Obecnie priorytetem dla każdej organizacji staje się bezpieczeństwo jej danych. Wraz ze wzrostem liczby zagrożeń cybernetycznych, potrzeba silnych mechanizmów uwierzytelniania staje się nieodzowna. Jednak implementacja i zarządzanie takimi mechanizmami może być wyzwaniem, zwłaszcza dla firm o ograniczonych zasobach IT. ESET Secure Authentication (ESA) wychodzi naprzeciw tym wyzwaniom, oferując łatwe w użyciu rozwiązanie, które nie tylko poprawia bezpieczeństwo, ale również zmniejsza obciążenie wynikające z wymagań uwierzytelniania. Eset Secure Autentication to rozwiązanie, które pozwala uzupełnić standardowy sposób poświadczeń w postaci loginu i hasła dodatkowym składnikiem jednorazowego hasła jako poświadczenie push na urządzeniach mobilnych.
Dlaczego mechanizmy uwierzytelniania są ważne?
Mechanizmy uwierzytelniania są istotnym aspektem cyberbezpieczeństwa zasługującym na odpowiednią ochronę, ale rosnąca złożoność czyni je łatwiejszym celem. Odkąd amerykański informatyk Fernando José Corbató stworzył pierwsze uwierzytelnianie oparte na hasłach w latach 60. XX wieku, hasła są integralną częścią bezpieczeństwa IT na całym świecie. Ale choć zasada używania ciągu znaków nieznanych innym pozostaje taka sama, świat komputerów stał się wykładniczo bardziej złożony, a przeciętna osoba ma obecnie 168 haseł, z których 87 jest związanych z biznesem. Powoduje to ból głowy nie tylko dla przeciętnych użytkowników, ale także dla administratorów IT, którzy obsługują potrzeby bezpiecznego uwierzytelniania setek, jeśli nie tysięcy pracowników w swoich firmach, którzy pracują z wieloma aplikacjami i urządzeniami.
Czym jest ESET Secure Authentication?
Jako światowy lider w dziedzinie cyberbezpieczeństwa, ESET wie, że firmy potrzebują nie tylko niezawodnej ochrony przed złośliwym oprogramowaniem, ale także łatwych w użyciu platform pomagających im zarządzać codziennymi zadaniami, w tym bezpiecznym uwierzytelnianiem.
Aby zmniejszyć obciążenie administratorów IT związane z uwierzytelnianiem, ESET wprowadził ESET Secure Authentication, oparte na chmurze rozwiązanie działające na jednym pulpicie nawigacyjnym, które zapewnia uwierzytelnianie wieloskładnikowe dla wielu aplikacji.
Atrakcyjne cele ataków
Dane uwierzytelniające należą do najbardziej ulubionych wektorów ataków cyberprzestępców. Według raportu Verizon 2024 Data Breach Investigations Report, 77% podstawowych ataków na aplikacje internetowe obejmowało skradzione dane uwierzytelniające, 21% z nich było wynikiem brutalnej siły (zwykle łatwe do odgadnięcia hasła), a 13% tych ataków wykorzystywało luki w zabezpieczeniach. Autorzy raportu zwrócili również uwagę na fakt, że w ciągu ostatnich 10 lat skradzione dane uwierzytelniające pojawiły się w prawie jednej trzeciej (31%) wszystkich analizowanych naruszeń, co czyni je kluczowym elementem kompromitacji organizacji.
Na całym świecie ponad 80% respondentów doświadczyło naruszenia cyberbezpieczeństwa z powodu luk w zabezpieczeniach uwierzytelniania w 2023 r., a konsekwencje mogą być szkodliwe. W 2023 r. FBI otrzymało 7 333 skargi dotyczące naruszeń danych osobowych obejmujących wyciek lub nadużycie danych osobowych. Skumulowane straty wynikające z tych naruszeń wyniosły ponad 109 000 000 USD.
Nie jest zaskoczeniem, że znaczenie bezpieczeństwa haseł jest powszechnie uznawane i można je zaobserwować na przykład wśród ankietowanych małych i średnich przedsiębiorstw (MŚP) w USA, Wielkiej Brytanii i Francji w badaniu JumpCloud 2023 Flexibility and Ingenuity Survey. Badanie pokazuje, że 64% MŚP korzysta z narzędzia lub oprogramowania do zarządzania hasłami w całej organizacji, a 10% planuje wdrożyć je w tym roku. Dla tych, którzy nie korzystają z zarządzania hasłami, największym czynnikiem jest koszt.
