé à être écrits. Et laissez-le dans les endroits les plus visibles où tout le monde peut l'espionner. Par exemple, comme ceci:
Les mots de passe de collègues plus ordonnés peuvent être vus à côté d'eux au moment où ils entrent ces mots de passe.
La
distribution Kali Linux , formellement conçue pour les tests de pénétration, comprend un logiciel qui peut être utilisé pour intercepter et analyser le trafic afin d'obtenir des mots de passe pour l'authentification, et cela se fait presque automatiquement. Vous n'avez pas besoin d'avoir des qualifications élevées ou des connaissances particulières - il suffit de télécharger le kit de distribution Kali Linux et d'exécuter le programme.
Si un employé travaille en dehors du bureau (voyage d'affaires, visite chez le client, vacances, bureau à domicile), alors pour créer des mots de passe, il crée de faux points d'accès avec le même nom que ceux légaux, par exemple, en utilisant
WiFi-Pumpkin du même Kali Linux. Une personne se connecte au point d'accès Sheremetievo-WiFi à Sheremetyevo et tout son trafic devient accessible à un attaquant. Une autre façon de voler des mots de passe consiste à infecter les points d'accès avec du code malveillant, après quoi l'attaquant a la possibilité d'analyser le trafic qui passe.
Fonctionnement de l'authentification à deux facteursL'authentification est le processus de vérification de l'identité d'un utilisateur. Un utilisateur peut confirmer son identité à l'aide de plusieurs facteurs:
- Facteur de connaissance («je sais»). L'utilisateur connaît son mot de passe secret ou NIP unique. Le mot de passe peut être volé à l'aide de logiciels et de matériels spéciaux, ou simplement jeter un œil. Il peut également être obtenu à l'aide de l'ingénierie sociale, lorsque la victime transférera indépendamment son mot de passe à l'attaquant.
- Le facteur de possession ("j'ai"). L'utilisateur dispose d'un appareil physique qu'il doit utiliser dans le processus d'authentification. En règle générale, un tel appareil est un jeton USB ou une carte à puce (il peut également servir de passe électronique au bureau). Pour l'authentification, un jeton ou une carte à puce doit être connecté à un ordinateur ou un appareil mobile. Vous pouvez également utiliser un générateur de mot de passe à usage unique logiciel ou matériel.
- Facteur de propriété ("je suis"). Biométrie comme les empreintes digitales, les motifs de l'iris, l'ADN, etc. Un facteur qui semble très fiable, mais qui présente en réalité de nombreux inconvénients. Les lecteurs biométriques de haute qualité sont assez chers et les lecteurs bon marché ne sont pas assez fiables. Les empreintes digitales ont appris à truquer , les scanners d'iris se trompent souvent et l'identification faciale peut être trompée à l'aide d'un modèle tridimensionnel de la tête . De plus, le nombre d'indicateurs est très limité (10 doigts, deux yeux, une voix). Un mot de passe compromis peut être changé, un jeton perdu peut être remplacé, mais pirater vos doigts si les informations sur l'empreinte digitale parviennent à l'attaquant n'est en quelque sorte pas très correct (et en développer de nouveaux est complètement impossible). Nous ne considérerons pas non plus la procédure douloureuse de gravure au laser des empreintes digitales.
La combinaison de deux facteurs interdépendants est une authentification à deux facteurs.Dans la plupart des cas, l'utilisateur doit connecter le token / carte à puce à l'ordinateur et entrer un code PIN qui ouvre l'accès au token (pour certains tokens OTP, vous devrez entrer le code à partir de l'écran de l'appareil).
Le code PIN peut être pensé assez simplement, car même après l'avoir reconnu, l'attaquant ne peut rien faire sans jeton. Et si le jeton est volé, le propriétaire détectera immédiatement ce fait et appellera immédiatement ou écrit à l'administrateur système, qui devra immédiatement révoquer les certificats de l'utilisateur, ce qui signifie que la connexion à l'aide du jeton volé ne sera plus possible.
Le système d'exploitation Microsoft Windows / Windows Server contient tous les logiciels nécessaires pour implémenter l'authentification à deux facteurs basée sur des jetons / cartes à puce dans l'organisation, c'est-à-dire que vous n'avez pas à acheter de logiciel supplémentaire et que chaque employé devra
distribuer un jeton .
Il convient de noter que l'utilisation de codes de confirmation reçus par SMS n'est pas un élément de l'authentification à deux facteurs, mais
une vérification en deux étapes et offre
une protection
beaucoup plus faible contre le piratage. Par exemple, les escrocs ont appris à
truquer les cartes SIM , ce qui leur permet d'intercepter les SMS et les messages de service et, par conséquent, de voler de l'argent et des informations.
Et dans certains cas, l'
accès à une carte SIM est fourni par des employés trop confiants ou malhonnêtes d'un opérateur mobile.
Voici un article récent publié sur Habré , où l'auteur démontre quels représentants de quel opérateur ont accepté de rencontrer le présumé "cracker" et lesquels ont refusé.
De plus, vous ne devez pas oublier le phishing, lorsque les gens, après une certaine persuasion, aident les escrocs eux-mêmes en leur disant les codes envoyés par SMS. Pour couronner le tout, les codes SMS sont généralement envoyés au serveur via les réseaux publics, c'est-à-dire que le support de transmission n'est pas fiable. Oui, et l'environnement d'exécution n'est pas non plus fiable - des logiciels malveillants peuvent vivre sur le smartphone, qui envoie immédiatement les codes envoyés à l'attaquant.
Récemment, au lieu de transmettre des codes par SMS, il a été proposé d'utiliser les notifications PUSH. On prétend qu'ils sont plus sûrs, mais ce n'est pas le cas, car toutes les notifications passent par le service de notification push avant d'atteindre l'appareil de l'utilisateur. Et, par exemple, le programme pour développeurs Apple interdit directement (contrat de licence, annexe 1, paragraphe 4) ces actions en raison de l'insécurité de ces notifications. Les détails sont décrits dans cet
article très sensible .
Il existe donc une technologie d'authentification à deux facteurs qui peut, à moindre coût (temps et argent), protéger efficacement les utilisateurs contre le vol de mot de passe et, par conséquent, leurs employeurs contre la perte d'informations et d'autres problèmes de sécurité.
Mais pour une raison quelconque, cette technologie n'a été introduite que dans un nombre relativement restreint des entreprises les plus avancées et les plus protégées dans le domaine de la sécurité de l'information. Qu'attendent les autres? Ne vous inquiétez pas de la sécurité de leur infrastructure informatique ou ne considérez pas la menace comme grave? Et pouvez-vous être sûr que l'introduction de mesures de sécurité supplémentaires entraînera une détérioration des conditions de travail des utilisateurs et / ou une baisse de leur efficacité?
Pour comprendre cela, nous avons décidé de nous tourner vers l'ancienne
méthode éprouvée - pour trouver des personnages qui devraient être responsables de la mise en œuvre de 2FA, et dans le processus de description de leurs profils comportementaux, essayez de vous mettre à leur place (ou, comme le disent les Américains, de
marcher à leur place ). Si une telle méthode fonctionne pour concevoir de nouveaux produits, alors pourquoi ne pas être aussi efficace pour analyser les raisons pour (ne pas) utiliser une technologie éprouvée?
Nous avons créé quatre personnages: deux directeurs et deux chefs de services informatiques pour deux entreprises - grandes et moyennes. Et pour chacun d'eux, ils ont écrit leur propre histoire. Voici le premier.
Fedor
Compagnie
Raffinerie de pétrole FlyTech, qui fait partie de la grande holding pétrolière FlyOil. Au total, plus de 3 000 personnes travaillent à la raffinerie, mais environ 1 000 sont connectées à la technologie informatique. Il s'agit à la fois d'unités auxiliaires (gestionnaires, tenue de livres, logistique, service commercial, marketing) et de travailleurs de production travaillant avec des systèmes de contrôle de processus automatisés (systèmes de contrôle de processus automatisés - la production de produits pétroliers) via des terminaux Microsoft Windows.
Titre du poste
Chef du service informatique. Il dirige une équipe de 10 personnes.
Qu'est-ce qui est responsable de
Pour les performances de l'infrastructure informatique de l'entreprise. En gros, pour que personne ne se plaint de rien.
- Fedor sait que les faibles compétences informatiques des employés peuvent entraîner des pannes sur leur PC. Il a organisé un service de support technique qui fonctionne avec des problèmes mineurs similaires.
- Fedor sait que l'équipement vieillit et peut tomber en panne, rendant impossible le travail d'un employé, d'un service ou de toute l'usine. Par conséquent, il a organisé un fonds de réserve en cas de remplacement et a prescrit des politiques de remplacement d'urgence - la procédure et les responsables.
- Fedor sait qu'en raison d'attaques de pirates, de pannes matérielles, d'incendies, d'inondations, etc., les données peuvent être endommagées. Il a organisé la création de sauvegardes de données et prescrit une politique de récupération des données en cas de panne.
- Fedor sait que les logiciels serveur se bloquent, ce qui peut compromettre le travail ou la production au bureau. Par conséquent, il utilise des méthodes de dépannage en ligne et des politiques prescrites pour restaurer la disponibilité du logiciel serveur.
- Fedor a peur des virus. Il sait qu'ils peuvent infecter les ordinateurs des employés ou les systèmes ICS. Par conséquent, il a acheté et installé un logiciel antivirus et l'a configuré pour être mis à jour régulièrement.
- Fedor a peur des pirates réseau, il utilise donc des outils de détection et de prévention des intrusions et d'autres outils de sécurité réseau.
Qu'est-ce que ces six points ont en commun? Fedor comprend que si quelque chose se passe dans le cadre de ce qui précède, ils lui demanderont. Parfois pour la cause (virus, s'ils se propagent de façon incontrôlable sur le réseau), parfois pour les conséquences (manque de sauvegardes lors de la récupération).
Ce qui n'est pas responsable de
- Car même si elle a une source informatique, elle relève de la responsabilité des autres managers. Par exemple, si le terminal de l'opérateur du système de contrôle automatique tombe en panne, Fedor en est responsable. Si l'opérateur du système de contrôle de processus automatisé entre la mauvaise commande, ce seront les problèmes des fabricants. Par leur commande, Fedor peut donner une commande pour modifier le logiciel du système de contrôle de processus automatisé afin qu'il reconnaisse les commandes incorrectes et ne leur permette pas de s'exécuter. Mais les savoirs traditionnels seront rédigés par les travailleurs de la production, Fedor ne sera que l'intermédiaire et responsable de la mise en œuvre et du fonctionnement sans problème. Un exemple plus proche de ce sujet est si un employé possédant légalement les droits de travailler dans l'infrastructure informatique d'une entreprise essaie de les utiliser pour des actions destructrices ou souhaite utiliser les informations de l'entreprise à des fins personnelles, alors Fedor ne répondra que si plus de droits ont été accordés que Il est nécessaire que l'employé exécute actuellement ses fonctions. Sinon, ce sera le problème du service de sécurité et du supérieur immédiat de l'employé.
- Pour la mise en œuvre des risques acceptés par la direction. Il est impossible de se défendre contre tout ou trop cher. Si la direction décide, par exemple, que la perte complète de serveurs en raison d'un incendie ou d'une inondation est impossible en raison de l'emplacement ou de la protection de la salle des serveurs, aucun argent ne sera alloué aux serveurs de sauvegarde. Et en cas de problème, la responsabilité sera déjà assumée par la direction.
Cependant! Cela est vrai si Fedor a informé la direction à l'avance de ces risques. Le fait est que les cadres supérieurs sont rarement des spécialistes de l'informatique, de sorte qu'ils ne peuvent même pas deviner combien de mauvaises choses peuvent se produire. Par conséquent, si quelque chose se produit dont les sommets n'étaient pas au courant, Fedor sera déclaré coupable. Par conséquent, il essaie de mettre en garde contre d'éventuels problèmes, mais après cela, la responsabilité de prendre une décision passe aux sommets.
Vision du monde professionnelle
Fedor a suffisamment de problèmes et d'inquiétudes dans l'exercice de ses fonctions et en défense contre les menaces qu'il juge probables ou qu'il a lui-même rencontrées. Il comprend également que les fabricants de systèmes de sécurité se concentrent sur la vente de leurs produits, ils sont donc intéressés à effrayer autant que possible - à venir avec de nouvelles menaces et à exagérer la probabilité et l'importance des menaces existantes. Par conséquent, Fedor est généralement très sceptique quant aux histoires concernant les nouvelles menaces et comment les résoudre.
Il est plus facile pour Fedor de croire aux nouvelles menaces causées par un nouveau cycle de développement technologique ou aux pirates informatiques ouvrant de nouveaux trous pour le piratage qu'aux menaces de longue date qu'il pourrait théoriquement rencontrer mais n'a pas rencontrées.
Lorsque Fedor apprend l'existence d'une nouvelle menace en laquelle il croit, il rédige un plan de protection simple contre cette menace, en indiquant quelles ressources (personnes, logiciels, matériel) sont nécessaires pour cela. Ce plan est présenté aux sommets. Si les sommets conviennent d'allouer les ressources appropriées, une protection contre une menace spécifique est introduite à la raffinerie, mais comme les sommets ne sont pas des professionnels de l'informatique, le consentement à la mise en œuvre du plan dépend souvent de la soumission correcte de Fedor. Cela dépend s'il veut vraiment mettre en œuvre une protection contre cette menace ou s'il veut déplacer la responsabilité potentielle vers le haut si la menace s'avère réellement réelle et que le plan pour la prévenir n'est pas accepté.
Attitude actuelle à l'égard de 2FA
Pendant tout ce temps, Fedor n'a jamais été confronté aux graves conséquences du vol de mot de passe. Il est prêt à admettre que certains employés pouvaient connaître les mots de passe des autres, et même entendu secrètement plusieurs fois comment les employés discutaient de leurs mots de passe. Fedor sait même que les employés transfèrent leurs mots de passe, ne bloquent pas les sessions, travaillent depuis le compte de quelqu'un d'autre. Mais, à son avis, cela n'a pas entraîné et ne conduira pas à de graves fuites, sans parler de piratages ou de dommages. Il est prêt à admettre qu'il existe une relation causale, mais veut que quelqu'un lui le montre clairement. Il ne considérera pas 2FA jusqu'à ce qu'il y ait un précédent clair, ou jusqu'à ce qu'il soit forcé
Selon Fedor, le service de sécurité est responsable de la lutte contre les fuites (le service informatique ne peut fournir que les moyens techniques nécessaires). En fin de compte, le service informatique ne le force pas à surveiller le stockage des documents papier et des clés à repasser depuis le bureau - même s'il utilise des caméras de vidéosurveillance installées sur ordre du Conseil de sécurité.
Fedor estime que l'entreprise a des politiques obligeant les employés à stocker en toute sécurité leurs mots de passe signés par les employés eux-mêmes. Et si quelque chose se produit, une personne spécifique sera punie pour sa négligence. Et supervise l'exécution des politiques laisser le Conseil de sécurité. Ici, cependant, on ne peut manquer de remarquer que la théorie s'écarte souvent de la pratique. Un employé particulièrement important ou honoré ne sera pas touché même s'il écrit un mot de passe sur son front, et un employé de bas niveau sans pouvoir s'en fiche, car il n'a rien à perdre. Seule l'utilisation de moyens techniques peut égaliser tout le monde.
Le seul domaine où Fedor est vraiment inquiet est la sécurité des mots de passe pour les administrateurs système. Parce que si quelqu'un nuit à l'infrastructure informatique au nom du sysadmin et avec ses droits étendus, une enquête sérieuse sera inévitablement menée, où non seulement le sysadmin imprudent peut être assigné aux auteurs, mais aussi (selon la gravité des dommages) Fedor lui-même.
Eh bien, où sont les conclusions? Ils ne le sont pas encore, car au-delà de la portée de cet article, il y a une histoire sur trois autres personnages - le chef direct de Fedor, le directeur général de la raffinerie, ainsi que le chef du service informatique et le propriétaire de l'activité logistique. Très bientôt, nous vous dirons ce qu'ils pensent de l'authentification à deux facteurs.
En attendant, j'aimerais vraiment savoir ce que vous pensez de 2FA - à la fois sous forme de commentaires gratuits et sous forme de réponses à l'enquête. Trouvez-vous ce sujet pertinent? La menace est-elle réelle de votre point de vue? Les entreprises devraient-elles dépenser de l'argent pour mettre en œuvre 2FA?
Et au fait - vous êtes-vous reconnu dans Fedor, ou peut-être que votre patron / collègue lui ressemble? Et peut-être que nous nous sommes trompés et que des personnages similaires ont des intérêts complètement différents?