Pentru a incepe corect securizarea accesului remote, organizatia trebuie sa presupuna ca retelele de date si comunicatie care stau intre teleworker si organizatie nu pot fi de incredere. Astfel de retele folosesc tehnologii precum broadband pe cablu coaxial, pe fibra, tehnologii wireless ca 802.11 sau tehnologii celulare. Cu o pondere foarte mare, accesul remote se face peste Internet, ceea ce inseamna ca orice proces de comunicare sau de schimb de informatii poate fi susceptibil unor atacuri de tipul eavesdropping in care informatia poate fi compromisa sau man-in-the-middle (MITM) in care informatia poate fi interceptata si alterata. Riscul care rezulta din folosirea unor retele nesecurizate nu poate fi eliminat, dar poate fi minimizat prin mecanisme de criptare pentru a asigura confidentialitatea si integritatea informatiei si prin mecanisme de autentificare bidirectionala pentru a verifica identitatea ambelor parti implicate in procesul de comunicare.
Cele mai multe resurse ale unei organizatii sunt disponibile pentru a fi accesate remote de angajatii companiei, si adeseori doar de catre un subset de utilizatori. Pentru a se asigura accesul restrictionat la aceste resurse, masurile de control ale organizatiei trebuie sa autentifice fiecare teleworker inainte de a oferi accesul la oricare resursa, si apoi sunt necesare politici de autorizare pentru a se asigura accesul doar la resursele pe care teleworker-ul are dreptul de a le accesa. O alta functie importanta in procesul de accesare remote al resurselor este cea de logging sau de auditare, care ofera trasabilite si un istoric al activitatii, deosebit de important in cazul unor atacuri cibernetice. Aceste trei functii, Autentificare, Autorizare si Auditare, sunt fundamentale pentru securizarea accesului remote la resurse si formeaza un cadru de referinta (framework) cunoscut in industrie ca AAA.
Avand o experienta bogata in protejarea retelelor de date si a bunurilor “IT” (informatie, dispozitive, oameni) ale unei organizatii, Dendrio va poate ajuta in implementarea framework-ului AAA pentru securizarea accesului remote la resursele interne ale organizatiei.
AAA-Autentificarea utilizatorilor
Autentificarea poate fi folosita pentru a confirma identitatea utilizatorului, dar si legitimitatea dispozitivului folosit de teleworker pentru a accesa resurse, astfel incat acel dispozitiv sa fie unul “managed” de catre organizatie si asupra caruia se pot aplica solutii de securizare (firewall personal, antivirus, patch-uri de OS)
Procesul de autentificare poate fi facut in general in doua moduri:
- prin ceva ce utilizatorul stie (nume de utilizator si parola);
- prin ceva ce utilizatorul are (certificat digital sau un token de tipul one time password (OTP), token care poate fi hardware (pe un stick USB) sau software (o aplicatie instalata pe smartphone).
Daca pentru autentificare se folosesc parole, atunci se recomanda puternic folosirea unor parole diferite pentru a obtine acces remote la reteaua organizatiei si pentru accesul la servicii precum email sau login pe dispozitiv (parola de Active Directory), mai ales daca teleworkerul foloseste un dispozitiv care nu este sub administratia organizatiei. Avand parole diferite, scade riscul pe care compromiterea credentialelor de acces remote il poate avea asupra altor surse de informatii si viceversa (escaladarea de privilegii, instalare de programe backdoor, folosirea sistemului in atacuri de tip DoS, cryptomalware si lista poate continua. Cu toate acestea, folosirea unor parole diferite pentru accesul anumitor sisteme este de foarte putine ori implementata si de si mai putine ori “impusa” de organizatie.
Organizatiile care au cerinte mai mari de securitate sau a caror activitate se desfasoara sub anumite standarde din industrie, dar si cele care au ingrijorari legate de folosirea unei simple parole, ar trebui sa ia in considerare o autentificare de tipul two-factor (2FA) sau multi-factor (MFA), autentificare care combina ceea ce stie utilizatorul cu ceva ce acesta are. Este foarte recomandat ca unul dintre factorii de autentificare sa fie diferit de sistemul care incearca sa obtina accesul la resurse. De exemplu, tokenul de OTP poate fi o aplicatie instalata de smartphone.
Un alt aspect care vine si ofera si mai multa siguranta accesului remote este reautentificarea periodica, mai ales in cazul unor sesiuni mai lungi de lucru, cum este, de exemplu, munca de acasa. Reautentificarea periodica este bine sa fie implementata si in cazul in care sesiunea de lucru devine idle dupa o anumita perioada de inactivitate.
