SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Что такое фактор аутентификации, зачем нужен второй и сколько их всего

Что такое фактор аутентификации, зачем нужен второй и сколько их всего
17.04.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

В современных системах взаимодействие людей друг с другом, с компьютерами и внешним миром часто осуществляется через различные сервисы: вызов такси, заказ еды, конференцсвязь с коллегами в будни и далёкими друзьями в свободное время. Люди используют их постоянно, сохраняя адреса, любимые продукты, номера телефонов, а сохранность таких данных может быть нарушена, если злоумышленник получит доступ вместо «правильного» пользователя.


Многофакторная аутентификация (Multi-Factor Authentication, MFA) - совершенно не новое средство защиты от несанкционированного доступа, которое доказывает свою эффективность год за годом. В этой статье мы расскажем про разные варианты второго фактора, третьего и остальных, но для начала разберем задачу доступа к чему-то на составляющие.


Применение такой защиты может быть актуальным для некоторых особых случаев:

· Сервисы могут быть платными (звонки за границу с использованием роуминга, оплата доставки продуктов на дом, дополнительное место в облаке для фотографий с телефона), поэтому доступ к данным может дать злоумышленнику и возможность использовать финансы жертвы в своих целях.

· Данные в сервисе могут быть просто важными для человека (личная переписка в мессенджере, коммерческая тайна внутренней рабочей переписки), поэтому при утрате пароля или смартфона без блокировки есть риски не только финансового характера.


В обоих случаях затронут вопрос пароля в прямом смысле (пароль от личного кабинета в электронном магазине, пароль от аккаунта корпоративной почты) или другие способы защиты (ПИН-код от банковской карты, графический ключ на экране смартфона). Эти способы защиты данных можно объединить общим понятием – фактор аутентификации. 

Иногда помимо единого фактора самые важные данные защищают вторым, и сравнить это можно с такой ситуацией: запирая двери дома и уходя по делам, самые ценные вещи дома можно:

1. Спрятать;

2. Положить в сейф;

3. Забрать с собой.


В таком случае мы можем усложнить работу гипотетического грабителя и к первому фактору защиты (дверному замку) добавить новые «слои» безопасности. В жизни компаний происходит что-то похожее: самые ценные данные не покидают определенный периметр (дом), шифруются (прячутся) и размещаются в базах данных различных сервисов (помещаются в сейф). Дополнительно к ним могут применяться метки конфиденциальности и специальные средства защиты, которые мы уже разбирали (тут и тут). Для обычных людей и бытовых вещей это чем-то похоже на GPS-трекеры на собаке или яркую одежду ребёнка, чтобы быстро найти его в толпе. На самом деле есть множество различных средств защиты, но сейчас мы вернёмся ко второму фактору аутентификации. 

Если вспомнить три варианта защиты ценных вещей из примера с жилым домом выше, можно выделить три способа доказательств владения (факторы аутентификации):

1. Свойства владельца, такие как форма лица, цвет глаз, отпечатки пальцев;

2. Знание о пароле, коде от сейфа, секретном слове для банка или чем-то уникальном и недоступном посторонним лицам;

3. Владение, когда информация или ценный предмет физически находятся у вас (файлы на флешке, любимое украшение в сумочке и т.д.).


На этих трех видах доказательств права владения построены дополнительные методы защиты. Помимо первого фактора (пароля от учётной записи, ключа от дома) для самого важного можно применить второй фактор (2FA) или сразу несколько (MFA), комбинируя их и создавая новые препятствия на пути злоумышленника. При этом порядковый номер в нашем списке не связан с порядком применения средств или глубиной защиты. Возьмём, например, пароль. Это самый популярный и распространённый фактор защиты данных. Само по себе наличие пароля только косвенно влияет на сохранность данных, ведь это может быть «12345678», для подбора которого понадобится пара минут. С другой стороны, пароль можно создать и сложный, тогда перебором займётся скорее всего уже не человек, а компьютер, при этом, если злоумышленник поставил цель получения доступа к данным – только вопрос времени, когда он её достигнет.


На основе свойств владельца защищены многие смартфоны и с недавнего времени – компьютеры. Такие дополнительные факторы работают обычно очень быстро, поэтому востребованы там, где низкая скорость обработки может негативно повлиять на процессы. Например, при оплате картой, «привязанной» к смартфону на кассе магазина в вашем доме, когда СМС (далее разберем и такой фактор) может идти дольше, чем гнев очереди. Отпечаток пальцев, используемый при расследовании преступлений, используется и в ИТ как способ подтверждения личности, зачастую в качестве замены первому фактору (вместо пароля) или его дополнения (покупка в Google Play или с NFC-терминала).


Однако иногда свойства можно подделать, например, распознавание лиц азиатов было затруднено особенностями обучения нейросети, поэтому многие из них могли использовать «лицо» для получения данных совершенно другого человека. В общем смысле сравнить этот фактор защиты можно с печатью для входа в ночной клуб или пропуском для прохода в университет: идея быстрая и простая, но при должном усердии и творческих навыках – не идеальна и поддаётся обходу.


Третий способ организации фактора защиты основан на владении каким-то предметом или ИТ-средством. Так, например, при наличии личного устройства в кармане можно открыть умный замок для входа в подъезд, а при получении СМС от банка (на тот же личный телефон) – оплатить онлайн-покупку при помощи карты с 3D-secure. В качестве примера можно привести и пропуск СКУД-системы, открывающий не только турникеты для входа в офис, но и умные ключницы и доступ к принтерам и закрывающий доступ в отдельные помещения.


Такой способ не будет работать эффективно, если пропуск потерян, а мобильный телефон украден злоумышленником. Для окружающего мира человек, владеющий вашим вторым фактором, может подтвердить, что он – это вы.


На основе знаний формируются факторы аутентификации, которые по статистике 2022 года «взломать» может человек без дополнительных и сложных технических средств. В ходе общения злоумышленники могут «вытянуть» из жертв знания, которые используются для, например, онлайн оплаты. Речь идёт не только про CVC-код, который фактически только первый фактор защиты при онлайн платежах, а про кодовое слово, кличку питомца, девичью фамилию матери и другие сведения, которые где-то используются в качестве дополнительного фактора защиты данных.


Сами того не подозревая, мы укрепляем свою безопасность и используем десятки вариантов защитных факторов. И есть несколько привычек, которые точно помогут повысить ваше спокойствие в сети и привычных делах. Невозможно выделить один, самый лучший и эффективный, фактор для защиты данных от несанкционированного доступа, но свобода комбинирования и применения сразу нескольких их них – подстраховывают друг друга, закрывая недостатки. 

Защита персональных данных (ИСПДН) Подкасты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют