Wieloskładnikowe uwierzytelnianie bez tokenów - Poland
Transkrypt
Wieloskładnikowe uwierzytelnianie bez tokenów - Poland
Wieloskładnikowe uwierzytelnianie bez tokenów Rozwiązanie dla małych i średnich przedsiębiorstw Grzegorz Mucha [email protected] © Copyright 2011 EMC Corporation. All rights reserved. 1 Rynek uwierzytelniania w liczbach 124 45 123456 milionów użytkowników SSL VPN w 20121 procent firm wciąż używających statycznych haseł do uwierzytelnienia zdalnego dostępu2 najczęściej używane hasło3 1 Gartner Specialized SSL VPN Equipment, 2008 Forrester Enterprise And SMB Security Survey, North America And Europe, Q3 2008 3 http://igigi.baywords.com/rockyou-com-passwords-list/ 2 © Copyright 2011 EMC Corporation. All rights reserved. 2 Rosnące zagrożenia i wymagania Zewnętrzne ataki Kosztowne wymagania audytowe, rosnąca liczba regulacji prawnych Beztroscy użytkownicy zapisujący hasła w różnych miejscach Potrzeba wdrażania coraz większej liczby narzędzi do pracy grupowej Wciąż zmieniające się wymagania biznesowe © Copyright 2011 EMC Corporation. All rights reserved. 3 Oszuści widzą okazję Budżet IT Założenie, że małe i średnie przedsiębiorstwa mają mniej zaawansowane zabezpieczenia Tradycyjnie mniejszy udział technologii silnego uwierzytelnienia w małych i średnich przedsiębiorstwach Ryzyko dla małych i średnich organizacji Skala organizacji © Copyright 2011 EMC Corporation. All rights reserved. 4 Presja na dział IT Środowisko Produktywność użytkowników Nieustannie zmieniający się krajobraz zagrożeń Bezpieczeństwo widziane jako „obciążenie” Konieczność wspierania wielu grup użytkowników i różnych inicjatyw Budżet i zatrudnienie są zawsze ograniczone Użytkownicy nie mogą doświadczać przerw w pracy systemów Kierownictwo ma wymagania Nacisk na narzędzia pracy grupowej i mobilne oznacza potencjalnie „wystawienie” tożsamości i własności intelektualnej poza granice organizacji © Copyright 2011 EMC Corporation. All rights reserved. 5 AMX: Proste wieloskładnikowe uwierzytelnianie Tokeny „na żądanie” (OnDemand Authentication, ODA) Uwierzytelnianie w oparciu o ryzyko (Risk-Based Authentication, RBA) oraz Łatwa do zarządzania platforma © Copyright 2011 EMC Corporation. All rights reserved. 6 Token „na żądanie” – część rozwiązania • Pozwala na dostarczenie hasła jednorazowego (OTP) przez SMS lub email – Bazuje na algorytmie RSA SecurID – Działa na każdym telefonie komórkowym i u dowolnego operatora – Bez potrzeby wdrażania dodatkowego oprogramowania ani konieczności zarządzania tokenami – Wieloskładnikowe uwierzytelnianie: • Składnik nr 1 – PIN • Składnik nr 2 – Telefon komórkowy albo konto mailowe © Copyright 2011 EMC Corporation. All rights reserved. 7 RSA Risk Engine • Zaawansowany i sprawdzony model szacowania ryzyka – Wykorzystywany przez 350 mln użytkowników na świecie – Najczęściej – bankowość elektroniczna – Do wyliczenia poziomu zaufania brane są dziesiątki parametrów • Samouczący się – ciągła adaptacja do zachowań użytkowników © Copyright 2011 EMC Corporation. All rights reserved. 8 Uwierzytelnienie oparte o ryzyko Ukryta inteligencja w RSA Authentication Manager Express Optymalizowane dla zwykłych przedsiębiorstw © Copyright 2011 EMC Corporation. All rights reserved. 9 Risk-Based Authentication Wieloskładnikowe uwierzytelnienie bez tokenów 1 3 • Wzmacnia siłę tradycyjnego hasło przez dodanie po cichu analizy opartej o ryzyko – Czy użytkownik uwierzytelnia się ze znanego urządzenia? – Czy zachowanie użytkownika mieści się w znanej charakterystyce? 2 4 • “Ryzykowne” uwierzytelnianie wymaga dodatkowego potwierdzenia – Pytania bezpieczeństwa 1 Składnik 1: Coś, co WIEMY 2 Składnik 2: Coś, co POSIADAMY 3 Składnik 3: Coś, co ROBIMY 4 Dodatkowe uwierzytelnienie : Coś co WIEMY lub co POSIADAMY © Copyright 2011 EMC Corporation. All rights reserved. – Kod „na żądanie” (ODA) 10 Przykład – logowanie bez AMX Pracownik wchodzi na stronę SSL VPN-a Podaje użytkownika i hasło Dostęp jest przyznany RYZYKO: Użytkownik mógł być podstawiony, hasło kradzione © Copyright 2011 EMC Corporation. All rights reserved. 11 Przykład – logowanie z AMX Typowe zachowanie, zarejestrowany komputer Poprawne logowanie LUB Nietypowe zachowanie, nietypowe urządzenie On-demand Authentication Poprawne logowanie lub Pracownik wchodzi na stronę SSL VPN Następuje przekierowanie na stronę logowania Podaje użytkownika i hasło Pytania Bezpieczeństwa Charakterystyki logowania są wysyłane do Risk Engine’u Typowe zachowanie – użytkownik jest uwierzytelniony; Jeśli nie – dodatkowe uwierzytelnienie, dopiero jego poprawne przejście pozwala na zalogowanie © Copyright 2011 EMC Corporation. All rights reserved. 