Для компаний, которые работают с конфиденциальной информацией, защита данных — главный приоритет. Ее отсутствие может привести к краже данных, финансовым потерям и репутационным рискам. В статье расскажем, как создать надежную систему защиты данных с помощью аутентификации и какие методы наиболее эффективны.
Что такое аутентификация сотрудников
Аутентификация — это проверка личности пользователя перед предоставлением ему доступа к информационной системе. Чтобы получить доступ, пользователь должен предоставить свои учетные данные, например логин и пароль. Система проверит данные убедится, что они принадлежат именно этому пользователю. После чего откроет доступ к информации и функциям, которые разрешены для этого пользователя.
Пример. Менеджер Мария работает в банке. Чтобы получить доступ к клиентским данным в корпоративной системе, она вводит свой логин и пароль. Система сравнивает введенные данные с учетными данными Марии и, если они совпадают, предоставляет ей доступ.
Роль аутентификации в безопасности компании
Защита информации крайне важна для организаций, владеющих конфиденциальными данными. Утечка такой информации может нанести значительный ущерб самой организации, ее клиентам, государству и общественно-экономическим процессам. Поэтому защита информации необходима в первую очередь следующим организациям:
- финансовым учреждениям — банкам, страховым компаниям;
- больницам, клиникам и другим медицинским организациям;
- компаниям, работающим с персданными клиентов: соцсетям, интернет-магазинам;
- организациям, которые разрабатывают и хранят интеллектуальную собственность;
- любые коммерческие организации.
Если не использовать аутентификацию для корпоративных информационных систем, это может привести к серьезным последствиям. Например, несанкционированному доступу к данным: злоумышленник сможет взять кредит на имя пациента клиники или конкурент получит и присвоит инновационную разработку компании. При этом такие вредоносные действия сложно отследить.
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Когда происходит взлом и заражение сети
Заражение сети часто происходит из-за незнания сотрудниками правил информационной безопасности и невнимательности. Многие рядовые пользователи, например, не могут отличить поддельный сайт от настоящего, а другие загружают и устанавливают программы со случайных веб-сайтов, на которых злоумышленники размещают вредоносные программы.
Нередко виновниками взломов или заражений становятся сами технические специалисты, которые для упрощения своей работы намеренно ослабляют или игнорируют требования по защите информации.
Методы защиты корпоративной информации
Аутентификация и авторизация — это важные элементы безопасности, но даже с ними система может быть уязвима. Например, смарт-карту или USB-токен можно украсть, пароль администратора сбросить, получив физический доступ к серверу, а для кражи логина и пароля пользователя достаточно заманить его на поддельный сайт.
Чтобы защититься от таких угроз, нужны следующие инструменты:
- специализированные средства защиты и обнаружения вторжений на уровне сети (NGFW, UTM, NTA, NDR, IDS, IPS);
- системы защиты от утечек информации (DLP);
- системы защиты от DDoS-атак;
- средства мониторинга и управления событиями безопасности (SIEM);
- системы защиты удаленного доступа и облачной инфраструктуры.
Какой вид аутентификации выбрать
Создание качественной и надежной системы защиты для организации — это сложный процесс, который зависит от множества внешних факторов. Например, рода деятельности организации, ценности защищаемой информации, потенциального ущерба в случае компрометации информации, масштаба и распределения подлежащих защите объектов информатизации. Далее подробнее расскажем обо всех видах аутентификации.
Строгая, или многофакторная, аутентификация
Многофакторная аутентификация — это когда для входа в систему пользователю нужно предоставить не один, а несколько факторов проверки, например, два или три.
Пример. Сотрудник банка Петр хочет войти в корпоративную систему. Для этого ему нужно:
- Ввести логин и пароль: то, что он уже знает.
- Подтвердить владение: например, принять звонок или ввести OTP-код.
Только после этого система дает доступ к банковским данным.
