В новом эфире AM Live эксперты обсудили системы многофакторной аутентификации, их применение в корпоративной среде. Зрители узнали, как и из чего построить безопасную и надёжную систему аутентификации, а также как ею управлять.
- Введение
- Многофакторная аутентификация в 2024 году
- Выбор средств аутентификации
- Тренды развития MFA
- Итоги эфира
- Выводы
Введение
В эфире AM Live эксперты обсудили то, как меняется практика применения многофакторной аутентификации (MFA). Какие отечественные решения MFA есть, какие факторы и их комбинации рекомендуется использовать: токены, смарт-карты, приложения на смартфоне? И насколько практична биометрическая аутентификация?
Рисунок 1. Эксперты отрасли в студии телепроекта AM Live
Спикеры прямого эфира:
- Михаил Ванин, генеральный директор Identity Blitz;
- Андрей Лаптев, руководитель направления по развитию продуктов, «Компания Индид»;
- Александр Саксаганский, директор по развитию бизнеса ITD Group (дистрибьютор MFASOFT);
- Виктор Чащин, операционный директор, «МУЛЬТИФАКТОР»;
- Андрей Шпаков, руководитель проектов по информационной безопасности, компания «Актив»;
- Сергей Груздев, генеральный директор компании «Аладдин Р.Д.»;
- Василий Огнев, руководитель направления многофакторной аутентификации, МТС RED.
Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «АМ Медиа».
Многофакторная аутентификация в 2024 году
Что изменилось на рынке многофакторной аутентификации
Василий Огнев:
— Пик роста многофакторной аутентификации пришёлся на ковид. Это стало толчком для сильного роста. До этого такие системы покупали только крупные и зрелые компании, и по большей части они обращались за токенами. Во время ковида появился спрос на OTP и одноразовые пароли. После произошёл откат, все вернулись с «удалёнки» и появился гибридный формат работы. Из-за этого заказчики стали активно развивать направление удалённого безопасного подключения.
Василий Огнев, руководитель направления многофакторной аутентификации, МТС RED
По словам спикера, сейчас не только крупные, но и средние компании осознанно покупают решения по многофакторной аутентификации. В 2024 г. рынок MFA вырастет на 20 %, а к 2027 г. — на 80 %.
Андрей Шпаков:
— Нельзя не отметить тренд на импортозамещение, в том числе и операционных систем, из-за чего потребовались решения по многофакторной аутентификации, совместимые с Linux. Также вышел 406-й федеральный закон, который запрещает владельцам сайтов использовать иностранные сервисы для аутентификации. Поэтому аутентификация через отечественные сервисы будет набирать популярность.
Сергей Груздев отметил, что после пандемии и ухода зарубежных вендоров использование многофакторной аутентификации расширилось втрое. Последние два-три года у компаний возникает понимание, что необходимо строить доверенную безопасную экосистему оборудования, а для этого нужна аутентификация «железа».
Сергей Груздев, генеральный директор компании «Аладдин Р.Д.»
Спикер напомнил, что многофакторная аутентификация состоит из трёх факторов: фактор знания (пароль), фактор обладания (токен или оборудование) и фактор биометрии. Всё остальное — уже атрибуты подтверждения личности (пуш-уведомления, QR-коды и т. д.).
— Главная проблема при аутентификации — это подтверждение личности. И все этапы с QR-кодами, пушами и так далее сделаны для того, чтобы надёжно идентифицировать личность.
Александр Саксаганский отметил, что аутентификация должна быть надёжной и удобной для пользователей, а также соответствовать стоимости защищаемого актива.
Большинство зрителей телеэфира AM Live (67 %) используют многофакторную аутентификацию. 14 % только планируют этим заняться, а 12 % не используют и пока не собираются. 7 % находятся на стадии внедрения.
Рисунок 2. Используете ли вы многофакторную аутентификацию?
Причины использования и проблемы многофакторной аутентификации
Андрей Лаптев:
— Проще и дешевле внедрить многофакторную аутентификацию, чем потом разбираться с последствиями нелегитимного доступа.
Виктор Чащин отметил, что опасность состоит в компрометации учётной записи, а многофакторная аутентификация защищает от этого. На популярность таких решений напрямую повлияли спрос на удалённую работу, требования регуляторов и осознание необходимости безопасности.
