Идентификация, аутентификация, авторизация. Что это и для чего это нужно?
Эти три технических термина несложно перепутать по причине их созвучности. Они отвечают за базовые процессы доступа пользователей в приложения и сервисы, в которых используются учётные записи.
1 этап — идентификация. Это этап, при котором происходит проверка существования пользователя в системе. Когда пользователь начинает взаимодействие с каким-либо приложением, система не знает, с каким пользователем она взаимодействует. Пользователь должен направить ей какой-либо идентификатор. После этого система сверяет полученный от пользователя идентификатор с идентификаторами, хранящимися в её базе данных, — если такого идентификатора нет, для такого пользователя вход в систему становится невозможным. Обычно для повышения безопасности на этапе идентификации реализуется запрет на использование пользователями коротких и легко предугадываемых логинов, что позволяет немного защитить идентификаторы пользователей от подбора или аналитического сопоставления.
2 этап — аутентификация. Этот этап выполняет защитную функцию. Аутентификация ограничивает доступ к системе случайным лицам и злоумышленникам, которые обладают знаниями о каких-либо существующих идентификаторах пользователей. Представьте, что бы было, если бы в банковские аккаунты пользователей можно было заходить только по одному лишь логину!
Для того, чтобы этого не произошло, система проводит проверку подлинности пользователя посредством запрашивания у него какой-нибудь секретной информации — например, постоянного или одноразового пароля. Или просит пользователя предъявить специализированный аппаратный токен, содержащий действующую электронную подпись.
Схема со входом по электронной подписи намного надёжнее, чем просто вход по паролю, и не требует хранения какой-либо секретной информации о пользователе на сервере. Её невозможно украсть с сервера или расшифровать. Единственным минусом данной схемы можно назвать необходимость повышенного контроля за носителем закрытого ключа, который может быть украден или незаметно использован злоумышленником.
3 этап — авторизация. Это завершающий этап входа пользователя в систему. Чаще всего, приложения разделяют пользователей по уровню полномочий. Чтобы отделить пользователей с минимальными правами от пользователей с более высокими правами, применяется механизм авторизации, при котором каждому пользователю присваиваются специализированные атрибуты, которые хранятся в приложениях. При каждом входе пользователя в систему ему предоставляется доступ в соответствии с данными атрибутами.
Основным принципом, на котором строится данный этап, является предоставление пользователям только тех минимальных прав, которые действительно необходимы им для выполнения своих служебных обязанностей или использованию сервиса, если мы говорим о внешних пользователях. Предоставление любых избыточных прав должно быть запрещено, так как это может привести к непредвидимым последствиям.
Каким организациям нужна зашита информации в первую очередь?
Защита информации нужна всем организациям, у которых есть конфиденциальная информация, разглашение которой может нанести вред самой организации, её клиентам, государству или социально-экономическим процессам в обществе.
При каких обстоятельствах чаще всего происходит взлом и заражение сети?
Чаще всего заражение сети происходит по причине низкой осведомлённости персонала в вопросах информационной безопасности. Многие рядовые пользователи просто не знают, как быстро распознать поддельный сайт. Другие скачивают и устанавливают программы со случайных сайтов в интернете, на которых злоумышленники размещают модифицированные вредоносным кодом программы. Третьи пишут пароли на бумажках и вешают их на стену или на монитор, а потом выкладывают в сеть свои фотографии с рабочего места.
Виновниками взлома или заражений часто являются сами технические специалисты, которые в целях упрощения собственной работы умышленно ослабляют или игнорируют требования по защите информации.
Например, мне известен случай, когда одному из разработчиков программного обеспечения в крупном холдинге были предоставлены права локального администратора на рабочем месте (что само по себе является плохой практикой с избыточными правами). Пользуясь данным фактом, разработчик при входе систему отключал у себя антивирус и тестировал различные библиотеки, скачанные из случайных и непроверенных источников. В одной из таких библиотек содержался вредоносный код, который привёл к компрометации части сети организации и частичной приостановке её деятельности. Тем не менее, данной ситуации можно было бы легко избежать, если бы данный разработчик обратился к коллегам из службы информационной безопасности и информационных технологий, а не принимал решения самостоятельно.
Технологии и методы защиты корпоративной информации
Говоря глобально, вышеописанные механизмы выполняют функцию защиты на уровне доступа, а ведь есть довольно большой перечень угроз, от которых они не в силах уберечь. Например, ту же смарт-карту или USB-токен могут украсть, пароль администратора сбросить, получив физический доступ к серверу, а для кражи логина и пароля пользователя злоумышленнику достаточно лишь заманить жертву на поддельный сайт. Кроме того, в программах периодически находят уязвимости, которые позволяют обходить любые механизмы защиты. Злоумышленники часто используют такие уязвимости, создавая специализированных ботов, которые ищут уязвимые машины в сети и атакуют их. Поэтому для надежной защиты применяются специализированные средства защиты, применяемые для обнаружения, предупреждения и отражения отдельных видов атак.
К таким средствам защиты относятся:
- специализированные средства защиты и обнаружения вторжений на уровне сети (NGFW/UTM/NTA/NDR/IDS/IPS);
- системы защиты от утечек информации (DLP);
- системы защиты от (D)DoS-атак;
- средства мониторинга и управления событиями безопасности (SIEM);
- системы защиты удалённого доступа и облачной инфраструктуры;
- и иные средства и решения.
Подробно рассмотреть вышеуказанные средства в рамках данного материала, к сожалению, невозможно, так как каждое из них обладает своим уникальным набором свойств и спецификой применения, для описания которых понадобится не одна статья.
Построение качественной и надежной системы защиты организации является довольно тонким процессом, зависящим от большого количества внешних факторов: род деятельности организации; важность и значимость информации, подлежащей защите; возможный ущерб, который будет нанесён в случае компрометации информации; объём и распределение объектов информатизации, подлежащих защите.
И напоследок, возвращаясь к тем вопросам организации надежного и безопасного доступа в корпоративные системы и сервисы, подведу итоги: если в вашей организации есть особо важные системы, компрометация которых может нанести значительный вред организации или внешнему миру, вход в них должен быть защищен с использованием двухфакторной аутентификации на базе аппаратных токенов или смарт-карт. Для защиты рядовых систем достаточно использовать простую двухфакторную аутентификацию: на базе логина и пароля на первом этапе и одноразового пароля на втором. Использование схемы с входом только по одному логину и паролю не рекомендуется, так как этот метод устарел и является небезопасным. И не забывайте напоминать своим сотрудникам о важности правил информационной безопасности и причинах их соблюдения. Сейчас это особенно актуально.
Никита Кузнецов,
основатель проекта CSlab, эксперт по информационной безопасности