Stosowanie MFA w celu uzyskania dostępu do usług w chmurze

Przewodnik po wykorzystaniu uwierzytelniania wieloskładnikowego (MFA) do zabezpieczenia usług w chmurze.

Organizacje uzyskują dostęp do swoich danych i usług hostowanych w chmurze za pośrednictwem połączenia internetowego. Jeśli kontrola dostępu do tych informacji nie jest bezpieczna, są one narażone na ataki cyberprzestępców z całego świata. W ostatnich latach obserwuje się rosnącą liczbę ataków na usługi chmurowe, polegających na wykorzystaniu technik kradzieży haseł użytkowników w celu uzyskania dostępu do ich kont. Dane wskazują, że każdego dnia odnotowuje się ponad 300 milionów nieuczciwych prób logowania do usług chmurowych. Większość naruszeń danych dotyczy słabych, domyślnych lub skradzionych haseł. Przeciętna osoba musi pamiętać 70-130 haseł. W kontekście tych ustaleń nie dziwi rezultat z badań przeprowadzonych przez Google w 2019 roku, w których stwierdzono, że 65% osób wybiera opcję ponownego wykorzystania tego samego hasła dostępu do wielu lub nawet do wszystkich swoich kont. Kiedy ludzie ponownie używają tego samego hasła na wielu kontach, nawet jeśli tylko jedno z tych kont zostanie naruszone, a hasło i nazwa użytkownika wpadną w ręce cyberprzestępców, to wszystkie inne konta, które mają to samo hasło, stają się podatne na ataki.

Organizacje coraz częściej korzystają z usług w chmurze jako sposobu na zdalne udostępnianie plików firmowych. Pliki te często zawierają dane osobowe klientów. Chociaż zabezpieczenia w wielu usługach chmurowych znacznie przewyższają te, na które mała organizacja mogłaby sobie pozwolić we własnym zakresie, to umożliwienie dostępu do usług chmurowych wyłącznie za pomocą hasła, co prowadzi do powstania poważnej podatności dla poufności, integralności i dostępności danych organizacji.

Obecnie uważa się, że niezbędny jest dodatkowy składnik uwierzytelniania wieloskładnikowego (multifactor authentication, MFA) w celu skonfigurowania dostępu do wszystkich usług w chmurze. MFA oznacza, że oprócz hasła, posiadacze kont będą proszeni o potwierdzenie swojej tożsamości za pomocą jednego lub kilku innych sposobów. Może to być kod wysłany na inne urządzenie, na przykład wiadomość tekstowa na telefon komórkowy, kod jednorazowy wygenerowany przez aplikację uwierzytelniającą albo fizyczny token.

Wszystkie usługi w chmurze są objęte zakresem certyfikacji Firmy Bezpiecznej Cyfrowo, a dostęp do nich wymaga uwierzytelniania wieloskładnikowego.

Jaki rodzaj MFA jest akceptowalny?

Uwierzytelnianie wieloskładnikowe wymaga od użytkownika posiadania dwóch lub więcej rodzajów poświadczeń przed uzyskaniem dostępu do konta.

Istnieją cztery rodzaje składnika dodatkowego, który może być brany pod uwagę w przypadku przedsiębiorstw:

Zaufane urządzenie: Techniki MFA wykorzystujące zaufane urządzenie mogą polegać na wiedzy, że użytkownik posiada określone urządzenie (np. komputer firmowy), aby udowodnić, że jest tym, za kogo się podaje. Organizacje mogą skonfigurować usługi w chmurze tak, aby akceptowały próby uwierzytelniania tylko z ich zaufanych sieci korporacyjnych. Dzięki temu użytkownicy mogą uwierzytelniać się tylko wtedy, gdy są bezpośrednio podłączeni do tej zaufanej sieci lub mają do niej zdalny dostęp poprzez wirtualną sieć prywatną (VPN). Dodatkowo, lub jako alternatywa dla korzystania z VPN, pracownicy zdalni mogliby mieć dostęp do usług online tylko na zaufanych urządzeniach, które są zarządzane przez organizację (Patrz wskazówki dotyczące sieci VPN).

Aplikacja: Aplikacja uwierzytelniająca generuje hasło jednorazowe, które zmienia się co kilkadziesiąt sekund. Alternatywnie, aplikacja może otrzymywać powiadomienia push, które wymagają od użytkownika potwierdzenia lub zaprzeczenia, czy obecnie próbuje zalogować się do danej usługi.

Fizyczny/sprzętowy token: Te techniki wykorzystują wiedzę, że użytkownik posiada fizyczny token bezpieczeństwa^*, który potwierdza tożsamość. Niektóre typy tokenów będą wymagały od użytkownika odblokowania ich przed użyciem, inne wymagają tylko dowodu posiadania.

*Przykładami fizycznych tokenów są uniwersalne klucze sprzętowe, które są odblokowywane przez kod PIN oraz urządzenia takie jak tokeny RSA i czytniki kart chip-and-PIN, które generują jednorazowy kod przy każdym logowaniu użytkownika.

Znane zaufane konto: Technika ta polega na przesłaniu kodu na zarejestrowany adres e-mail lub numer telefonu.

Usługa wysyła na numer telefonu, zarejestrowany dla danego użytkownika, wiadomość SMS zawierającą kod jednorazowy lub wykonuje połączenie głosowe, w którym kod jednorazowy jest odczytywany. Wiadomość SMS nie jest najbezpieczniejszym rodzajem dodatkowego składnika, ale i tak oferuje ogromną przewagę nad nieużywaniem żadnego MFA w ogóle. Każde uwierzytelnianie wieloskładnikowe jest lepsze niż jego brak. Alternatywnie, serwis wyśle jednorazowy kod na adres e-mail zarejestrowany przez danego użytkownika. Preferowane jest użycie kodu do wpisania przez użytkownika, zamiast przesłania linku uwierzytelniającego w e-mailu. To drugie rozwiązanie może być mylące i może utrudniać użytkownikowi rozróżnianie zaufanych wiadomości e-mail od wiadomości phishingowych.

Preferowany jest kod do wpisania przez użytkownika, gdyż link uwierzytelniający może sprawiać użytkownikowi trudności w odróżnieniu zaufanej wiadomości e-mail od wiadomości phishingowej.

MFA nie jest konieczne za każdym razem, gdy użytkownik łączy się z usługą w chmurze, jednak należy określić kluczowe sytuacje, w których sprawdzenie dodatkowego składnika będzie wymagane, aby w pełni uwierzytelnić użytkownika. Takie sytuacje mogą obejmować:

Logowanie do usługi przy użyciu urządzenia, z którego użytkownik wcześniej nie korzystał. Aby dodać urządzenie do zaufanych może być wymagana zgoda na zapamiętanie urządzenia przez serwis poprzez wybranie opcji „zapamiętaj moje urządzenie”.
Logowanie do usług najistotniejszych z punktu widzenia bezpieczeństwa, takich jak konto e-mail lub bankowość internetowa.
Wykonywanie czynności wysokiego ryzyka – takich jak zmiana hasła czy przelew pieniędzy.
Sytuacje, w których uwierzytelnianie zostało zidentyfikowane przez system jako potencjalnie ryzykowne, np. połączenie pochodzi z innej części świata niż zwykle.

Uwierzytelnianie wieloskładnikowe to dodatkowa bariera, która tworzy warstwę bezpieczeństwa niezwykle trudną do przejścia dla atakujących. Gdy MFA jest włączone, znajomość lub złamanie hasła przez cyberprzestępców nie wystarczy. Szacuje się, że dzięki MFA można zablokować 99,9% ataków.