Gdy praktyka bezpieczeństwa staje się wektorem ataku
Ale jest też inny aspekt bezpieczeństwa haseł. Posiadanie solidnego rozwiązania w zakresie cyberbezpieczeństwa, w tym uwierzytelniania wieloskładnikowego (MFA), jest świetne, ale jednocześnie stwarza nowe wyzwania zarówno dla użytkowników, jak i administratorów IT. Problemem wśród użytkowników jest to, że mogą stać się tak zirytowani powtarzającymi się prośbami o uwierzytelnienie MFA, że tracą czujność. Istnieją już przypadki ataków zmęczenia MFA, które to potwierdzają.
Na początku ataku zmęczenia MFA lub bombardowania MFA atakujący muszą uzyskać poświadczenia celów za pomocą phishingu, brutalnej siły, przesyłania haseł itp. Gdy dane uwierzytelniające celów zostaną skradzione, atakujący zaczynają bombardować ich powiadomieniami push 2FA w nadziei, że klikną „akceptuj”, a tym samym autoryzują próby logowania atakujących, przynajmniej raz.
Z drugiej strony, administratorzy IT, już zmagający się ze zmęczeniem portalami i alertami, zyskali nowe obowiązki związane z administrowaniem systemem MFA, takie jak zarządzanie aktualizacjami czy alertami. Dlatego na przykład Kanadyjskie Centrum Cyberbezpieczeństwa zaleca zrównoważenie ogólnego doświadczenia użytkownika i ochrony bezpieczeństwa, aby zmaksymalizować bezpieczeństwo i zminimalizować zakłócenia.
Edukacja to podstawa
Oto kilka innych porad dotyczących poprawy doświadczenia użytkowników i zmniejszenia obciążenia zasobów IT:
- Przeprowadź kampanię uświadamiającą i szkolenia, aby edukować użytkowników.
- Umożliwienie użytkownikom elastycznego korzystania z różnych rodzajów czynników, tam gdzie to możliwe, takich jak klucze bezpieczeństwa, dane biometryczne lub kod PIN.
- Daj użytkownikom możliwość przekazywania informacji zwrotnych na temat ich doświadczenia z MFA.
- Wdrożenie uwierzytelniania wieloskładnikowego z aplikacją jednokrotnego logowania (SSO) w celu automatycznego logowania autoryzowanych użytkowników do ich połączonych kont.
- Zapewnij użytkownikom zapasowy czynnik MFA i skonfiguruj łatwy sposób na samodzielne zresetowanie go w przypadku utraty, niedostępności lub naruszenia podstawowego czynnika.
- Monitorowanie zdarzeń MFA i sprawdzanie raportów uwierzytelniania w celu wykrycia anomalii w logowaniu.
- Umożliwienie użytkownikom odłączenia zgubionego lub skradzionego urządzenia/klucza bezpieczeństwa od ich konta.
Koniec trudnych czasów
Ponieważ użytkownicy często zmagają się z rozproszonym uwierzytelnianiem, podzielonym między usługi i punkty końcowe, administratorzy IT mają trudności z utrzymaniem i aktualizacją takiej infrastruktury. ESET Secure Authentication ma na celu przejęcie tych obowiązków z rąk użytkowników:
- Dzięki ESET Secure Authentication ESET nadzoruje konserwację i aktualizację, utrzymując ich skalowalność i polując na luki w zabezpieczeniach.
- Nowy pulpit nawigacyjny pokazuje administratorom, ilu użytkowników jest chronionych i niechronionych, wszelkie nieudane logowania itp. dzięki czemu mogą zobaczyć szare obszary, które można poprawić.
- Administratorzy nie muszą tworzyć wizytówek. Po prostu tworzą instalator, pobierają go, instalują na urządzeniach użytkowników i rejestrują ich.
- Obsługiwane są rozwiązania uwierzytelniające innych dostawców.
Mniej konserwacji, więcej ochrony
Bezpieczne uwierzytelnianie jest istotnym aspektem cyberbezpieczeństwa, ale może również łatwo działać na nerwy. Wielokrotne uwierzytelnianie, zmiana haseł i robienie tego w kilku aplikacjach może prowadzić do zmęczenia użytkowników MFA i jednocześnie wyczerpać personel IT administrujący nim. I nie chodzi tylko o zadowolenie użytkowników i administratorów IT, ale także o zabezpieczenie firm, które mogą być zagrożone przez zmęczenie FMA.
