Virtual-IT.pl - wirtualizacja cloud computing storage SDx data center

15 najlepiej płatnych certyfikacji w 2021 roku
15 najlepiej płatnych certyfikacji w 2021 roku

Certyfikacja jest doskonałym narzędziem rozwoju zawodowego. Większość decydentów IT twierdzi, że posiadanie pracownika z dodatkowymi umiejętnościami i wkładem wniesionym dzięki certyfikacji stanowi znaczną wartość ekonomiczną dla firmy. Koniec roku może stanowić doskonały impuls do zmian (również w obrębi...

Czytaj więcej...

Cloud Computing motorem innowacji
Cloud Computing motorem innowacji

W ciągu najbliższych trzech lat wydatki na chmury publiczne wzrosną niemal dwukrotnie i wyniosą nawet 370 mld dolarów, donosi najnowszy raport opracowany przez IDC. Szacuje się, że już w 2019 r. osiągną zawrotna kwotę 210 mld. Boom na rozwiązania chmurowe napędza przede wszystkim biznesowa gonitwa za nowymi prod...

Czytaj więcej...

Czy polskie MŚP są gotowe na chmurę?
Czy polskie MŚP są gotowe na chmurę?

Tylko 11% polskich firm korzystało z usług w chmurze publicznej w 2018 roku. Średnia dla Unii Europejskiej była ponad dwa razy wyższa (26%), a Finlandia zanotowała rekordowy wynik 65%. Dynamiczny wzrost ilości danych, zmiany wymagań klientów czy regulacje takie jak RODO przyspieszają proces cyfryzacji w przedsię...

Czytaj więcej...

Trzy czwarte firm wraca z chmury publicznej do prywatnej
Trzy czwarte firm wraca z chmury publicznej do prywatnej

To, jak rozwijała się infrastruktura chmur obliczeniowych w ciągu ostatnich 15 lat, jest jednym z fenomenów i najważniejszych w historii przykładów konwergencji rozwiązań obliczeniowych i komunikacyjnych. Dzięki tego typu platformom przedsiębiorstwom zapewniona została niespotykana wcześniej możliwość szy...

Czytaj więcej...

Test punktu dostępowego Zyxel NWA50AX z Wi-Fi 6
Test punktu dostępowego Zyxel NWA50AX z Wi-Fi 6

Na początku czerwca otrzymaliśmy od firmy Zyxel Networks do testów urządzenie NWA50AX, punkt dostępowy PoE 802.11ax (Wi-Fi 6). Choć z urządzeniami obsługującymi najnowszy standard bezprzewodowej transmisji danych mieliśmy już do czynienia to urządzenie od Zyxel-a jest pierwszym oferującym wsparcie dla standardu ...

Czytaj więcej...

The SysAdmin DOJO Podcast - ekspercka wiedza ze świata IT
The SysAdmin DOJO Podcast - ekspercka wiedza ze świata IT

Coraz większą popularność zyskują podkasty. Nie są tak angażujące jak różnorodne filmiki tematyczne, tym samym możemy je odsłuchać w trakcie domowych czynności, joggingu, spaceru czy nawet prowadząc samochód. Dla mnie największą wartość stanowią audycje związane z pracą zawodową i zainteresowaniami, inspi...

Czytaj więcej...

Aktualności

Globalny problem z MFA i polski broker bezpieczeństwa

Password MFAWedług raportu Verizon's 2022 Data Breach Investigations Report, prawie 50% naruszeń bezpieczeństwa danych wiąże się z wykorzystaniem skradzionych danych uwierzytelniających. Ich celem często są instytucje finansowe. Banki do obrony wykorzystują różne technologie. Jedną z nich jest wieloskładnikowe uwierzytelnianie (MFA), które jeszcze niedawno było dla nich jednym z głównych zaleceń cyberbezpieczeństwa. Dziś jednak, stosowane zwykle przez organizacje MFA, nie wystarczy.

Rozwiązaniem jest uwierzytelnianie MFA w pełni odporne na phishing oraz kradzież loginów i haseł w postaci otwartego standardu uwierzytelniania FIDO2.

W Polsce, jak podaje raport ZBP InfoDok, tylko w I kwartale 2022 r. oszuści podjęli 1915 prób kradzieży z wykorzystaniem przejętych danych osobowych, w sumie na kwotę 575 tys. zł. To średnio aż 21 wyłudzeń dziennie.

Celem ataków bardzo często stają się banki i instytucje finansowe. Według raportu The State of Authentication aż 80% z nich doznało przynajmniej jednego naruszenia danych w ciągu ostatnich 12 miesięcy, a phishing był najbardziej rozpowszechnionym zagrożeniem, stanowiąc 36% wszystkich ataków. Jednym z powodów nasilających się incydentów jest niewystarczająca ochrona tożsamości użytkowników.

Globalny problem

Jeszcze kilka lat temu MFA, czyli wieloskładnikowe uwierzytelnianie uchodziło za jedną z najbardziej skutecznych metod ochrony użytkowników w sieci. Dziś jednak wyrafinowani intruzi znaleźli sposoby aby również i te zabezpieczenia skutecznie obchodzić.

"Technologia 2FA lub MFA nie jest dziś dla nikogo nowością. Globalnym wyzwaniem drugiej dekady dwudziestego wieku pozostaje wysoki poziom skomplikowania i różnorodności środowisk IT oraz implementacja w nich skutecznych metod MFA" - mówi Tomasz Kowalski, CEO w Secfense.

