Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...
Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...
Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...
W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...
Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...
Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...
Wrzesień. Nowy Jork. Ruch na ulicy. Kierowca Ubera otrzymuje serię powiadomień push na swój telefon. Wyglądają jak te z korporacji. Początkowo się opiera i nie autoryzuje wyskakujących i irytujących go coraz bardziej okienek. Ignoruje temat, musi skupić się przecież na drodze. Ale co to? Ktoś pisze do niego na jego WhatsApp-ie. To uberowy informatyk. A przynajmniej tak się przedstawia, prosząc o przyznanie dostępu do konta i autoryzację wysłanych powiadomień. Uff.
Dysonans kierowcy maleje, wątpliwości też, a właściwie zupełnie znikają, kiedy zapala się zielone światło a na rogu dwudziestej siódmej obok kamienicy z metalowymi schodami widzi blondynkę Annie B, która zamówiła jazdę na Brooklyn. Sytuacja opisana powyżej to niestety nie klatki z filmu, a prawdziwa - lekko podkolorowana na potrzeby artykułu historia - w wyniku której cyberprzestępca dostał się do korporacyjnej sieci Uber i wywołał tym samym kryzys wizerunkowy giganta.
Przez lata eksperci ds. cyberbezpieczeństwa jak mantrę powtarzali, że hasła to najsłabsza metoda uwierzytelniania. Jako dobrą alternatywę podawali uwierzytelnianie dwuskładnikowe 2FA oparte m.in. na powiadomieniach push czy SMS-ach. Niestety i te okazały się wkrótce nieodporne na wysublimowane sposoby, które stosowane są przez cyberprzestępców, skutecznie żerujących na naszych słabych i czułych punktach. Boleśnie o tym przekonał się ostatnio Uber, który uwierzytelnianie użytkowników oparł, zamiast na FIDO2, na podatnych na socjotechnikę powiadomieniach push.
Wnioski?
Każda firma, organizacja czy instytucja, której nie jest obojętne bezpieczeństwo, musi odejść od używania słabych i stosowanych wybiórczo form identyfikacji użytkownika w sieci.
"Słabością metody 2FA z włączonymi powiadomieniami push jest zdecydowanie to, że uciążliwość wyskakujących komunikatów może sprawić, że ktoś wreszcie się na nie zgodzi i finalnie w nerwach kliknie <pozwól>" - mówi Tomasz Kowalski, CEO Secfense, firmy która opracowała technologię User Access Security Broker pozwalającą na szybkie, nieingerujące w kod firmowych aplikacji wdrożenie uwierzytelniania FIDO2. "Oczywiście zabezpieczenie push jest lepsze niż żadne. Są jednak dziś metody dużo doskonalsze, wygodniejsze i dające prawdziwą ochronę przed atakami phisingowymi. Nie trzeba więc zadowalać się półśrodkami".
Zawsze cebula
Prawdą jest, że niezmiennie najlepszym podejściem do budowania bezpieczeństwa w firmie jest budowanie go na tzw. cebulę, czyli warstwowo. Nie ma bowiem na świecie technologii, producenta, integratora, który będzie potrafił ustrzec firmę przed wszystkimi możliwymi zagrożeniami.
Skuteczność ochrony można jednak maksymalnie podnieść, przyjmując model typu zero-trust oraz stosując wieloskładnikowe uwierzytelnianie MFA na wszystkich aplikacjach i punktach dostępowych w organizacji. Co istotne, MFA powinno opierać się na FIDO2, czyli nowoczesnym standardzie uwierzytelniania, w którym do logowania wykorzystujemy skan twarzy lub odcisk kciuka.
FIDO2, czyli najbezpieczniejszy sposób logowania przyszłości
A dlaczego akurat FIDO2? Ponieważ jest to prawdziwa rewolucja w zakresie uwierzytelniania i zachowania bezpieczeństwa w sieci. Ten otwarty standard, dzięki któremu każda usługa w Internecie może zostać zabezpieczona z wykorzystaniem kryptografii, jest w pełni odporny na phishing oraz kradzież loginów i haseł.
FIDO2 pozwala na wykorzystanie kluczy kryptograficznych, ale również urządzeń, które zawsze mamy przy sobie, takich jak laptopy z wbudowaną kamerą, Windows Hello lub smartfony z funkcją rozpoznawania twarzy czy czytnikiem linii papilarnych.
Niewykorzystane bezpieczeństwo
Dlaczego więc skoro istnieje FIDO2 - otwarty i skuteczny standard - firmy nadal mają problem z zabezpieczeniem kont swoich pracowników wieloskładnikowym uwierzytelnianiem?
Największy kłopot wciąż sprawia implementacja. Wdrożenie MFA jest trudne, uciążliwe i kosztowne. Co więcej, jeśli firma posiada w swojej organizacji setki aplikacji, masowa implementacja na wszystkich programach jest praktycznie niewykonalna. Efekt? Jedna z najlepszych metod uwierzytelniania, czyli standard FIDO2 - choć zaprojektowany w kwietniu 2018 - po ponad czterech latach wciąż jest jeszcze dodatkiem, a nie uniwersalnym sposobem zabezpieczania tożsamości w internecie.
"Liczymy na to, że dzięki Secfense uda się tę sytuację zmienić. Naszym celem było i jest otwarcie ścieżki do masowego wykorzystania MFA w biznesie i sięganie w tym celu po najmocniejszy standard FIDO2" - mówi Tomasz Kowalski.
Ważną zaletą rozwiązania Secfense - również mocno zauważoną podczas konferencji Authenticate 2022, która odbyła się w październiku w Seattle jest to, że umożliwia wprowadzenie MFA opartego na FIDO2 bez generowania kosztów związanych z zatrudnieniem programistów, bez kosztu zakupu kluczy sprzętowych i bez żadnego wpływu na płynność operacji. User Access Security Broker z powodzeniem został wdrożony w wielu polskich firmach, w tym również w najbardziej wymagających instytucjach, m.in. w banku BNP Paribas Polska czy w CRUZ, czyli Centrum Rozwoju Usług Zrzeszeniowych, które odpowiada za IT prawie wszystkich banków spóldzielczych w Polsce.
Źródło: Secfense