Dzięki ESET Secure Authentication firmy mogą zwiększyć automatyzację i zmniejszyć obowiązki konserwacyjne administratorów IT, zwiększając w ten sposób swoją odporność na ataki oparte na danych uwierzytelniających.
Funkcje ESET Secure Authentication
Uwierzytelnianie push - Umożliwia uwierzytelnianie jednym dotknięciem, bez konieczności ponownego wpisywania jednorazowego hasła. Współpracuje ze smartfonami iOS i Android.
Chroń swoje aplikacje w chmurze - Dodaj MFA, aby zabezpieczyć dostęp do usług takich jak Google Apps, Dropbox i wielu innych. ESET obsługuje integrację za pośrednictwem protokołu uwierzytelniania SAML-2 używanego przez głównych dostawców tożsamości.
Konfiguracja w 10 minut - Niezależnie od tego, czy Twoja firma ma dziesiątki, czy tysiące użytkowników, rozwiązanie ESET Secure Authentication, dzięki możliwości zapewnienia wielu użytkownikom jednocześnie, pozwala skrócić czas konfiguracji do minimum.
Wiele metod uwierzytelniania - Nie ma potrzeby stosowania specjalnych tokenów ani urządzeń dla pracowników. ESET Secure Authentication działa płynnie na smartfonach, ma własny kod PIN dla większego bezpieczeństwa i może integrować się z danymi biometrycznymi urządzeń (Touch ID, Face ID, odcisk palca w Android) w celu zwiększenia bezpieczeństwa i lepszej obsługi użytkownika. W razie potrzeby obsługuje również tokeny sprzętowe lub klucze bezpieczeństwa FIDO.
Niepotrzebny dodatkowy sprzęt - Wymagania dotyczące zasobów narzędzia ESET Secure Authentication są minimalne – możesz korzystać z wersji chmurowej, dzięki czemu nie będziesz potrzebować dedykowanego serwera. Jednocześnie rozwiązanie oferuje również alternatywę dla wdrożenia lokalnego.
Wiele dzierżaw - ESET Secure Authentication cloud została zaprojektowana z możliwością zarządzania wieloma dzierżawami, dzięki czemu dostawcy usług zarządzanych (MSP) mogą administrować wieloma firmami lub lokalizacjami, oferując elastyczność definiowania określonych ustawień dla poszczególnych grup użytkowników.
Bezproblemowa integracja - Rozwiązanie oferuje dwa typy integracji – integrację z Active Directory dla organizacji korzystających z domeny Windows lub tryb autonomiczny, który jest odpowiedni dla tych, którzy jej nie posiadają. Tak czy inaczej, wdrożenie i konfiguracja są szybkie i łatwe, a wszystko można płynnie zarządzać za pomocą konsoli chmurowej.
Obsługa VDI i VPN - Obsługiwane są VMware Horizon View, Citrix XenApp, Barracuda Cisco ASA, Citrix Access Gateway, Citrix NetScaler, Check Point Software, Cyberoam, F5 FirePass, Fortinet, Forti Gate, Juniper, Palo Alto, SonicWall. Dostępna jest również obsługa niestandardowej integracji z dowolną siecią VPN opartą na RADIUS.
Pełne API i SDK - Dla organizacji, które chcą zrobić jeszcze więcej, udostępniliśmy w pełni funkcjonalne API i SDK, za pomocą których klienci mogą rozszerzyć MFA na aplikacje i platformy, z których korzystają – bez dedykowanej wtyczki.
ESET Secure Authentication to narzędzie, które może znacząco odciążyć firmy w kwestii wymagań uwierzytelniania, jednocześnie podnosząc poziom bezpieczeństwa. Jego łatwa integracja, intuicyjność obsługi oraz elastyczność sprawiają, że jest to idealne rozwiązanie zarówno dla małych, jak i dużych firm, które chcą chronić swoje zasoby cyfrowe bez konieczności angażowania dużych zespołów IT. Dzięki ESA firmy mogą skupić się na swoich kluczowych zadaniach, mając pewność, że ich dane są bezpieczne i chronione przed zagrożeniami cybernetycznymi.
O autorze: Wiesław Sołtysik
Product manager - Opiekun marki ESET
Product manager w Arkanet. W branży IT od ponad 20 lat. Expert w prowadzeniu projektów z zakresu bezpieczeństwa IT. Prywatnie fascynje się technologią i motoryzacją.