AAA-Autorizarea utilizatorilor
O data ce identitatea utilizatorului a fost validata, organizatia (sau mai bine zis, in functie de rolul utilizatorului in cadrul organizatiei) poate determina ce nivel de acces sa i se confere respectivului utilizator. Aceasta implementare mai poarta numele si de Role Based Access Control (RBAC).
Determinarea nivelului de acces se poate face in functie de identitatea utilizatorului sau se poate face in functie de alte considerente, facandu-se de fapt un screening, assessment sau posture check al device-ului utilizatorului. De exemplu, se poate lua in calcul existenta unui software de tip antivirus cu baza de semnaturi la zi, prezenta patch-urilor la zi in sistemul de operare, detectia unui firewall de sistem activ si care blocheaza conexiunile inbound sau chiar existenta unui certificat digital emis de organizatie. In functie de rezultatul evaluarii, utilizatorul primeste un anume nivel de acces. Daca nu este aliniat la cerintele organizatiei, cel mai probabil nu va putea accesa resursa dorita pana cand nu se iau masuri de remediere, iar dispozitivul folosit va fi pus intr-o retea de carantina.
Nivelul de acces dobandit trebuie sa fie suficient cat sa ii permita utilizatorului aplicarea acelor masuri de remediere (acces la Internet pentru actualizarea softului de antivirus, acces la un server de software de unde isi poate descarca patch-urile de sistem de operare, etc). Pentru dispozitivele mobile, aceasta verificare a posturii este mai putin riguroasa, dar un lucru foarte important de luat in calcul este daca dispozitivul a fost rootat sau jailbroken, lucru care poate avea implicatii serioase, pentru ca un astfel de dispozitiv permite instalarea de aplicatii si software si din alte surse in afara de canalele oficiale (Google Play pentru Android, App Store pentru iOS). Daca organizatia are cerinte stricte de securitate, si in cazul in care clientul nu trece de verificarea posturii, solutia de autorizare poate sa ii refuze complet accesul utilizatorului la resurse.
AAA-Auditarea utilizatorilor
Organizatiile care isi desfasoara activitatea sub anumite standarde de compliance si de securitate (de exemplu, organizatii care lucreaza in domeniul bancar sau medical) trebuie sa dispuna de informatii cu privire la activitatea utilizatorilor atunci cand acestia acceseaza reteaua companiei sau resursele acesteia. Pentru a putea trece de procesele de auditare executate periodic in aceste industrii, organizatia trebuie sa faca dovada existentei acestor informatii de logging.
De asemenea, in cazul compromiterii unui sistem sau a unui utilizator, functia de auditare ofera cea mai importanta componeta si anume trasabilitatea:
- cine a accesat un anume sistem: identitatea utilizatorului, care poate fi compromisa, accesarea facandu-se de catre un atacator care isi insuseste identitatea unui utilizator valid
- de la ce adresa IP s-a facut accesul: cu aceasta informatie se poate implementa functia de geo IP fencing (de exemplu, daca IP-ul este unul din Coreea de Nord, sa se refuze accesul la resursa)
- la ce moment de timp s-a facut accesul: daca accesul s-a facut in weekend sau in afara orelor de program obisnuite, acest lucru poate fi suspicios
- volumul de trafic facut: poate fi un indicator de data exfiltration – cineva incearca sa sustraga informatii, posibil cu caracter sensibil sau confidential
- de pe ce device s-a incercat accesul: daca dispozitivul este unul de tip PC sau mobil
Aceste informatii se pot dovedi a fi foarte importante in cazul in care se detecteaza activitate malitioasa la accesarea retelei organizatiei sau a resurselor acesteia.
Framework-ul AAA se implementeaza practic folosind o solutie de tipul NAC (Network Access Control). Cisco are in portofoliu sau de securitate produsul Cisco ISE care urmareste securizarea accesului oricarei persoane si oricarui dispozitiv se conecteaza la retea, pornind de la un model de tipul “zero trust” (nu se face nicio presupunere despre utilizator sau despre dispozitiv, pana la dovedirea identitatii, nu se are incredere in nimeni si nimic). Cisco ISE, printre alte functii si feature-uri, poate sa:
- implementeze framework-ul AAA
- ofere o vizibilitate completa asupra celor care doresc sa acceseze reteaua sau resursele acesteia
- politici de securitate consistente, indiferent de modul de conectare al utilizatorilor la retea (wired sau wireless)
- verificarea posturii: Cisco ISE identifica si remediaza acele dispozitive care nu trec de posture check
- eliminarea malware-ului de pe dispozitivele infectate
Inginerii Dendrio va pot ajuta la implementarea unei solutii de securitate bazata pe Cisco ISE si framework-ul AAA pentru ca dumneavoastra, angajatii si organizatia dumneavoastra sa aveti un mediu de lucru sigur, stabil si cu o grija mai putin.
Mihai Dumitrascu, Sr Systems Engineer