Dwuetapowe uwierzytelnianie to znany mechanizm kontroli dostępu. Mimo szerokich możliwości działania, wciąż wiele środowisk nie zdecydowało się na jego wykorzystanie. Sytuacja ta powoli ulega zmianie, głównie przez wzrastający poziom cyberzagrożeń skierowanych w użytkownika, ale nie tylko. Sprzyjają jej decyzje światowych autorytetów – jak FIDO Alliance – oraz wymagania rynkowe. Wraz z nadejściem ery Industry 4.0 między systemami informatycznymi, a w szczególności Industrial Control Systems (ICS) pojawiły się nowe rodzaje połączeń. Potrzeba integracji różnych obszarów pociąga za sobą konieczność wdrożenia środków, zapewniających większą kontrolę dostępu do połączonych systemów. Zastosowanie technologii 2FA czyli Two-Factor Authentication pozwala na dodanie kolejnej warstwy uwierzytelniania. Jak przekłada się to na bezpieczeństwo organizacji? Które metody dwuskładnikowego uwierzytelniania są najlepsze? Czy 2FA to sposób na zabezpieczenie połączeń zdalnych? Oraz jakie korzyści przyniesie organizacjom zastosowanie tych środków?

Jedną z metod 2FA jest sprzętowy klucz – na zdjęciu klucz firmy Feitian

Popularne metody dwuskładnikowego uwierzytelniania

Tradycyjne logowanie determinowane jest przez prawidłowe poświadczenia użytkownika. Następuje wówczas identyfikacja (oznajmiamy kim jesteśmy – podajemy login) oraz uwierzytelnienie (jesteśmy tym, za kogo się podajemy – wpisujemy hasło). Jeśli do tej kombinacji dodajemy jeszcze „coś, co mamy” (np. token USB, Bloetooth) lub „coś, czym jesteśmy” (np. odcisk palca czyli biometria) otrzymujemy uwierzytelnianie dwuskładnikowe. Bazuje ono na założeniu, że nieautoryzowany użytkownik nie będzie posiadał równocześnie wszystkich elementów niezbędnych do uzyskania dostępu.

Szczególnym przypadkiem 2FA jest „uwierzytelnianie skokowe”. Opiera się ono na dwóch fazach czyli uwierzytelnianiu przez poświadczenia a następnie np. otrzymaniu SMSem jednorazowego hasła (znanego jako OTP – One Time Password). Zapewnia to oczywiście podwyższony poziom bezpieczeństwa, bo musimy wykazać, że oprócz znajomości loginu i hasła jesteśmy w posiadaniu telefonu, na który wysłano kod. Niestety, wiąże się to z ryzykiem ataku real-time phishing, w którym atakujący pozwala ofierze wpisać zarówno hasło jak i OTP, a następnie przejmuje zalogowana sesje. Podobny problem będzie dotyczył aplikacji generujących kody (np. Google Authenticator), gdzie zasada działania jest identyczna. Użytkownik, w trakcie logowania, otrzymuje wygenerowany przez aplikację kod, który podaje systemowi aby potwierdzić swoją tożsamość.

Ten sposób uwierzytelniania pozostawia pole do manewru dla potencjalnych cyberprzestępców. Warto mieć to na uwadze decydując się na jej wybór. Lepszą alternatywą jest uwierzytelnianie biometryczne. Rozpoznawanie głosu, skaner tęczówki, odcisk palca stanowią bardzo poważne wyzwanie dla hakera. Dlatego są to patenty stosowane na szeroką skalę w miejscach o podwyższonych wymogach bezpieczeństwa. Niestety, choć „podrobienie” fizycznych atrybutów człowieka jest w praktyce niezwykle trudne, nie jest niemożliwe. Co więcej, wysokie koszty implementacji takich rozwiązań, przekreślają zastosowanie biometrii w wielu obszarach.

Odcisk palca to metoda biometryczna wykorzystywana powszechnie w urządzeniach mobilnych

Uwierzytelnianie wymagające podania dwóch elementów układanki w tym samym czasie (poświadczeń i elementu fizycznego) czyni je trudniejszym do złamania. Wnioskując dalej – najefektywniej będą działały mechanizmy oparte o tokeny fizyczne, czyli tak zwane klucze U2F (Universal 2nd Factor). Wówczas z poziomu klucza realizowane są operacje kryptograficzne, których wynik może być wykorzystany do potwierdzenia tożsamości.

Zapotrzebowanie na 2FA w środowiskach przemysłowych

W środowiskach informatycznych istnieje szereg czynności takich jak aktualizacja oprogramowania, prace konserwacyjne lub zmiany konfiguracji, które są wykonywane okresowo i są niezbędne do prawidłowego funkcjonowania systemów. Czasami możliwe jest zdalne wykonywanie pewnych zadań przez pracowników będących poza firmą lub osoby spoza organizacji. Zjawisko outsourcingu na dobre zadomowiło się w wielu branżach, również w przypadku zdalnego dostępu do zasobów organizacji.

W sektorach przemysłowych zazwyczaj mamy do czynienia z mnogością oprogramowania i ich różnorodnego zastosowania. Co więcej, są to często środowiska, gdzie dostęp do infrastruktury krytycznej przekłada się na życie i zdrowie ludzi. Kluczowe jest zapewnienie odpowiednich mechanizmów bezpieczeństwa podczas udzielania zdalnego dostępu do zasobów.

Cały zdalny dostęp do przemysłowych systemów sterowania musi być należycie chroniony, kontrolowany, monitorowany i rejestrowany. Dlatego ważne jest, aby mieć widoczność na urządzenia, żądające dostępu oraz ich uprawnienia. Jeśli infrastruktura na to pozwala, weryfikacja urządzeń odbywa się przy użyciu protokołu 802.1x wraz ze scentralizowaną usługą uwierzytelniania (np. Active Directory). Co więcej, dla VPN dobrze byłoby dodać zaszyfrowaną warstwę przy użyciu SSL.

Niemniej jednak, aby zwiększyć poziom bezpieczeństwa w dostępie zewnętrznym, zaleca się dodanie drugiego czynnika do uwierzytelniania. Mógłby być on wdrożony w aplikacjach SCADA, na stacjach operatorskich, w wirtualnych pulpitach i innych elementach uznawanych za krytyczne dla infrastruktury OT. Również dostęp do niektórych urządzeń sieci przemysłowych np. sterowników PLC obywa się poprzez wirtualizację połączenia. Większość środowisk produkcyjnych ogranicza mechanizm bezpieczeństwa do połączenia za pomocą klienta VPN. Tym czasem od momentu nawiązania połączenia z siecią produkcyjną do faktycznego dostępu do sterownika znajduje się przestrzeń, w której można umieścić dodatkowy mechanizm.

W środowiskach przemysłowych podwójne uwierzytelnianie sprawdza się podczas dostępu do sterowników, zwłaszcza jeśli wykorzystuje się do niego wirtualizację

Jak dwuskładnikowe uwierzytelnianie podnosi poziom bezpieczeństwa?

Wdrożenie silnej metody dwuskładnikowego uwierzytelniania pozwoli w znacznym stopniu złagodzić coraz częstsze ataki. Szczególnie próby kradzieży poświadczeń dostępowych do usług krytycznych. Niektóre z wektorów używanych przez cyberprzestępców w takich próbach to:

  • kampanie phishingowe,
  • wykorzystanie luk 0-day i podatności,
  • zakażenie złośliwym oprogramowaniem,
  • brute force i ataki słownikowe na różne systemy.

W takich przypadkach, jeśli potencjalny atak zostanie pomyślnie uruchomiony, mechanizm podwójnego uwierzytelniania zatrzyma zagrożenie. Ponieważ konieczne będzie podanie drugiego czynnika uwierzytelniania, atakujący nie uzyska kontroli nad systemami. Same poświadczenia okażą się niewystarczające do włamania.

Zdalna kontrola dostępu w połączeniu z 2FA to jedna z najlepszych praktyk bezpieczeństwa w organizacjach, szczególnie tych o podwyższonym ryzyku. Sektor przemysłowy z liczną infrastrukturą krytyczną zdecydowanie zalicza się do tej grupy. Mimo ogromnej roli podwójnych mechanizmów uwierzytelniania w skali bezpieczeństwa całej organizacji, wciąż wiele firm nie decyduje się na wdrożenie 2FA. Powodem jest złożoność, czasochłonność i szeroka skala trudności związana z implementacją dodatkowej warstwy uwierzytelniania. Ma to szczególne znaczenie w środowiskach, gdzie infrastruktura jest heterogeniczna i wiele miejsc wymaga indywidualnego podejścia. Na szczęście na rynku istnieją rozwiązania oferujące elastyczność i dopasowanie do bardzo wygórowanych wymagań.

Poznajcie Secfense – innowacyjne podejście do 2FA

Secfense proponuje rozwiązania zapewniające bezpieczeństwo dostępu użytkowników – w tym dwuskładnikowe uwierzytelnianie – wbudowane w infrastrukturę i niezwiązane sztywno z aplikacjami.

Działanie Secfense opiera się na:

  • inspekcji ruchu i uczeniu – przepływ ruchu przez proxy
  • rozpoznawaniu wzorców – przy spełnieniu określonych kryteriów, ruch zostaje odpowiednio przekierowany
  • aktywacji modułów bezpieczeństwa – uruchomienie wybranej metody 2FA

Twórcy Secfense całkowicie przedefiniowali przyjęcie wieloetapowego uwierzytelniania na dużą skalę. Rozwiązanie pozwala na korzystanie z dowolnej dostępnej metody, np. sprzętowego tokena, danych biometrycznych czy aplikacji mobilnej. Secfense jest wdrażany między użytkownikami i aplikacjami, do których mają mieć dostęp. Najpierw poznaje wzorce ruchu związane z uwierzytelnianiem a następnie wymusza logowanie 2FA lub inne zdefiniowane działania. Odbywa się to bez zakłócania istniejącego kodu aplikacji lub ingerencji w zasoby np. bazy danych. Wdrożenie następuje w dowolnej aplikacji webowej w ciągu kilku minut lub godzin. Nie ma więc żadnego kodu firm trzecich rezydującego w fizycznych programach i aplikacjach organizacji, a co za tym idzie –  żadnych zagrożeń i blokad ze strony dostawców.

