Napadi na IT sisteme
26

Zaštita od ransomware-a počinje od zaštite identiteta

Ransomware i slični razorni napadi na IT sisteme u pravilu započinju krađom lozinki (phishing). Najlakši način sprječavanja napada je oslanjanje na višefaktorsku autentikaciju (eng. multifactor authentication) ili MFA.

Ipak, organizacije se vrlo rijetko odlučuju na implementaciju MFA zaštite za vlastite aplikacije jer je taj proces do sada zahtijevalo skupe prilagodbe aplikacija i komplikacije u IT infrastrukturi. Dodatno, može doći i do lošijeg korisničkog iskustva, a time i više poziva upućenih helpdesk timovima. No, ne mora više biti tako.

Organizacije koriste niz aplikacija odnosno pristupnih točaka svojih zaposlenika. E-mail, ERP, CRM, CMS, remote desktop (RDP) te rastući broj internih web aplikacija i SaaS servisa (MS365 i slično) samo su neki od njih. Sve te aplikacije u pravilu su zaštićene korisničkim imenom i lozinkom, što u današnje doba predstavlja svojevrsni poziv ransomware napadačima. Čak i ako organizacija odluči osnažiti pristup višefaktorskom autentikacijom, sve se u pravilu svede na zaštitu kod spajanja na VPN. To, naravno, više nije dovoljno.

Tipičan primjer višefaktorske autentikacije (MFA) na koji smo svi već navikli (potvrda na smartphoneu)
Tipičan primjer višefaktorske autentikacije (MFA) na koji smo svi već navikli (potvrda na smartphoneu)

Dobra je vijest da su danas na tržištu dostupna identity & access management (IAM) rješenja koja mogu dopuniti (ili čak zamijeniti) ono što većina IT administratora poznaje kao tradicionalnu platformu za pohranu identiteta - Microsoft Active Directory. Takva rješenja se najčešće isporučuju kao usluga pod skraćenicom IDaaS (eng. Identity as a Service), što znači da ne zahtijevaju dodatnu IT infrastrukturu i komplicirani projekt implementacije.

IDaaS omogućava brzo spajanje svih aplikacija na centralnu provjeru identiteta te na sebe preuzima funkcije višefaktorske autentikacije i provodi druge provjere. To, na primjer, može biti lokacija korisnika, vrsta uređaja s kojeg se korisnik spaja, vrijeme spajanja, itd. Na ovaj način, aplikacije više ne moraju svaka za sebe podržavati višefaktorsku autentikaciju. To postaje zadaća IDaaS rješenja.

Dodavanje MFA postaje posebno lako kod web aplikacija kod kojih standardni protokoli poput SAML ili OpenID Connect (OIDC) omogućuju spajanje na IDaaS kroz preusmjeravanje u samom pregledniku (pogledajte primjer na ilustraciji dolje):

Osnažena provjera identiteta uz redirekciju na IDaaS rješenje
Osnažena provjera identiteta uz redirekciju na IDaaS rješenje

Spomenimo i da je višefaktorsku autentikaciju moguće osnažiti FIDO2 tokenima ili tzv. MFA otpornom na phishing, kao i kombinirati tradicionalnu autentikaciju temeljenu na certifikatima (PKI) s modernim FIDO2 standardom. Zadržati sigurnosne prednosti certifikata, ali smanjiti komplikacije njihovog korištenja svakako je interesantno svim organizacijama.

Zanima vas kako vaša organizacija može implementirati IDaaS/IAM uz snažnu višefaktorsku autentikaciju kroz FIDO2 tokene? Želite svojim korisnicima kao IT kompanija ponuditi jednostavno osnaživanje svih aplikacija s MFA i time smanjiti ransomware rizike? Saznajte više.