Виктор Чащин, операционный директор, «МУЛЬТИФАКТОР»
Также эксперты упомянули СВО и рост хакерских атак. Многие вредоносные кибероперации оказываются успешными по причине неправильной идентификации и аутентификации, а также из-за использования устаревших или неподходящих технологий.
Спикеры отметили, что российские решения в области многофакторной аутентификации закрывают потребности рынка, однако их интеграция с имеющимися у заказчиков решениями часто вызывает трудности. Ситуация, впрочем, меняется, решения дорабатываются.
Много лет отечественные компании находились в экосистеме Microsoft. Теперь, если компания хочет обеспечить высокий уровень безопасности подключений, необходимо использовать полный стек отечественных технологий, включая «железо», и это вызывает ряд проблем: например, в Linux нет поддержки двухфакторной аутентификации «из коробки». Впрочем, по мнению Василия Огнева, Linux очень гибок, и для тех компаний, которым не нужна строгая идентификация, это очень подходящее решение.
Строгая аутентификация
Илья Шабанов отметил, что в России отсутствуют требования по использованию стандартов для строгой аутентификации. Он отметил важность разработки и утверждения новых ГОСТов по многофакторной аутентификации для улучшения ситуации.
Илья Шабанов, генеральный директор «АМ Медиа»
Строгая аутентификация — это двухфакторная проверка с использованием криптографии. Помимо этого, должны применяться сертификаты, отметил Сергей Груздев. Однако сертификаты берутся из иностранных источников, и пока в России не появилось замены для них, вводить требования по строгой аутентификации нет смысла, считает эксперт. Приоритет сейчас должен быть отдан замене Microsoft CA, который выпускает сертификаты.
Что касается биометрии, то она, согласно ГОСТу, должна использоваться с другим фактором и при однофакторной аутентификации недопустима, отметил Василий Огнев. Он подчеркнул также, что дополнительным инструментом могут стать пуш-уведомления на мобильные устройства, потому как для пользователей важна простота.
Выбор средств аутентификации
От чего зависит выбор
Выбор средства аутентификации зависит от конкретных потребностей и целей компании. Для корпораций стали важными проблема доверия к личным мобильным устройствам пользователей и, как следствие, повсеместное внедрение концепции «нулевого доверия» (Zero Trust), так как периметры инфраструктур из-за удалённой работы сильно размылись, отметил Александр Саксаганский. По его мнению, многофакторная аутентификация в этом смысле помогает компаниям.
Александр Саксаганский, директор по развитию бизнеса ITD Group
Развиваются и адаптивные механизмы, которые выбирают, когда от пользователя запрашивать двухфакторную аутентификацию. Применение таких механизмов тоже зависит от их стоимости и полезности в конкретных случаях, отметил Андрей Шпаков.
Андрей Лаптев добавил, что для выбора средств аутентификации нужно определиться с целями и задачами, так как это напрямую влияет на технологический стек. Необходимо понять, как компания будет этой системой управлять, как выпускать средства аутентификации, их обслуживать. Так заказчик сможет сформировать основные требования.
Для реализации стратегии необходимо найти баланс между удобством использования и безопасностью решения. Александр Саксаганский отметил проблему работы с сотрудниками находящимися за рубежом. В каждом случае нужно оценивать риски и под них подбирать необходимые средства защиты.
Большей части зрителей (39 %) для многофакторной аутентификации удобны приложения на мобильном устройстве. Токен или смарт-карта предпочтительнее для 30 %, а для 19 % — одноразовые пароли. 9 % респондентов отметили биометрию. Оставшиеся 3 % выбрали вариант «другое».
Рисунок 3. Какое из средств MFA для вас наиболее предпочтительно?
Как правильно выбрать платформу
Михаил Ванин отметил, что компания не должна возлагать выбор решения на руководителя проекта. Этот выбор необходимо делать проконсультировавшись с конечными пользователями.
Выбор платформы может быть сложным процессом, и важно учитывать такие факторы, как облачное или локальное развёртывание, использование физических ключей, устойчивость к риску и т. д., считает эксперт. Спикер порекомендовал использовать опросник Роджера Граймса для определения важных факторов, влияющих на выбор.
Михаил Ванин, генеральный директор Identity Blitz
Важно выбрать несколько вариантов и провести пилотный проект перед принятием окончательного решения.
