Zaščita pred ransomwareom se začne s zaščito identitete

Ransomware in podobni uničujoči napadi na IT sisteme običajno začnejo s krajo gesel (phishing). Najlažji način preprečevanja napada je uporaba večfaktorske avtentikacije (ang. multi-factor authentication) ali MFA. Vendar se organizacije redko odločajo za implementacijo MFA zaščite za lastne aplikacije, ker je ta postopek do sedaj zahteval draga prilagajanja aplikacij in zapletov v IT infrastrukturi. Poleg tega lahko pride do slabše uporabniške izkušnje in s tem več klicev na pomoč uporabnikom. Vendar pa ni več treba biti tako. 

Organizacije uporabljajo vrsto aplikacij oz. točk dostopa svojih zaposlenih. E-pošta, ERP, CRM, CMS, oddaljeni namizji (RDP) ter naraščajoče število internih spletnih aplikacij in SaaS storitev (MS365 in podobno) so le nekatere izmed njih. Vse te aplikacije običajno ščitijo z uporabniškim imenom in geslom, kar v današnjem času predstavlja nekakšen vabilo za ransomware napadalce. Tudi če se organizacija odloči za okrepitev dostopa z večfaktorsko avtentikacijo, se običajno vse skupaj zmanjša na zaščito ob priključitvi na virtualno zasebno omrežje (VPN). To seveda ni več dovolj. 

Dobra novica je, da so danes na tržišču na voljo rešitve  identity & access management (IAM), ki lahko dopolnijo ali celo nadomestijo tisto, kar večina IT administratorjev pozna kot tradicionalno platformo za shranjevanje identitete – Microsoft Active Directory. Takšne rešitve se običajno dostavljajo kot storitev, skrajšano IDaaS (Identity as a Service), kar pomeni, da ne zahtevajo dodatne IT infrastrukture in zapletenih projektov implementacije. IDaaS omogoča hitro povezovanje vseh aplikacij na centralno preverjanje identitete ter prevzema funkcij večfaktorske avtentikacije in izvajanja drugih preverjanj. To lahko na primer vključuje lokacijo uporabnika, vrsto naprave, s katere se uporabnik povezuje, čas povezave itd. Na ta način aplikacije več ne potrebujejo posamezne podpore za večfaktorsko avtentikacijo, saj to postane naloga IDaaS rešitve. 

Dodajanje MFA postane še posebej enostavno s spletnimi aplikacijami, kjer standardni protokoli, kot sta SAML ali OpenID Connect (OIDC), omogočajo povezavo z IDaaS prek preusmeritve v samem brskalniku. 

Omenimo še, da lahko večfaktorsko avtentikacijo okrepimo z žetoni FIDO2 tokeni, t.i. MFA, odporen proti lažnemu predstavljanju, kot tudi kombinacija tradicionalne avtentikacije na podlagi potrdil (PKI) s sodobnim standardom FIDO2. Ohranjanje varnostnih prednosti certifikatov, a zmanjšanje zapletov pri njihovi uporabi je vsekakor zanimivo za vse organizacije.

Vas zanima, kako lahko vaša organizacija implementira IDaaS/IAM z močno večfaktorsko avtentikacijo prek žetonov FIDO2? Ali želite kot IT podjetje svojim uporabnikom ponuditi preprosto opolnomočenje vseh aplikacij z MFA in s tem zmanjšati tveganja izsiljevalske programske opreme? Najdi več.