Z tego powodu w wielu dużych organizacjach większość systemów i aplikacji albo nie jest zabezpieczona MFA, albo jest zabezpieczona przestarzałymi metodami, takimi jak SMS czy kody TOTP, które nie chronią przed nowoczesnymi atakami typu phishing.

Stare metody MFA

Według badania firmy HYPR Report: State of Authentication in the Finance Industry 2022, 32% pracowników banków z U.S. (200 osób), U.K. (100 osób), Francji (100 osób) i Niemiec (100 osób) nadal korzysta z tradycyjnych metod MFA, takich jak SMS-y i hasła jednorazowe, 43% polega na menedżerach haseł, a 22% polega wyłącznie na nazwach użytkowników i hasłach.

"Kilka lat temu uwierzytelnianie wieloskładnikowe było de-facto zaleceniem cyberbezpieczeństwa dla firm i banków. Aktualnie jedynym rozwiązaniem, w pełni odpornym na phishing oraz kradzież loginów i haseł jest otwarty i darmowy standard uwierzytelniania FIDO2, który pozwala na wykorzystanie kluczy kryptograficznych, ale również urządzeń, które zawsze mamy przy sobie, takich jak laptopy z wbudowaną kamerą, Windows Hello lub smartfony z czytnikiem linii papilarnych w celu potwierdzenia swojej tożsamości w sieci" - dodaje Tomasz Kowalski z Secfense.

Niewykorzystane bezpieczeństwo

Zdanie specjalistów od bezpieczeństwa IT potwierdzają również osoby na co dzień pracujące w zbadanych przez HYPR instytucjach finansowych. Aż 99% ankietowanych osób przyznało, że metody uwierzytelniania stosowane w ich organizacjach wymagają unowocześnienia. Nie jest ono jednak aktualnie możliwe, bo stoją mu na przeszkodzie m.in. problemy z integracją (27%) czy zarządzaniem tym procesem (75%).

"Największy kłopot wciąż sprawia implementacja. Wdrożenie MFA jest trudne, uciążliwe i kosztowne. Co więcej, jeśli bank posiada w swojej infrastrukturze IT setki aplikacji - a tak jest w większości dużych organizacji - masowa implementacja na wszystkich programach jest praktycznie niewykonalna. Efekt? Jedna z najlepszych metod uwierzytelniania, czyli standard uwierzytelniania FIDO2 - choć zaprojektowany w kwietniu 2018 - po ponad czterech latach wciąż jest jeszcze dodatkiem, a nie uniwersalnym sposobem zabezpieczania tożsamości w internecie".

Rewolucja za darmo

Metoda FIDO2 zrewolucjonizowała uwierzytelnianie i zachowanie bezpieczeństwa w sieci. To otwarty standard, dzięki któremu każda usługa w Internecie może zostać dziś zabezpieczona darmową metodą, w pełni odporną na phishing oraz kradzież loginów i haseł. Pozwala na wykorzystanie kluczy kryptograficznych, ale również urządzeń, które zawsze mamy przy sobie, takich jak laptopy z kamerą na podczerwień lub smartfony z czytnikiem linii papilarnych.

Jak obejść więc  problem z implementacją MFA opartą na FIDO2 w skomplikowanych środowiskach IT?

"Wiedzieliśmy, że jedyną drogą jest stworzenie technologii, która umożliwi aktywację usług związanych z podniesieniem poziomu bezpieczeństwa w procesie uwierzytelniania użytkowników oraz autoryzacji kluczowych transakcji w dowolnej aplikacji web. Nasze rozwiązanie User Access Security Broker buduje warstwę ochronną a następnie polityki bezpieczeństwa egzekwuje 'w locie' - bez bezpośredniej ingerencji w chronione aplikacje" - dodaje Kowalski.

Technologia UASB została tak zaprojektowana, by w warunkach "zerowej" wiedzy o aplikacjach i środowisku informatycznym, które ma chronić, była zdolna nauczyć się go i zrozumieć procesy logowania użytkowników aplikacji. Etap uczenia się, podczas którego UASB uruchamia sondę do docelowej aplikacji, rejestruje wzorce logowania użytkownika, którego konto ma być chronione uwierzytelnianiem FIDO2. W kolejnym kroku wzorce te są aktywowane i przy każdym następnym logowaniu użytkownik jest proszony o potwierdzenie swojej tożsamości. Spogląda w kamerę, skanuje swoją twarz lub przykłada palec – dokładnie tak samo, jak do tej pory logował się do swojej stacji roboczej.

Wilk syty i owca cała

Na rynku istnieje wiele rozwiązań z zakresu cyberbezpieczeństwa, które chronią przed różnymi wektorami ataków. Aktualnie jednak za najwygodniejsze i najskuteczniejsze uznaje się uwierzytelnianie bez hasła (passwordless authentication). Niestety temat nadal jest często ignorowany w praktyce.

Na szczęście - jak mówią wyniki badania HYPR - większość respondentów wierzy, że bezhasłowe uwierzytelnianie jest najlepszą metodą ochrony. Aż 89% z nich twierdzi, że zwiększa stanowczo bezpieczeństwo i zadowolenie użytkowników.

A czy właśnie nie o te wartości najbardziej nam wszystkim chodzi?

Źródło: Secfense

Logowanie i rejestracja