Облачные сервисы подходят компаниям с малым количеством пользователей и полезны при отсутствии необходимого количества инженеров для обслуживания инфраструктуры. Также это выгодно по стоимости, отметил эксперт. Но в то же время заказчик будет зависим от выбранного вендора, а это — риск.
Важно учитывать возможность автоматизации и управления жизненным циклом токенов, простоту установки и настройки, а также операционные расходы на поддержку сервиса.
Александр Саксаганский:
— Очень важно быстро и эффективно обеспечить сотруднику доступ к системе. Поэтому службы многофакторной аутентификации должны иметь несколько вариантов предоставления этого доступа.
Для 38 % зрителей при выборе решений по многофакторной аутентификации важно удобство использования. 24 % отметили безопасность, а 18 % — наличие сертификата ФСТЭК и ФСБ России. Для 15 % опрошенных важна надёжность. 5 % поставили на первое место наличие системы управления.
Рисунок 4. Что для вас наиболее важно при выборе средств многофакторной аутентификации?
Тренды развития MFA
Андрей Шпаков:
— В ближайшие два-три года от ФСТЭК России поступят более чёткие требования к использованию многофакторной аутентификации. Интегрируемость таких решений будет расти. Также будут развиваться токены и смарт-карты: становиться надёжнее и удобнее для пользователя.
Андрей Шпаков, руководитель проектов по информационной безопасности, компания «Актив»
Василий Огнев:
— Я вижу тренд на адаптивную аутентификацию. Второй тренд — это использование искусственного интеллекта. Возможно, это поменяет в ближайшие годы весь рынок. Необходимо будет противостоять дипфейкам и другим новым угрозам.
Виктор Чащин:
— Основной тренд на ближайшие пару лет — аутентификация будет идти не по «владению» или «знанию», а по тому, «кто ты есть». Будут использоваться поведенческие факторы.
Михаил Ванин:
— Я вижу тренд на постепенный переход к беспарольной аутентификации. Она будет больше полагаться на использование криптографии и настроенных возможностей устройств, которыми мы владеем.
Андрей Лаптев:
— Развитие аутентификации — это отклик на способы защиты самих учётных данных. Будут появляться новые системы безопасности, которые станут отслеживать поведение пользователей.
Андрей Лаптев, руководитель направления по развитию продуктов, «Компания Индид»
Сергей Груздев:
— Из-за ситуации, в которой находится наша страна, и из-за стратегии кибербезопасности США недружественные страны «бьют» по критически важным объектам России и Китая с помощью закладок в ПО. Этим угрозам необходимо противостоять. Соответственно, нужно строить безопасную доверенную ИТ-инфраструктуру. Необходимо переходить на Linux, повышать требования к аутентификации (строгая аутентификация) и подтягивать регуляторику.
Александр Саксаганский:
— Мы ожидаем развития сервисов по предоставлению многофакторной аутентификации. Также стоит ждать использования ИИ для поведенческой аналитики, развития механизмов пассивной биометрии. Zero Trust будет применяться повсеместно.
Итоги эфира
По результатам финального опроса зрителей телеэфира, 42 % поняли, что им есть над чем работать. 39 % респондентов убедились, что всё делают правильно. 8 % собираются внедрить новые средства защиты, ещё 8 % не поняли темы беседы. Оставшиеся 3 % посчитали тему интересной, но пока избыточной для себя.
Рисунок 5. Каково ваше мнение о многофакторной аутентификации после эфира?
Выводы
Цель многофакторной аутентификации состоит в том, чтобы усложнить злоумышленнику получение несанкционированного доступа. Популярность MFA будет только расти. Мир перешёл на гибридный формат работы, из-за чего сотрудникам необходимо подключаться к системам удалённо. Контуры ИТ-инфраструктур компаний размылись, и теперь необходимо использовать инструменты позволяющие удостоверить личность работника. Для этого существуют СМС-пароли, биометрия, QR-коды и т. д.
Эксперты отмечают, что необходимо использовать разные способы аутентификации, но соотносить их с требуемым уровнем безопасности. Например, самый строгий вариант будет на объектах критической инфраструктуры. Однако построение безопасности — это комплексный процесс, который невозможен без создания доверенной ИТ-инфраструктуры компании, для чего нужно переходить на отечественное «железо», а не только на ПО.
Телепроект AM Live еженедельно собирает экспертов отрасли в студии для обсуждения актуальных тем российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!