Помогли клиенту внедрить ID для защиты учетных записей. Рассказываем подробнее.
Задача
Одна из задач ИБ-отдела компании — предотвращение инцидентов, связанных с передачей учётных записей с правами удалённого доступа другим сотрудникам компании. Для решения задачи была выбрана двухфакторная аутентификация при входе в корпоративные ресурсы компании.
Кроме этого пентесты (имитации атак на инфраструктуру) и симуляции фишинговых атак показали, что защита внешнего контура с помощью пары логин-пароль имеет ряд недостатков и подвержена компрометации со стороны пользователей.
Двухфакторная аутентификация в этом случае предотвратит несанкционированное входы в систему, поскольку кроме логина и пароля необходимо будет ввести код.
Вендоров искали по простым критериям:
- наличие мобильного приложения для подтверждения 2ФА,
- поддержка основных операционных систем,
- помощь инженеров-экспертов вендора с внедрением и масштабированием решения.
В итоге остановились на ID от Контур.Эгиды.
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Решение
В процессе внедрения, сервис двухфакторной авторизации тестировался сотрудниками управления информационных технологий. Тестирование проводилось на разных версиях десктопных и мобильных версиях операционных систем.
Принципиальным решением была установка сервиса двухфакторной авторизации в инфраструктуре компании. Для подтверждения второго фактора использовали OTP-коды из мобильного приложения.
Систему тестировали 2 месяца, а после начали постепенное внедрение во всей компании, в процессе внедрения включали некоторую функциональность. Например, включили перенос списка пользователей, синхронизация с Active Directory, проверку уволенных сотрудников и удаление из числа пользователей, проверили, что они работают без сбоев.
После тестирования приступили к полноценному внедрению. Спорные ситуации, связанные с нежеланием сотрудников устанавливать ПО на личные мобильные телефоны, решались предложением сменить дистанционных режим работы на офисный.
Были составлены списки должностей по подразделениям с обязательным подключением к сервису двухфакторной авторизации при наличии прав удалённого доступа.
Для простоты внедрения, сотрудниками ИТ отдела была написана пошаговая инструкция по самостоятельному подключению сервиса двухфакторной авторизации.
Читайте о других успешных историях внедрения сервисов Эгиды в рубрике «Кейсы»
Результат
На данный момент значительная часть сотрудников, работающих удаленно, использует для подключения к инфраструктуре компании 2ФА-решение. Пентесты показывают, что хотя логины и пароли по-прежнему компрометируются, вход в систему невозможен, так как наличие второго фактора авторизации предотвращает несанкционированный доступ.
Узнайте больше о ИБ-решениях для компаний FMCG‑сектора