Secfense w kontroli dostępu idzie o krok dalej wprowadzając mikroautoryzacje. Innymi słowy jest to dodanie warstwy uwierzytelniania w określonych obszarach aplikacji. Istnieją miejsca, które mają wiele zasobów, wymagających dodatkowej ochrony. Dzięki mikroautoryzacjom za każdym razem, gdy użytkownik próbuje uzyskać dostęp do określonego zasobu, zostanie poproszony o dodatkowe uwierzytelnienie.

Jakie korzyści płyną z wyboru rozwiązania Secfense?

Secfense oferuje uproszczoną integrację mechanizmów bezpieczeństwa we wszystkich aplikacjach biznesowych bez ingerencji w kod źródłowy.

  • elastyczność – możliwość wyboru takiej metody uwierzytelniania, które najlepiej odpowiada wymogom organizacji,
  • niezależność – zmiany aplikacji nie wpływają na Secfense i stosowane metody uwierzytelnienia,
  • jednolite zasady –  Secfense pozwala na kontrolę nad regułami wygasania sesji we wszystkich aplikacjach,
  • bezpieczeństwo całej organizacji – Secfense pokrywa całą infrastrukturę (zasoby lokalnie + chmura).

Trend Micro w ostatnim raporcie wymienił interfejsy człowiek-maszyna (HMI) jako główny obecnie cel cyberataków w branży przemysłowej. Ataki te stanowią ponad 60% exploitów sprzętowych. Interfejsy HMI to jeden z ważniejszych elementów technologii przemysłu 4.0 kluczowym więc staje się zapewnienie bezpieczeństwa w tej kwestii. Silne uwierzytelnienie może być w tym przypadku najsprawniejszym rozwiązaniem problemu.

– Antoni Sikora, Head of Growth @ Secfense

Przyszłość pod znakiem 2FA

Dwuskładnikowe uwierzytelnianie to trend, za którym podąża coraz więcej organizacji, Zaleca się wdrożenie go we wszystkich usługach uznanych za krytyczne i zawsze tam, gdzie wymagany jest dostęp zdalny. W środowiskach przemysłowych należą do nich systemy SCADA , usługi pulpitu zdalnego, wirtualizacji połączeń itp. Tam, gdzie nie jest możliwe wdrożenie mechanizmów 2FA, zaleca się ograniczenie dostępu i zwiększenie monitorowania aktywności. Należy również rozważyć użycie menedżera haseł do obsługi 2FA.

Dziękujemy firmie Secfense za udostępnione materiały i przekazaną wiedzę.

2 thoughts on “Two-Factor Authentication (2FA) w każdych warunkach

  • Bardzo konkretny artykuł. Sam wdrażałem systemy sterowania PLC i SCADA na wielu obiektach przemysłowych w Polsce i za granicą. Wszędzie tam dostęp ograniczony był do wpisania loginu i hasła, najczęściej tego samego hasła dla jednego wspólnego loginu i były to hasła typu oper123 lub masz123.

    Urządzenia takie jak SCADA, HMI, OP i inne zamontowane na produkcji są obsługiwane z założenia przez osoby, które chcą wykonać szybko nastawę lub coś sprawdzić i logowania dla nich jest sporym utrudnieniem.

    Ich praca nie ma to nic wspólnego z typową dłuższą pracą przed komputerem i koniecznością zalogowania się do PC. W środowiskach utrzymania ruchu operator podchodzi do wyświetlacza i zmienia jeden parametr lub wciska przycisk na ekranie i odchodzi na kilka minut, lub kwadransów. Dlatego uwierzytelnienie dla niego musi być proste i szybie np. przez przyłożenie karty/tokenu i wpisania krótkiego kodu.

    Z mojego doświadczenia, to są główne czynniki, dlaczego operatorzy i ludzie zajmujący się utrzymaniem ruchu nie chcą 2FA lub innych złożonych systemów logowania.

    Czy zatem Securmess jako specjalistyczna firma ma ofertę uwzględniającą opisane wymagania?

    • REDAKCJA

      Dziękuję za komentarz. Securmess to tylko blog, nie świadczymy żadnych usług poza umilaniem czasu naszym czytelnikom przy kawie bądź herbacie. Póki co 😉 Ten artykuł napisaliśmy wspólnie z firmą Secfense, opisując ich rozwiązanie na końcu publikacji. Przekażę do nich Pana zapytanie i poproszę aby podjęli stosowne kroki. Pozdrawiam!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *