Wieloskładnikowe uwierzytelnianie bez tokenów Rozwiązanie dla małych i średnich przedsiębiorstw Grzegorz Mucha grzegorz.mucha@rsa.com 1
Rynek uwierzytelniania w liczbach 124 45 123456 milionów użytkowników SSL VPN w 2012 1 procent firm wciąż używających statycznych haseł do uwierzytelnienia zdalnego dostępu 2 najczęściej używane hasło 3 1 Gartner Specialized SSL VPN Equipment, 2008 2 Forrester Enterprise And SMB Security Survey, North America And Europe, Q3 2008 3 http://igigi.baywords.com/rockyou-com-passwords-list/ 2
Rosnące zagrożenia i wymagania Zewnętrzne ataki Kosztowne wymagania audytowe, rosnąca liczba regulacji prawnych Beztroscy użytkownicy zapisujący hasła w różnych miejscach Wciąż zmieniające się wymagania biznesowe Potrzeba wdrażania coraz większej liczby narzędzi do pracy grupowej 3
Budżet IT Oszuści widzą okazję Założenie, że małe i średnie przedsiębiorstwa mają mniej zaawansowane zabezpieczenia Ryzyko dla małych i średnich organizacji Tradycyjnie mniejszy udział technologii silnego uwierzytelnienia w małych i średnich przedsiębiorstwach Skala organizacji 4
Presja na dział IT Środowisko Nieustannie zmieniający się krajobraz zagrożeń Konieczność wspierania wielu grup użytkowników i różnych inicjatyw Budżet i zatrudnienie są zawsze ograniczone Kierownictwo ma wymagania Produktywność użytkowników Bezpieczeństwo widziane jako obciążenie Użytkownicy nie mogą doświadczać przerw w pracy systemów Nacisk na narzędzia pracy grupowej i mobilne oznacza potencjalnie wystawienie tożsamości i własności intelektualnej poza granice organizacji 5
AMX: Proste wieloskładnikowe uwierzytelnianie Uwierzytelnianie w oparciu o ryzyko (Risk-Based Authentication, RBA) Tokeny na żądanie (OnDemand Authentication, ODA) oraz Łatwa do zarządzania platforma 6
Token na żądanie część rozwiązania Pozwala na dostarczenie hasła jednorazowego (OTP) przez SMS lub email Bazuje na algorytmie RSA SecurID Działa na każdym telefonie komórkowym i u dowolnego operatora Bez potrzeby wdrażania dodatkowego oprogramowania ani konieczności zarządzania tokenami Wieloskładnikowe uwierzytelnianie: Składnik nr 1 PIN Składnik nr 2 Telefon komórkowy albo konto mailowe 7
RSA Risk Engine Zaawansowany i sprawdzony model szacowania ryzyka Wykorzystywany przez 350 mln użytkowników na świecie Najczęściej bankowość elektroniczna Do wyliczenia poziomu zaufania brane są dziesiątki parametrów Samouczący się ciągła adaptacja do zachowań użytkowników 8
Uwierzytelnienie oparte o ryzyko Ukryta inteligencja w RSA Authentication Manager Express Optymalizowane dla zwykłych przedsiębiorstw 9
Risk-Based Authentication Wieloskładnikowe uwierzytelnienie bez tokenów 3 1 Wzmacnia siłę tradycyjnego hasło przez dodanie po cichu analizy opartej o ryzyko Czy użytkownik uwierzytelnia się ze znanego urządzenia? 2 Czy zachowanie użytkownika mieści się w znanej charakterystyce? 1 2 Składnik 1: Coś, co WIEMY Składnik 2: Coś, co POSIADAMY 4 Ryzykowne uwierzytelnianie wymaga dodatkowego potwierdzenia Pytania bezpieczeństwa Kod na żądanie (ODA) 3 Składnik 3: Coś, co ROBIMY 4 Dodatkowe uwierzytelnienie : Coś co WIEMY lub co POSIADAMY 10
Przykład logowanie bez AMX Pracownik wchodzi na stronę SSL VPN-a Podaje użytkownika i hasło Dostęp jest przyznany RYZYKO: Użytkownik mógł być podstawiony, hasło kradzione 11
Przykład logowanie z AMX Typowe zachowanie, zarejestrowany komputer Poprawne logowanie LUB Pracownik wchodzi na stronę SSL VPN Następuje przekierowanie na stronę logowania Podaje użytkownika i hasło Charakterystyki logowania są wysyłane do Risk Engine u Nietypowe zachowanie, nietypowe urządzenie On-demand Authentication lub Pytania Bezpieczeństwa Poprawne logowanie Typowe zachowanie użytkownik jest uwierzytelniony; Jeśli nie dodatkowe uwierzytelnienie, dopiero jego poprawne przejście pozwala na zalogowanie 12
Dlaczego uwierzytelnienie oparte o ryzyko? Porównajmy alternatywy zakładając brak tokenów Hasło ****** Wprowadzenie skomplikowanych haseł Efekt: Helpdesk poświęca czas na resetowanie haseł; spada produktywność użytkowników Tylko SMS Wdrożenie systemu SMS zamiast haseł Efekt: Niekoniecznie idealne dla wszystkich użytkowników; SMS wysyłany przy każdej próbie logowania Authentication Manager Express Wdrożenie RBA Efekt: Niewidoczne dla użytkowników; płynne wdrożenie. RBA + SMS jest lepsze niż sam SMS. 13
RSA Authentication Manager Express - szczegóły Skalowalność: Do 2,500 użytkowników Platforma: Appliance z systemem Linux Integracje: SSL VPN Outlook Web Access Portale Webowe Klient Citrix Replikacja: można zastosować drugi appliance Metody uwierzytelnienia: Risk-based Authentication SMS, pytania weryfikujące 14
Typowe zastosowania SSL VPN Pracownicy mobilni łączący się z zasobami firmowymi przez SSL VPN Web Portal Citrix Partnerzy dostają się do portalu opartego o Microsoft IIS w celu złożenia zamówienia Podwykonawcy korzystają z aplikacji dostępnej przez Citrix XenApp Pracownik Partner Podwykonawca 15
Dlaczego RSA Authentication Manager Express? RSA Authentication Manager Express to najszybszy sposób na wdrożenie wieloskładnikowego uwierzytelnienia Sprawdzona technologia wieloskładnikowego uwierzytelnienia Bezbolesne przejście z haseł do mocnego uwierzytelnienia Wygoda dla użytkowników Standardowe uwierzytelnienie hasłem w typowych sytuacjach Proste dla działu IT Nic do wdrożenia u użytkowniów Integracja prosto z pudełka Wygodna platforma sprzętowa 16
Trzy platformy RSA do uwierzytelniania Klient docelowy Małe i średnie organizacje Mniej niż 2,500 użytkowników Duże przedsiębiorstwa Powyżej1,000 użytkowników Aplikacje dla konsumentów Powyżej10,000 użytkowników Zastosowania Ochrona systemów SSL VPN i aplikacji webowych Użytkownicy: Pracownicy, partnerzy, klienci Ochrona aplikacji, portali i infrastruktury sieciowej Użytkownicy: Pracownicy, partnerzy, klienci Ochrona aplikacji webowych Użytkownicy: typowo klienci/konsumenci Zalety rozwiązania Wygoda dla użytkowników i działu IT; Niskie TCO Zaawansowane funkcje, skalowalność, różne formy tokenów Skalowalność, wygoda, uzasadnione ekonomicznie; Dostępne lokalnie lub jako usługa RSA Authentication Manager Express RSA Authentication Manager RSA Adaptive Authentication Maksymalna elastyczność i optymalizacja 17
Scenariusz: Risk Based Authentication z ODA jako metodą dodatkowego uwierzytelnienia 18
Risk Based Authentication Krok 1: Login Kiedy używamy RBA, strona logowania jest przekierowania na AMX, ale......dalej używane są użytkownik i hasło! 19
Risk Based Authentication Krok 2: Użytkownik nieznany dodatkowe uwierzytelnienie 20
Risk Based Authentication Krok 3: Zapamiętanie urządzenia (opcjonalnie) Tożsamość potwierdzona dodatkowym uwierzytelnieniem (tu: ODA) Urządzenie użytkownika może być zapamiętane jako znane urządzenie, w następnym logowanie z tego urządzenia zostanie podwyższony poziom zaufania To pytanie jest opcjonalne można zapamiętywać wszystkie urządzenia 21
Risk Based Authentication Dodatkowe uwierzytelnienie w logach Urządzenie nieznane przy pierwszym logowaniu Poziom bezpieczeństwa VERY LOW, co wyzwoliło dodatkowe uwierzytelnienie Użytkownik poprawnie zalogował się używając OnDemand, stąd jego tożsamość potwierdzona 22
Risk Based Authentication Ponowne logowanie znane zachowanie użytkownika i urządzenie Użytkownik loguje się z tego samego urządzenia, znowu używając użytkownika i hasła Tym razem jego komputer i zachowanie zgadzają się z informacjami zapamiętanymi przez Risk Engine AMX akceptuje login nie wymagając dodatkowego potwierdzenia RBA jest w pełni przezroczyste dla użytkownika 23
DZIĘKUJĘ ZA UWAGĘ http://www.rsa.com/node.aspx?id=3843 24