Provavelmente direi banalidade, mas as pessoas são muito estranhas (e os funcionários de TI são duplamente). Eles estão profundamente interessados em inovações de marketing e desejam apresentá-las, mas, ao mesmo tempo, passam indiferentemente por tecnologias que podem realmente proteger suas empresas de danos reais.
Tomemos, por exemplo, a tecnologia de autenticação de dois fatores (2FA). Um invasor pode facilmente espionar senhas comuns e / ou roubar (o
que muitas vezes acontece ) e depois efetuar login como usuário legal. Além disso, o próprio usuário provavelmente não vai adivinhar o fato do roubo da senha antes do início de conseqüências desagradáveis (e às vezes muito graves).
E isso apesar do fato de que praticamente para ninguém é uma revelação de que o uso de métodos de autenticação de dois fatores reduzirá bastante a probabilidade de quaisquer consequências graves ou até mesmo se protegerá completamente deles.
Abaixo, mostramos como tentamos nos apresentar no lugar dos tomadores de decisão sobre a implementação do 2FA na organização e entendemos como interessá-los.
Para quem quer um pouco de teoria:Como as senhas são roubadasQuando os funcionários usam senhas simples ("
Qq1234567 "), eles geralmente definem políticas de senha fortes. Por exemplo: uma
senha deve ter pelo menos 10 caracteres, pelo menos uma letra minúscula e uma maiúscula, pelo menos um dígito e outro caractere; a senha não deve incluir palavras comumente usadas e seqüências numéricas; a senha deve ser alterada uma vez por mês e não deve coincidir com as 12 senhas anteriores .
Mas, como resultado da introdução de tais políticas, as senhas ficaram tão difíceis de lembrar que começaram a ser escritas. E deixe-o nos lugares mais importantes onde qualquer um pode espioná-lo. Por exemplo, assim:
As senhas dos colegas mais organizados podem ser vistas ao lado delas no momento em que as inserem.
A
distribuição Kali Linux , formalmente projetada para teste de penetração, inclui software que pode ser usado para interceptar e analisar o tráfego para obter senhas para autenticação, e isso é feito quase automaticamente. Você não precisa ter alta qualificação ou conhecimento especial - basta baixar o kit de distribuição do Kali Linux e executar o programa.
Se um funcionário trabalha fora do escritório (viagem de negócios, visita ao cliente, férias, escritório em casa), para criar senhas, eles criam pontos de acesso falsos com o mesmo nome que os legais, por exemplo, usando
WiFi-Pumpkin do mesmo Kali Linux. Uma pessoa se conecta ao ponto de acesso Sheremetievo-WiFi em Sheremetyevo e todo o seu tráfego fica disponível para um invasor. Outra maneira de roubar senhas é infectar pontos de acesso com código malicioso, após o qual o invasor tem a oportunidade de analisar o tráfego que passa.
Como a autenticação de dois fatores funcionaAutenticação é o processo de verificação da identidade de um usuário. Um usuário pode confirmar sua identidade com a ajuda de vários fatores:
- Fator de conhecimento ("eu sei"). O usuário conhece sua senha ou PIN secreto exclusivo. A senha pode ser roubada usando software e hardware especiais, ou apenas espiar. Também pode ser obtido com a ajuda da engenharia social, quando a vítima transfere sua senha de forma independente para o atacante.
- O fator de posse ("eu tenho"). O usuário possui um dispositivo físico que ele deve usar no processo de autenticação. Normalmente, esse dispositivo é um token USB ou cartão inteligente (também pode funcionar como um passe eletrônico para o escritório). Para autenticação, um token ou cartão inteligente deve estar conectado a um computador ou dispositivo móvel. Você também pode usar um gerador de senha descartável de software ou hardware.
- Fator de propriedade ("eu sou"). Biometria, como impressões digitais, padrões de íris, DNA, etc. Um fator que parece muito confiável, mas na verdade tem muitas desvantagens. Os leitores biométricos de alta qualidade são muito caros e os baratos não são confiáveis o suficiente. As impressões digitais aprenderam a falsificar , os scanners de íris são frequentemente enganados e a identificação facial pode ser enganada usando um modelo tridimensional da cabeça . Além disso, o número de indicadores é muito limitado (10 dedos, dois olhos, uma voz). A senha comprometida pode ser alterada, o token perdido pode ser substituído, mas cortar os dedos se as informações sobre a impressão digital chegarem ao invasor de alguma forma não é muito correto (e o crescimento de novas é completamente impossível). Também não consideraremos o procedimento doloroso da gravação a laser de impressões digitais.
A combinação de dois fatores inter-relacionados é a autenticação de dois fatores.Na maioria dos casos, o usuário precisa conectar o token / cartão inteligente ao computador e inserir um código PIN que abra o acesso ao token (para alguns tokens OTP, será necessário inserir o código na tela do dispositivo).
O código PIN pode ser considerado bastante simples, porque mesmo depois de reconhecê-lo, o invasor não pode fazer nada sem um token. E se o token for roubado, o proprietário detectará imediatamente esse fato e imediatamente ligará ou gravará para o administrador do sistema, que precisará revogar imediatamente os certificados do usuário, o que significa que o logon usando o token roubado não será mais possível.
O sistema operacional Microsoft Windows / Windows Server contém todo o software necessário para implementar a autenticação de dois fatores com base em tokens / cartões inteligentes na organização, ou seja, você não precisa comprar software adicional e cada funcionário precisará
fornecer um token .
Note-se que o uso dos códigos de confirmação recebidos via SMS não é um elemento da autenticação de dois fatores, mas
a verificação em duas etapas e fornece
uma proteção
muito mais fraca contra hackers. Por exemplo, os golpistas aprenderam a
falsificar cartões SIM , o que lhes permite interceptar SMS e mensagens de serviço e, como resultado, roubar dinheiro e informações.
E, em alguns casos, o
acesso a um cartão SIM é fornecido por funcionários excessivamente confiantes ou desonestos de uma operadora móvel.
Aqui está um artigo recente publicado em Habré , onde o autor demonstra quais representantes de qual operador concordou em atender ao suposto "cracker" e que recusou.
Além disso, não se esqueça do phishing, quando as pessoas, após alguma persuasão, ajudarem os próprios golpistas, informando-os dos códigos enviados por SMS. Além disso, os códigos SMS geralmente são enviados ao servidor por redes públicas, ou seja, o meio de transmissão não é confiável. Sim, e o ambiente de tempo de execução também não é confiável - software malicioso pode viver no smartphone, que envia imediatamente os códigos enviados ao invasor.
Recentemente, em vez de transmitir códigos via SMS, propõe-se o uso de notificações PUSH. Alega-se que eles são mais seguros, mas não é assim, pois todas as notificações passam pelo Serviço de Notificação por Push antes de chegarem ao dispositivo do usuário. E, por exemplo, o Apple Developer Program proíbe diretamente (Contrato de licença, parágrafo 4 do apêndice 1) essas ações devido à insegurança de tais notificações. Os detalhes são descritos neste
artigo altamente sensível .
Portanto, existe uma tecnologia de autenticação de dois fatores que pode, a um custo mínimo (dinheiro e tempo), proteger efetivamente os usuários contra roubo de senhas e, como resultado, seus empregadores contra a perda de informações e outros problemas de segurança.
Mas, por alguma razão, essa tecnologia foi introduzida apenas em um número relativamente pequeno das empresas mais protegidas e avançadas no campo da segurança da informação. O que o resto está esperando? Não se preocupe com a segurança de sua infraestrutura de TI ou não considere a ameaça grave? E você pode ter certeza de que a introdução de medidas adicionais de segurança levará a uma deterioração das condições de trabalho dos usuários e / ou a uma diminuição de sua eficiência?
Para entender isso, decidimos recorrer ao antigo
método comprovado - criar personagens que deveriam ser responsáveis pela implementação do 2FA e, no processo de descrição de seus perfis comportamentais, tentar entrar no lugar deles (ou, como dizem os americanos,
andar no lugar dele ). Se esse método funciona para projetar novos produtos, por que não ser tão eficaz na análise das razões para (não) usar a tecnologia testada pelo tempo?
Criamos quatro caracteres: dois diretores e dois chefes de departamentos de TI para duas empresas - grandes e médias. E para cada um deles eles escreveram sua própria história. Aqui está o primeiro.
