RSA Authentication Manager ExpreSS Stručný přehled řešení
Tradiční způsob ověřování pouze uživatelským jménem a heslem je spojen se známými riziky. Přesto 44 % organizací dodnes zajišťuje vzdálený přístup k informacím pro zaměstnance a dodavatele tímto nedokonalým způsobem 1. Tím však podstupují značné riziko, protože systémy spoléhající se pouze na statická jména a hesla poskytují velmi malou ochranu proti neautorizovanému přístupu a stále důmyslnějším útokům zaměřeným na zcizení dat. Proto organizace, které jsou si vědomy kritického významu svých dat a aplikací, využívají k jejich ochraně silnějších autentizacích řešení. Malým a středním podnikům (SMB) však zpravidla chybějí zdroje potřebné k plné ochraně sítě, a tak je pro ně implementace bezpečnostního řešení často problematická. Navíc se tyto podniky někdy mylně domnívají, že se jich kybernetické hrozby příliš netýkají. Závěry nedávné studie National Cyber Security Alliance potvrdily, že 85 % SMB pokládá nebezpečí útoku na své systémy za výrazně nižší, než jakému čelí velké korporac 2. Kyberzločinci však velmi dobře vědí, že malé a střední podniky mívají nedostatečné bezpečnostní mechanismy. Z toho důvodu se na ně ve snaze získat citlivá data zaměřují stále častěji. Jak překonat překážky zavedení silné autentizace Chtějí-li malé a střední podniky obhájit pořízení řešení s dvoufaktorovým ověřováním, musejí překonat několik překážek. Hlavní tři problémy bránící SMB v implementaci silného autentizačního řešení jsou následující: Vysoké náklady Nepohodlí pro koncové uživatele Složitost implementace a správy Náklady Většina malých a středních podniků uvádí jako největší překážku zavedení silné autentizace vysoké náklady s tím spojené. Například pro ověřování jednorázovým heslem je třeba pořídit autentizační zařízení pro koncové uživatele a autentizační server. Nezanedbatelnou položkou nákladů jsou také poplatky za zákaznickou podporu a aktualizace softwaru. Malé a střední podniky s omezeným rozpočtem se proto často nakonec spokojí se zabezpečením přístupu pouhým přihlášením pod uživatelským jménem a heslem. Nepohodlí pro koncové uživatele Dopad na koncové uživatele je dalším aspektem výběru autentizačního řešení. Organizace musí zvážit, zda se uživatelé nebudou k nové technologii stavět odmítavě, protože zvýšená bezpečnostní opatření je budou omezovat v práci. Řešení se také může značně prodražit, pokud bude tým podpory zaneprázdněn zvýšeným počtem žádostí uživatelů o pomoc. Implementace a správa Počáteční implementace silného autentizačního řešení může být velmi náročná na čas pracovníků IT oddělení. Dále je třeba počítat s průběžnou správou řešení, což může zahrnovat úkony jako vytvoření/rušení přístupu pro uživatele a distribuci softwaru a hardwaru. SMB mají zpravidla nedostatek IT pracovníků. Odpovídající správa silného autentizačního řešení vyžaduje dostatečné lidské zdroje a další čas navíc, což může již tak dost vytížený personál odrazovat. 1 Forrester Research, Best Practices: Implementing Strong Authentication in Your Enterprise, červenec 2009 2 2010 NCSA/Visa Inc. Small Business Study Strana 2
Silná autentizace pro malé a střední podniky RSA Authentication Manager Express nabízí řešení problémů malých a středních firem v oblasti nákladů, uživatelského komfortu a IT správy. Je nákladově efektivní, praktický a poskytuje spolehlivé zabezpečení. Jeho základem je silná platforma pro vícefaktorové ověřování poskytující bezpečné ověřování až 2 500 vzdálených uživatelů. RSA Authentication Manager Express spolupracuje s předními webovými aplikacemi a sítěmi SSL VPN, což výrazně usnadňuje implementaci spolehlivého ověřování a zabezpečení přístupu k chráněným aplikacím a datům. RSA Authentication Manager Express využívá technologie RSA pro ověřování podle míry rizika. Základem je sofistikovaný systém RSA Risk Engine, který přiřadí každému požadavku o přihlášení míru rizika na základě vyhodnocení desítek identifikátorů sledovaných v reálném čase. Mezi faktory, podle kterých RSA Authentication Manager Express vyhodnocuje nebezpečnost každého pokusu o přihlášení, patří: Něco, co uživatel zná, například stávající jméno a heslo. Něco, co uživatel vlastní nebo používá, například notebook nebo stolní počítač. Něco, co uživatel dělá, např. nedávná aktivita na účtu. RSA Risk Engine umožňuje organizacím zavádět přizpůsobené zásady podle vlastních prahů rizika. Organizace může definovat a přiřadit několik úrovní rizika od nízkého po vysoké. V RSA Authentication Manageru Express lze také nastavit různé úrovně rizika pro různé skupiny uživatelů. Takto je možné vytvořit pro jednotlivé uživatelské profily vlastní zásady zabezpečení podle jejich vztahu k organizaci. Pro interní zaměstnance může být například nastavena vyšší tolerance rizika než pro klienty či zákazníky. RSA Risk Engine ověří uživatele a umožní mu přístup do sítě pouze tehdy, pokud rozhodne, že úroveň rizika daného pokusu o přihlášení je nižší než nastavený limit. Pokud však RSA Risk Engine vyhodnotí úroveň rizika jako příliš vysokou, je od uživatele požadováno dodatečné ověření totožnosti. Profily zařízení: Něco, co uživatel vlastní nebo používá RSA Risk Engine analyzuje informace o každém požadavku o přihlášení ve dvou hlavních kategoriích: profilu zařízení a profilu chování. První komponent, profil zařízení, ověřuje uživatele na základě analýzy charakteristik fyzického notebooku nebo desktopu, ze kterého se obvykle přihlašují. Významným kritériem je i to, zda je o daném zařízení již známo, že je spojeno s osobou určitého uživatele. Analýza profilu zařízení se skládá ze dvou komponent: jedinečné identifikace zařízení a statistické identifikace zařízení. Jedinečná identifikace zařízení spočívá v uložení dvou prvků na zařízení uživatele: (a) vlastního bezpečného souboru cookie a (b) sdíleného objektu flash (někdy nazývaného flash cookie ). Bezpečný vlastní soubor cookie hraje významnou roli při identifikaci notebooku či desktopu. Obsahuje jedinečný kryptografický identifikátor, který je následně používán jako primární mechanismus identifikace uživatele. Flash cookie se používá ve spojení se souborem cookie jako druhá vrstva spolehlivosti. RSA Authentication Manager Express využívá flash cookie k označení zařízení uživatele stejným způsobem jako soubor cookie, tj. k ukládání informací k pozdějšímu použití. Výhodou flash cookie je to, že nejsou tak často promazávány jako běžné soubory cookie, protože většina uživatelů si jejich přítomnosti není vůbec vědoma. A i uživatelé, kteří o nich vědí, zpravidla netuší, jak je odstranit. Strana 3
Statistická identifikace zařízení je technologie využívající charakteristik zařízení k identifikaci statistickou metodou, na základě které je pak uživatel přiřazen specifickému zařízení. Statistické identifikaci zařízení se také někdy říká forenzní analýza počítačů nebo snímání otisků prstů zařízení. Zpravidla se využívá jako záložní mechanismus v případě absence jedinečného kryptografického identifikátoru (který mohl být ze zařízení smazán). Některé z prvků měřených při statistické identifikaci zařízení obsahují data získaná z hlaviček HTTP a javaskriptů. Může se jednat například o verze operačního systému, úrovně systémových oprav, rozlišení obrazovky, verzi internetového prohlížeče, data uživatelského agenta, verze softwaru, parametry monitoru (velikost a barevná hloubka), jazyky, nastavení časového pásma, instalované objekty prohlížeče, instalovaný software, regionální a jazyková nastavení, IP adresa apod. Profil chování: Něco, co uživatel dělá Pro určení rizikovosti požadavku o přístup využívá RSA Authentication Manager Express kromě profilu zařízení také analýzu chování uživatele. Profil chování se používá k identifikaci vysoce rizikového pokusu o přihlášení měřením prvků jako např. četnost pokusů o přihlášení, informace o IP adrese či aktivita účtu (např. nedávné změny profilu uživatele či opakované neúspěšné pokusy o přihlášení). Pokud se například uživatel běžně přihlašuje z New York City a najednou se pokusí o přihlášení z Moskvy, může to systém vyhodnotit jako neobvyklé chování. Pokud však uživatel často cestuje a běžně se přihlašuje z různých míst, pak takové přihlášení za neobvyklé patrně považováno nebude. Obr. 1: Při určování míry rizikovosti požadavku o přihlášení vyhodnocuje RSA Risk Engine desítky prvků 10.0.1.195 IP informace Klíče specifické pro zařízení Vzorce chování Profil zařízení Historie účtu Strana 4
Další ověření v případě požadavku s vysokým rizikem Pokud rizikovost žádosti o přístup překročí určitý práh stanovený organizací, vyzve RSA Authentication Manager Express uživatele k dodatečnému ověření totožnosti. To je běžné např. tehdy, když se uživatel přihlašuje ze zařízení, které není systémem rozpoznáno a nebylo v minulosti ještě nikdy použito k přístupu do sítě. RSA Authentication Manager Express umožňuje organizacím vybrat jednu ze dvou následujících metod: SMS nebo kontrolními otázkami. SMS Požadavek na SMS bude iniciován, pokud úroveň rizika pokusu o přístup bude vyhodnocena jako vysoká. RSA Authentication Manager Express si v takovém případě vyžádá od uživatele další doložení totožnosti prostřednictvím jednoduchého procesu. Nejprve jej vyzve k zadání tajného kódu PIN, který si uživatel zvolil při registraci. Potom systém vygeneruje automatickou SMS zprávu, kterou zašle na mobilní telefon zaregistrovaný uživatelem pro příjem zpráv. SMS bude obsahovat jedinečný osmičíselný kód, který uživatel zadá do webového prohlížeče. Po jeho ověření systémem je uživateli okamžitě udělen přístup. RSA Authentication Manager Express podporuje rovněž doručení kódu elektronickou poštou. Hlavní výhodou ověření SMS je to, že uživatel může použít libovolný mobilní telefon a nemusí pořizovat nový hardware či instalovat dodatečný software. Kontrolní otázky Pokud se organizace rozhodne posílit zabezpečení tímto způsobem, je každému uživateli nabídnut při registraci soubor otázek. Uživatel si z nich vybere stanovený počet a poskytne odpovědi, které tak zná pouze on. Při dodatečném ověřování je pak uživateli předloženo vždy pouze několik otázek z jeho výběru, aby se otázky obměňovaly a tím bylo sníženo riziko, že kontrolní otázky a odpovědi odpozoruje neautorizovaná osoba. Místo výchozích, přednastavených otázek RSA Authentication Manageru Express si může každá organizace vypracovat také otázky vlastní. Implementace a správa RSA Authentication Manager Express je zařízení připravené k okamžitému použití, které podporuje přední SSL VPN a webové servery. S použitím nástroje RSA Quick Setup je server zprovozněn v několika snadných krocích. Stejně jednoduchá je i implementace pro koncové uživatele. RSA Authentication Manager Express lze připojit přímo k existujícímu adresářovému serveru. Uživatelé se při příštím přihlášení sami zaregistrují do systému prostřednictvím intuitivního průvodce. Proces registrace je plně automatický. Správci tak ušetří čas na zavedení uživatelů, které je potřeba provést u ostatních metod autentizace. Strana 5
Klíčové výhody RSA Authentication Manager Express je navržen pro požadavky malých a středních podniků, které potřebují silnou autentizaci. Nákladově efektivní. RSA Authentication Manager Express byl navržen tak, aby odpovídal požadavkům organizací do 2 500 uživatelů. Tomu byla přizpůsobena i jeho cena. Uživatelský komfort. RSA Authentication Manager Express umožňuje, aby k ověření většiny uživatelů stačilo správně zadat uživatelské jméno a heslo. Vícefaktorová autentizace v takovém případě koncového uživatele nijak neobtěžuje, protože RSA Risk Engine pracuje na pozadí. Uživatel je vyzván k dodatečnému doložení totožnosti pouze tehdy, když jeho pokus vyhodnotí RSA Risk Engine jako příliš rizikový. Snadná implementace a správa. RSA Authentication Manager Express je prodáván jako zařízení připravené k okamžitému použití, které podporuje přední SSL VPN a webové servery. Kromě toho je proces počáteční registrace uživatelů plně automatický. To šetří čas správců, protože ti nemusí uživatele ručně zavádět do systému. Osvědčená technologie. RSA Authentication Manager Express využívá stejné technologie ověřování na základě vyhodnocení rizika, která již byla úspěšně implementována u více než 8 000 organizací z různých odvětví včetně financí, zdravotnictví, maloobchodu a státního sektoru. V současnosti je technologie RSA pro ověřování na základě vyhodnocení rizika používána k ochraně více než 250 miliónů uživatelských identit a zajištění bezpečného přístupu k různým aplikacím a systémům včetně webových stránek, portálů a SSL VPN aplikací. Závěr RSA Authentication Manager Express umožňuje malým a středním podnikům přejít na silnou autentizaci způsobem, který je nákladově efektivní a pohodlný jak pro správce, tak pro koncové uživatele. S RSA Authentication Managerem Express mohou SMB zabránit neautorizovanému přístupu, snížit riziko úniku dat a zajistit shodu s legislativou způsobem, který vyhovuje jejich rozpočtu a spolehlivě umožní bezpečný přístup novým uživatelům. Strana 6
Vyvrácení mýtů o silné autentizaci Mýtus Skutečnost V našem podniku používáme silná hesla a od všech zaměstnanců požadujeme, aby si tato hesla pravidelně měnili. Tím snižujeme riziko. Můj podnik si nemůže dovolit silné autentizační řešení. Silná hesla, která obsahují číslice, velká písmena a speciální znaky mohou být sice obtížněji prolomitelná hackery, nicméně jsou také obtížně zapamatovatelná pro uživatele. Z toho důvodu je velmi pravděpodobné, že si uživatelé tato hesla budou někam zapisovat např. na papír nebo jinam což ve skutečnosti zvyšuje riziko, že tato hesla získá neoprávněná osoba. Opravdu silné ověření se nespoléhá pouze na jeden faktor a využívá i jiné prvky než samotné heslo. Silná autentizace může být velmi nákladově efektivní a nejen pro velké organizace. Například RSA Authentication Manager Express byl navržen pro podniky s menší uživatelskou základnou a omezeným rozpočtem na IT, a tomu odpovídá i jeho cena. Náklady na silnou autentizaci převyšují její výhody. Náklady na silnou autentizaci jsou nesrovnatelně menší než náklady, které mohou vaší organizaci vzniknout v případě, že dojde ke zcizení dat nebo budete penalizováni za nedodržení legislativních požadavků. Silná autentizace může navíc vytvářet nové obchodní příležitosti s novými možnostmi příjmů, a také optimalizovat podnikové procesy. V konečném důsledku tak budou náklady na vlastní autentizační řešení nepodstatné. Kyberhrozby se týkají pouze velkých a vládních organizací. Právě naopak. Kyberzločinci se ve stále větší míře zaměřují právě na malé a střední podniky, které pro ně představují snazší cíl, neboť jejich zabezpečení je často nedostačující. Strana 7
O společnosti RSA RSA, bezpečnostní divize EMC, je přední světový dodavatel bezpečnostních řešení a řešení pro minimalizaci rizik a dosahování legislativní shody. Organizacím z celého světa pomáhá k úspěchu prostřednictvím řešení složitých a citlivých bezpečnostních problémů. Mezi tyto problémy patří řízení organizačních rizik, ostraha mobilního přístupu a spolupráce, zajištění legislativní shody, zabezpečení virtuálních prostředí a prostředí typu cloud. Prostřednictvím kombinace kontrolních mechanizmů pro ověření totožnosti, prevence proti ztrátě dat, šifrování, hardwarových i softwarových klíčů, ochrany před podvodným jednáním a SIEM s předními funkcemi egrc a poradenskými službami nabízí RSA důvěryhodnost a přehlednost miliónům identit uživatelů, jejich transakcí a generovaných dat. www.rsa.com EMC², EMC, RSA, logo RSA a slogan where information lives jsou registrované ochranné známky nebo ochranné známky společnosti EMC Corporation v USA a dalších zemích. Veškeré další ochranné známky uvedené v tomto dokumenty jsou majetkem příslušných vlastníků. 2011 EMC Corporation. Veškerá práva vyhrazena. Vydáno v USA. AMX SB 0111