Wieloskładnikowe uwierzytelnianie bez tokenów - Poland

Transkrypt

Wieloskładnikowe
uwierzytelnianie bez
tokenów
Rozwiązanie dla małych i średnich
przedsiębiorstw
Grzegorz Mucha
[email protected]
© Copyright 2011 EMC Corporation. All rights reserved.
1
Rynek uwierzytelniania w liczbach
124
45
123456
milionów użytkowników SSL VPN w 20121
procent firm wciąż używających statycznych
haseł do uwierzytelnienia zdalnego dostępu2
najczęściej używane hasło3
1 Gartner
Specialized SSL VPN Equipment, 2008
Forrester Enterprise And SMB Security Survey, North America And Europe, Q3 2008
3 http://igigi.baywords.com/rockyou-com-passwords-list/
2
2
Rosnące zagrożenia i wymagania
Zewnętrzne ataki
Kosztowne
wymagania audytowe,
rosnąca liczba
regulacji prawnych
Beztroscy
użytkownicy
zapisujący hasła
w różnych
miejscach
Potrzeba wdrażania coraz
większej liczby narzędzi do
pracy grupowej
Wciąż zmieniające się
wymagania biznesowe
3
Oszuści widzą okazję
Budżet IT
Założenie, że małe i średnie
przedsiębiorstwa mają mniej
zaawansowane zabezpieczenia
Tradycyjnie mniejszy
udział technologii silnego
uwierzytelnienia w małych
i średnich
przedsiębiorstwach
Ryzyko dla
małych i
średnich
organizacji
Skala
organizacji
4
Presja na dział IT
Środowisko
Produktywność
użytkowników
Nieustannie
zmieniający się
krajobraz zagrożeń
Bezpieczeństwo widziane
jako „obciążenie”
Konieczność
wspierania wielu grup
użytkowników i
różnych inicjatyw
Budżet i zatrudnienie
są zawsze ograniczone
Użytkownicy nie mogą
doświadczać przerw w
pracy systemów
Kierownictwo
ma wymagania
Nacisk na narzędzia pracy grupowej i mobilne
oznacza potencjalnie „wystawienie” tożsamości
i własności intelektualnej poza granice
organizacji
5
AMX: Proste wieloskładnikowe
uwierzytelnianie
Tokeny „na żądanie”
(OnDemand Authentication, ODA)
Uwierzytelnianie w oparciu o ryzyko
(Risk-Based Authentication, RBA)
oraz
Łatwa do zarządzania platforma
6
Token „na żądanie” – część rozwiązania
• Pozwala na dostarczenie hasła jednorazowego
(OTP) przez SMS lub email
– Bazuje na algorytmie RSA SecurID
– Działa na każdym telefonie komórkowym i u
dowolnego operatora
– Bez potrzeby wdrażania dodatkowego
oprogramowania ani konieczności zarządzania
tokenami
– Wieloskładnikowe uwierzytelnianie:
• Składnik nr 1 – PIN
• Składnik nr 2 – Telefon komórkowy albo konto
mailowe
7
RSA Risk Engine
• Zaawansowany i sprawdzony model
szacowania ryzyka
– Wykorzystywany przez 350 mln
użytkowników na świecie
– Najczęściej – bankowość elektroniczna
– Do wyliczenia poziomu zaufania brane są
dziesiątki parametrów
• Samouczący się – ciągła adaptacja do
zachowań użytkowników
8
Uwierzytelnienie oparte o ryzyko
Ukryta inteligencja w RSA Authentication Manager Express
Optymalizowane dla zwykłych przedsiębiorstw
9
Risk-Based Authentication
Wieloskładnikowe uwierzytelnienie bez tokenów
1
3
• Wzmacnia siłę tradycyjnego hasło
przez dodanie po cichu analizy
opartej o ryzyko
– Czy użytkownik uwierzytelnia się
ze znanego urządzenia?
– Czy zachowanie użytkownika
mieści się w znanej
charakterystyce?
2
4
• “Ryzykowne” uwierzytelnianie
wymaga dodatkowego
potwierdzenia
– Pytania bezpieczeństwa
1
Składnik 1: Coś, co WIEMY
2
Składnik 2: Coś, co POSIADAMY
3
Składnik 3: Coś, co ROBIMY
4
Dodatkowe uwierzytelnienie : Coś co WIEMY lub co POSIADAMY
– Kod „na żądanie” (ODA)
10
Przykład – logowanie bez AMX
Pracownik wchodzi na stronę
SSL VPN-a
Podaje użytkownika i hasło
Dostęp jest przyznany
RYZYKO: Użytkownik mógł być podstawiony, hasło kradzione
11
Przykład – logowanie z AMX
Typowe zachowanie,
zarejestrowany
komputer
Poprawne
logowanie
LUB
Nietypowe zachowanie,
nietypowe urządzenie
On-demand
Authentication
Poprawne
logowanie
lub
Pracownik wchodzi na stronę SSL VPN
Następuje przekierowanie na stronę logowania
Podaje użytkownika i hasło
Pytania
Bezpieczeństwa
Charakterystyki logowania są wysyłane do
Risk Engine’u
Typowe zachowanie – użytkownik jest uwierzytelniony;
Jeśli nie – dodatkowe uwierzytelnienie, dopiero jego poprawne przejście