12 Dlaczego uwierzytelnienie oparte o ryzyko? Porównajmy alternatywy – zakładając brak tokenów Hasło ****** Tylko SMS Authentication Manager Express © Copyright 2011 EMC Corporation. All rights reserved. Wprowadzenie skomplikowanych haseł Efekt: Helpdesk poświęca czas na resetowanie haseł; spada produktywność użytkowników Wdrożenie systemu SMS zamiast haseł Efekt: Niekoniecznie idealne dla wszystkich użytkowników; SMS wysyłany przy każdej próbie logowania Wdrożenie RBA Efekt: Niewidoczne dla użytkowników; płynne wdrożenie. RBA + SMS jest lepsze niż sam SMS. 13 RSA Authentication Manager Express - szczegóły • Skalowalność: Do 2,500 użytkowników • Platforma: Appliance z systemem Linux • Integracje: • Replikacja: można zastosować drugi appliance – – – – SSL VPN Outlook Web Access Portale Webowe Klient Citrix • Metody uwierzytelnienia: – Risk-based Authentication – SMS, pytania weryfikujące © Copyright 2011 EMC Corporation. All rights reserved. 14 Typowe zastosowania SSL VPN Pracownicy mobilni łączący się z zasobami firmowymi przez SSL VPN Pracownik Web Portal Partnerzy dostają się do portalu opartego o Microsoft IIS w celu złożenia zamówienia Partner Citrix Podwykonawcy korzystają z aplikacji dostępnej przez Citrix XenApp Podwykonawca © Copyright 2011 EMC Corporation. All rights reserved. 15 Dlaczego RSA Authentication Manager Express? • RSA Authentication Manager Express to najszybszy sposób na wdrożenie wieloskładnikowego uwierzytelnienia – Sprawdzona technologia wieloskładnikowego uwierzytelnienia – Bezbolesne przejście z haseł do mocnego uwierzytelnienia – Wygoda dla użytkowników Standardowe uwierzytelnienie hasłem w typowych sytuacjach – Proste dla działu IT Nic do wdrożenia u użytkowniów Integracja prosto „z pudełka” Wygodna platforma sprzętowa © Copyright 2011 EMC Corporation. All rights reserved. 16 Trzy platformy RSA do uwierzytelniania Klient docelowy Zastosowania Zalety rozwiązania Małe i średnie organizacje Mniej niż 2,500 użytkowników Duże przedsiębiorstwa Powyżej1,000 użytkowników Ochrona systemów SSL VPN i aplikacji webowych Użytkownicy: Pracownicy, partnerzy, klienci Ochrona aplikacji, portali i infrastruktury sieciowej Użytkownicy: Pracownicy, partnerzy, klienci Wygoda dla użytkowników i działu IT; Niskie TCO Zaawansowane funkcje, skalowalność, różne formy tokenów RSA Authentication Manager Express RSA Authentication Manager Aplikacje dla konsumentów Powyżej10,000 użytkowników Ochrona aplikacji webowych Użytkownicy: typowo klienci/konsumenci Skalowalność, wygoda, uzasadnione ekonomicznie; Dostępne lokalnie lub jako usługa RSA Adaptive Authentication Maksymalna elastyczność i optymalizacja © Copyright 2011 EMC Corporation. All rights reserved. 17 Scenariusz: Risk Based Authentication z ODA jako metodą dodatkowego uwierzytelnienia © Copyright 2011 EMC Corporation. All rights reserved. 18 Risk Based Authentication Krok 1: Login • Kiedy używamy RBA, strona logowania jest przekierowania na AMX, ale... • ...dalej używane są użytkownik i hasło! © Copyright 2011 EMC Corporation. All rights reserved. 19 Risk Based Authentication Krok 2: Użytkownik nieznany – dodatkowe uwierzytelnienie © Copyright 2011 EMC Corporation. All rights reserved. 20 Risk Based Authentication Krok 3: Zapamiętanie urządzenia (opcjonalnie) • Tożsamość potwierdzona dodatkowym uwierzytelnieniem (tu: ODA) • Urządzenie użytkownika może być zapamiętane jako znane urządzenie, w następnym logowanie z tego urządzenia zostanie podwyższony poziom zaufania • To pytanie jest opcjonalne – można zapamiętywać wszystkie urządzenia © Copyright 2011 EMC Corporation. All rights reserved. 21 Risk Based Authentication Dodatkowe uwierzytelnienie w logach • Urządzenie nieznane przy pierwszym logowaniu • Poziom bezpieczeństwa VERY LOW, co wyzwoliło dodatkowe uwierzytelnienie • Użytkownik poprawnie zalogował się używając OnDemand, stąd jego tożsamość potwierdzona © Copyright 2011 EMC Corporation. All rights reserved. 22 Risk Based Authentication Ponowne logowanie – znane zachowanie użytkownika i urządzenie • Użytkownik loguje się z tego samego urządzenia, znowu używając użytkownika i hasła • Tym razem jego komputer i zachowanie zgadzają się z informacjami zapamiętanymi przez Risk Engine • AMX akceptuje login nie wymagając dodatkowego potwierdzenia • RBA jest w pełni przezroczyste dla użytkownika © Copyright 2011 EMC Corporation. All rights reserved. 23 DZIĘKUJĘ ZA UWAGĘ http://www.rsa.com/node.aspx?id=3843 © Copyright 2011 EMC Corporation. All rights reserved. 24