Fedor
Companhia
Refinaria de petróleo FlyTech, parte da grande exploração de petróleo FlyOil. No total, mais de 3 mil pessoas trabalham na refinaria, mas cerca de mil estão conectadas à tecnologia de computadores. São duas unidades auxiliares (gerentes, escrituração contábil, logística, serviço de vendas, marketing) e trabalhadores de produção que trabalham com sistemas de controle de processo automatizados (sistemas de controle de processo automatizados - a produção de produtos petrolíferos) através dos terminais do Microsoft Windows.
Cargo
Chefe do departamento de TI. Ele lidera uma equipe de 10 pessoas.
O que é responsável por
Para o desempenho da infraestrutura de TI corporativa. Grosso modo, para que ninguém se queixe de nada.
- Fedor sabe que as baixas habilidades de TI dos funcionários podem levar a falhas no PC. Ele organizou um serviço de suporte técnico que trabalha com questões menores semelhantes.
- Fedor sabe que o equipamento está envelhecendo e pode falhar, impossibilitando o trabalho de um funcionário, departamento ou toda a planta. Portanto, ele organizou um fundo de reserva em caso de substituição e prescreveu políticas de substituição de emergência - o procedimento e os responsáveis.
- Fedor sabe que, devido a ataques de hackers, falhas de hardware, incêndios, inundações etc., os dados podem ser danificados. Ele organizou a criação de backups de dados e prescreveu uma política para recuperação de dados em caso de falha.
- Fedor sabe que o software de servidor trava e pode comprometer o trabalho ou a produção do escritório. Portanto, ele usa métodos de solução de problemas on-line e políticas prescritas para restaurar o tempo de atividade do software do servidor.
- Fedor tem medo de vírus. Ele sabe que eles podem infectar os computadores ou sistemas ICS dos funcionários. Portanto, ele comprou e instalou o software antivírus e o configurou para ser atualizado regularmente.
- Fedor tem medo de hackers de rede, então ele usa ferramentas de detecção e prevenção de intrusões e outras ferramentas de segurança de rede.
O que esses seis pontos têm em comum? Fedor entende que se algo acontecer dentro da estrutura acima, eles perguntarão a ele. Às vezes pela causa (vírus, se espalharem incontrolavelmente pela rede), às vezes pelas consequências (falta de backups durante a recuperação).
O que não é responsável por
- Pelo fato de que, embora tenha uma fonte de TI, ela se enquadra na área de responsabilidade de outros gerentes. Por exemplo, se o terminal do operador do sistema de controle automático quebrar, o Fedor é responsável por isso. Se o operador do sistema de controle automatizado do processo digitar o comando errado, esses serão os problemas dos fabricantes. Por ordem deles, Fedor pode dar um comando para modificar o software do sistema de controle automatizado de processos, para que ele reconheça comandos incorretos e não permita a execução. Mas TK será escrito pelos trabalhadores da produção, Fedor será apenas o intermediário e responsável pela implementação e operação sem problemas. Um exemplo mais próximo desse tópico é se um funcionário que possui legalmente os direitos para trabalhar na infraestrutura de TI de uma empresa tenta usá-los para ações destrutivas ou deseja usar informações corporativas para fins pessoais, então o Fedor responderá apenas se mais direitos forem concedidos do que No momento, é necessário que o empregado cumpra suas funções no trabalho. Caso contrário, este será o problema do serviço de segurança e do supervisor imediato do funcionário.
- Para a implementação dos riscos aceitos pela administração. É impossível se defender contra tudo ou muito caro. Se o gerenciamento decidir, por exemplo, que a perda completa de servidores devido a um incêndio ou inundação é impossível devido à localização ou proteção da sala do servidor, nenhum dinheiro será alocado para os servidores de backup. E em caso de problemas, a responsabilidade já será assumida pela gerência.
No entanto! Isso é verdade se o Fedor informar previamente a administração sobre esses riscos. O fato é que os principais gerentes raramente são especialistas em TI, portanto, eles podem nem adivinhar o quanto as coisas ruins podem acontecer. Portanto, se algo acontecer que os tops não tinham conhecimento, Fedor será declarado culpado. Portanto, ele tenta alertar sobre possíveis problemas, mas depois disso a responsabilidade de tomar uma decisão passa para o topo.