pozwala na zalogowanie
12
Dlaczego uwierzytelnienie oparte
o ryzyko?
Porównajmy alternatywy – zakładając brak tokenów
Hasło
******
Tylko SMS
Authentication
Manager Express
Wprowadzenie skomplikowanych haseł
Efekt: Helpdesk poświęca czas na
resetowanie haseł; spada produktywność
użytkowników
Wdrożenie systemu SMS zamiast haseł
Efekt: Niekoniecznie idealne dla wszystkich
użytkowników; SMS wysyłany przy każdej
próbie logowania
Wdrożenie RBA
Efekt: Niewidoczne dla użytkowników; płynne
wdrożenie. RBA + SMS jest lepsze niż sam
SMS.
13
RSA Authentication Manager
Express - szczegóły
• Skalowalność:
Do 2,500 użytkowników
• Platforma: Appliance z
systemem Linux
• Integracje:
• Replikacja: można
zastosować drugi appliance
–
–
–
–
SSL VPN
Outlook Web Access
Portale Webowe
Klient Citrix
• Metody uwierzytelnienia:
– Risk-based Authentication
– SMS, pytania weryfikujące
14
Typowe zastosowania
SSL VPN
Pracownicy mobilni
łączący się z
zasobami firmowymi
przez SSL VPN
Pracownik
Web Portal
Partnerzy dostają się
do portalu opartego o
Microsoft IIS w celu
złożenia zamówienia
Partner
Citrix
Podwykonawcy
korzystają z aplikacji
dostępnej przez Citrix
XenApp
Podwykonawca
15
Dlaczego RSA Authentication
Manager Express?
• RSA Authentication Manager
Express to najszybszy sposób na
wdrożenie wieloskładnikowego
uwierzytelnienia
– Sprawdzona technologia
wieloskładnikowego
uwierzytelnienia
– Bezbolesne przejście z haseł do
mocnego uwierzytelnienia
– Wygoda dla użytkowników
Standardowe uwierzytelnienie
hasłem w typowych sytuacjach
– Proste dla działu IT
Nic do wdrożenia u użytkowniów
Integracja prosto „z pudełka”
Wygodna platforma sprzętowa
16
Trzy platformy RSA do uwierzytelniania
Klient
docelowy
Zastosowania
Zalety
rozwiązania
Małe i średnie
organizacje
Mniej niż 2,500
użytkowników
Duże
przedsiębiorstwa
Powyżej1,000
użytkowników
Ochrona systemów
SSL VPN i aplikacji
webowych
Użytkownicy:
Pracownicy,
partnerzy, klienci
Ochrona aplikacji,
portali i infrastruktury
sieciowej
Użytkownicy:
Pracownicy, partnerzy,
klienci
Wygoda dla
użytkowników i działu
IT;
Niskie TCO
Zaawansowane funkcje,
skalowalność, różne
formy tokenów
RSA Authentication
Manager Express
RSA Authentication
Manager
Aplikacje dla
konsumentów
Powyżej10,000
użytkowników
Ochrona aplikacji
webowych
Użytkownicy: typowo
klienci/konsumenci
Skalowalność, wygoda,
uzasadnione
ekonomicznie;
Dostępne lokalnie lub
jako usługa
RSA Adaptive
Authentication
Maksymalna elastyczność i optymalizacja
17
Scenariusz:
Risk Based Authentication z
ODA jako metodą
dodatkowego
uwierzytelnienia
18
Risk Based Authentication
Krok 1: Login
• Kiedy używamy RBA,
strona logowania jest
przekierowania na AMX,
ale...
• ...dalej używane są
użytkownik i hasło!
19
Krok 2: Użytkownik nieznany – dodatkowe uwierzytelnienie
20
Krok 3: Zapamiętanie urządzenia (opcjonalnie)
• Tożsamość potwierdzona dodatkowym uwierzytelnieniem (tu: ODA)
• Urządzenie użytkownika może być zapamiętane jako znane
urządzenie, w następnym logowanie z tego urządzenia zostanie
podwyższony poziom zaufania
• To pytanie jest opcjonalne – można zapamiętywać wszystkie
urządzenia
21
Dodatkowe uwierzytelnienie w logach
• Urządzenie nieznane
przy pierwszym
logowaniu
• Poziom
bezpieczeństwa VERY
LOW, co wyzwoliło
dodatkowe
uwierzytelnienie
• Użytkownik poprawnie
zalogował się
używając OnDemand,
stąd jego tożsamość
potwierdzona
22
Ponowne logowanie – znane zachowanie użytkownika i urządzenie
• Użytkownik loguje się z
tego samego
urządzenia, znowu
używając użytkownika i
hasła
• Tym razem jego
komputer i zachowanie
zgadzają się z
informacjami
zapamiętanymi przez
Risk Engine
• AMX akceptuje login nie
wymagając
dodatkowego
potwierdzenia
• RBA jest w pełni
przezroczyste dla
użytkownika
23
DZIĘKUJĘ
ZA UWAGĘ
http://www.rsa.com/node.aspx?id=3843
24

Wieloskładnikowe uwierzytelnianie bez tokenów - Poland

Transkrypt

Podobne dokumenty

Czy IT jest świętym Graalem Energetyki?

Save to PDF

zobacz PDF

Noc Żywych Trupów - Wydawnictwo Gramel

Thexpan - Solcraft Sp. z oo