Технология основана на проверке дополнительных данных для идентификации пользователя и состоит из трех этапов:
Этап 1. Идентификация
Это этап проверки существования пользователя в системе. Когда пользователь начинает взаимодействие с приложением, система не знает, с кем имеет дело. Пользователь предоставляет идентификатор, который система сравнивает с базой данных: если идентификатор не совпадает, доступ в систему запрещен.
Для повышения безопасности обычно запрещено использование коротких и легко предсказуемых логинов, что помогает защитить идентификаторы пользователей от взлома или узнавания через анализ и сопоставление.
Этап 2. Аутентификация
Функция этапа аутентификации заключается в защите системы от несанкционированного доступа случайных лиц и злоумышленников, обладающих информацией об идентификаторах пользователей. Подлинность пользователя система проверяет с помощью факторов аутентификации. По сути это «ключи», которыми пользователь открывает доступ к данным. Факторами аутентификации могут быть:
- постоянный или одноразовый пароль, PIN-код, OTP-код;
- push-уведомления;
- звонки;
- биометрические параметры — отпечаток пальца, рисунок вен на ладони, сетчатка глаза.
Выбор фактора аутентификации зависит от удобства его использования, полноты его интеграции в систему, уровня безопасности и стоимости конечного решения. Вход по электронной подписи значительно надежнее парольной авторизации, так как исключает хранение секретной информации пользователя на сервере. Недостатком такой схемы является необходимость строгого контроля за носителем закрытого ключа, который может быть похищен или незаметно использован недоброжелателями.
Для защиты обычных систем достаточно использовать простую двухфакторную аутентификацию: на первом этапе с использованием логина и пароля, а на втором — одноразового пароля. Не рекомендуется использовать схему с доступом только по логину и паролю, так как этот метод устарел и небезопасен.
Этап 3. Авторизация
Авторизация — заключительная стадия входа пользователя в систему. Ее используют, когда надо разделить пользователей с ограниченными правами и тех, кто обладает более широкими полномочиями. Механизм такой: каждому пользователю назначают специальные атрибуты, которые хранятся в системе. При входе пользователь получает только те права, которые необходимы для выполнения ими служебных обязанностей или использования сервиса.
Технология единого входа
В отличие от многофакторной аутентификации, при технологии единого входа (Single Sign-On, SSO) пользователь выполняет только одно действие для доступа в систему. Например, вводит пароль, сканирует отпечаток пальца SSO-решения централизованно хранят все учетные данные пользователя и автоматически вводят их в систему без участия человека.
Пользователям не нужно запоминать сложные и длинные пароли, а также вручную вводить их при аутентификации, что значительно упрощает доступ к приложениям и снижает нагрузку на службы IT и информационной безопасности.
Концепция SSO также включает управление правилами и политиками доступа к нескольким приложениям и системам как для отдельных пользователей, так и для целых групп: отделов, подразделений. Это повышает прозрачность процесса управления учетными данными и паролями пользователей. При этом появляется ценное преимущество — возможность мгновенной блокировки доступа ко всем системам одновременно в случае необходимости.
Один вход вместо десятков паролей
SSO объединяет авторизацию во всех корпоративных сервисах компании.
Как защитить информационную систему с помощью ID
Описанные выше механизмы идентификации, аутентификации и авторизации обеспечивают защиту на уровне доступа, однако существуют многочисленные угрозы, от которых они не могут защитить. Например, смарт-карты или USB-токены могут быть украдены, пароль администратора можно сбросить после физического доступа к серверу, а чтобы украсть логин и пароль пользователя, злоумышленнику достаточно заманить жертву на поддельный сайт.
Существуют комплексные подходы к защите корпоративных информационных систем, например сервис ID. Это сервис, который предоставляет комплекс решений для защиты учетных записей сотрудников.
ID подойдет для разных компаний любых отраслей. Основные функции ID:
- Аутентификация: предоставляет инструменты для идентификации пользователей и проверки их личности с помощью разных методов — Push-уведомления, звонки и OTP-коды.
- Управление идентификационными данными: позволяет создавать, хранить и управлять информацией о пользователях и их доступах.
- Единый вход (SSO) в разные системы с помощью одних и тех же учетных данных.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.