Visão profissional do mundo
Fedor tem problemas e preocupações suficientes no desempenho de suas funções e na defesa contra ameaças que ele considera prováveis ou que ele mesmo encontrou. Ele também entende que os fabricantes de sistemas de segurança estão focados na venda de seus produtos, portanto, estão interessados em assustar o máximo possível - criando novas ameaças e exagerando a probabilidade e o significado dos existentes. Portanto, Fedor geralmente é muito cético em relação a histórias sobre novas ameaças e como resolvê-las.
É mais fácil para Fedor acreditar em novas ameaças causadas por uma nova rodada de desenvolvimento de tecnologia ou em hackers abrindo novos buracos para hackers do que em ameaças de longa data que ele teoricamente poderia encontrar, mas não encontrou.
Quando Fedor descobre uma nova ameaça em que acredita, ele escreve um plano simples de proteção contra essa ameaça, indicando quais recursos (pessoas, software, hardware) são necessários para isso. Este plano é apresentado ao topo. Se os tops concordarem em alocar os recursos apropriados, a proteção contra uma ameaça específica será introduzida na refinaria. Mas, como os tops não são profissionais de TI, o consentimento para a implementação do plano geralmente depende da submissão correta do Fedor. Depende se ele realmente deseja implementar proteção contra essa ameaça ou se deseja transferir a responsabilidade potencial para o topo, se a ameaça realmente for real e se o plano para impedi-la não for aceito.
Atitude atual em relação ao 2FA
Durante todo o tempo, Fedor nunca enfrentou as graves consequências do roubo de senhas. Ele está pronto para admitir que alguns funcionários podem conhecer as senhas de outros e até secretamente ouviu algumas vezes como os funcionários discutiam suas senhas. Fedor sabe até que os funcionários transferem suas senhas, não bloqueiam sessões, trabalham na conta de outra pessoa. Mas, em sua opinião, isso não causou e não causará vazamentos sérios, muito menos invasões ou danos. Ele está pronto para admitir que existe um relacionamento causal, mas quer que alguém o mostre claramente. Ele não considerará o 2FA até que exista um precedente claro ou até que seja forçado
Segundo Fedor, o serviço de segurança é responsável pelo combate a vazamentos (o departamento de TI pode fornecer apenas os meios técnicos necessários). No final, a TI não a força a monitorar o armazenamento de documentos em papel e chaves de ferro do escritório - mesmo que sirva câmeras de vigilância por vídeo instaladas por ordem do Conselho de Segurança.
Fedor acredita que a empresa possui políticas que exigem que os funcionários armazenem com segurança suas senhas assinadas pelos próprios funcionários. E se algo acontecer, uma pessoa específica será punida por seu descuido. E supervisiona a execução das políticas deixar o Conselho de Segurança. Aqui, no entanto, não se pode deixar de notar que a teoria frequentemente diverge da prática. Um funcionário especialmente importante ou honrado não será tocado, mesmo que ele escreva uma senha na testa, e um funcionário de baixo nível sem poder não se importe, pois não tem nada a perder. Somente o uso de meios técnicos pode igualar a todos.
A única área em que o Fedor está realmente preocupado é a segurança das senhas dos administradores de sistema. Porque se alguém prejudica a infraestrutura de TI em nome do administrador de sistemas e com seus direitos extensos, uma investigação séria será inevitavelmente conduzida, onde não apenas o administrador de sistema descuidado pode ser atribuído aos autores, mas também (dependendo da gravidade do dano) o próprio Fedor.
Bem, onde estão as conclusões? Eles ainda não são, porque além do escopo deste artigo, há uma história sobre mais três personagens - o chefe direto de Fedor, o diretor geral da refinaria, o chefe do departamento de TI e o proprietário do negócio de logística. Muito em breve, mostraremos o que eles acham da autenticação de dois fatores.
Enquanto isso, eu realmente gostaria de saber o que você pensa sobre o 2FA - tanto na forma de comentários gratuitos quanto na forma de respostas à pesquisa. Você acha este tópico relevante? A ameaça é real do seu ponto de vista? As empresas devem gastar dinheiro na implementação do 2FA?
E, a propósito - você se reconheceu em Fedor, ou talvez seu chefe / colega pareça com ele? E talvez estivéssemos enganados e personagens semelhantes tenham interesses completamente diferentes?