W związku ze stale rosnącym ryzykiem wynikającym z powszechnego stosowania narzędzi cyfrowych, instytucje publiczne i przedsiębiorstwa prywatne muszą podnosić swoją odporność cybernetyczną.

RedFlag przygotował rekomendacje ochrony tożsamości użytkowników w oparciu o bieżące zalecenia obowiązujące administrację publiczną w Stanach Zjednoczonych, w tym przede wszystkim „Rozporządzenie wykonawcze w sprawie poprawy bezpieczeństwa cybernetycznego kraju” z dnia 21 maja 2021 [Executive Order on Improving the Nation’s Cybersecurity, EO 14028].

Wytyczne mają pomóc w podjęciu decyzji wdrożeniowych.

‍

Metodyka Ograniczonego Zaufania

OMB (Office of Management and Budget) – instytucja rządu amerykańskiego odpowiedzialna za realizację rozporządzenia EO 14028 – opublikował dokument wykonawczy M-22-09 z 26 stycznia 2022. Zobowiązuje on agencje rządowe do implementacji architektury opartej na Modelu Ograniczonego Zaufania [Zero Trust Model]. Metodyka bazuje na architekturze bezpieczeństwa cybernetycznego systemów informatycznych przygotowanej przez CISA i Departament Obrony Stanów Zjednoczonych.

RedFlag przyjmuje te zalecenia jako najlepszą praktykę i przekazuje wytyczne w zakresie jej implementacji z wykorzystaniem dostępnych i powszechnie wykorzystywanych technologii Microsoft: Windows 10/11, Microsoft 365 oraz Azure Active Directory.

Podstawową zasadą Modelu Ograniczonego Zaufania jest to, że żaden system nie jest wystarczająco bezpieczny. Należy weryfikować każde żądanie zanim dostęp zostanie udzielony. Jest to istotna zmiana paradygmatu wobec dotychczasowych praktyk zabezpieczania infrastruktury, sieci i danych.

Weryfikacja ma charakter ciągły i zautomatyzowany. Kontrolowane jest uprawnienie każdego użytkownika, urządzenia, aplikacji i transakcji do uzyskania żądanego dostępu przy uwzględnieniu aktualnych parametrów logowania, tj. stan zabezpieczeń urządzenia, lokalizacja, typ zaufania urządzenia w infrastrukturze, kanał dostępu, konfiguracja aplikacji itp.

Model Ograniczonego Zaufania wskazuje pięć obszarów uwagi:

1. Tożsamość

2. Urządzenia

3. Sieć

4. Aplikacje i procesy

5. Dane

oraz trzy perspektywy dotyczące każdego obszaru:

1. Widoczność i analityka

2. Automatyzacja i orkiestracja

3. Zarządzanie

‍

Rekomendacje w zakresie ochrony tożsamości

Cel

Użytkownicy używają tożsamości zarządzanej przez organizację lub przedsiębiorstwo, aby uzyskać dostęp do aplikacji, których używają w swojej pracy. Odporna na nadużycia usługa uwierzytelnienia chroni użytkowników przed wyrafinowanymi atakami cybernetycznymi.

‍

Działania priorytetowe

‍

1. Należy stosować scentralizowany system zarządzania tożsamością użytkowników, zapewniający integrację z wykorzystywanymi aplikacjami i platformami tj. poczta elektroniczna, współpraca na dokumentach, komunikacja. [Azure Active Directory P1]

2. Należy wprowadzić uwierzytelnienie wieloskładnikowe (MFA) dla wszystkich użytkowników.

   a.   Uwierzytelnienie wieloskładnikowe musi być wymagane przy dostępie do aplikacji, niezależnie od lokalizacji sieciowej. [Multi-Factor Authentication, Microsoft Authenticator, Conditional Access]

   b.   W przypadku pracowników, wykonawców, podwykonawców i partnerów (użytkownicy zewnętrzni korzystający z systemów wewnętrznych) wymagana jest metoda uwierzytelnia odporna na wyłudzenia phishing. [MFA w technologii FIDO2 lub w oparciu o aplikację uwierzytelniającą z funkcją wprowadzania zgodnych numerów]

   c.   Dla użytkowników publicznych (spoza organizacji) należy zapewnić możliwość korzystania z uwierzytelnienia wieloskładnikowego. [Multi-Factor Authentication]

3. Zasady i reguły dotyczące haseł nie mogą wymagać periodycznej zmiany hasła ani wymuszać stosowania znaków specjalnych.

4. W autoryzacji dostępu należy korzystać przynajmniej z jednego parametru dotyczącego  urządzenia, z którego następuje żądanie dostępu. [Microsoft Endpoint Manager, App Protection Policies]

‍

Pozostałe rekomendowane działania

‍

1. Należy zaprzestać korzystania z protokołów uwierzytelniania korzystających z metod nieodpornych na ryzyko nadużyć np. ryzyko wyłudzenia informacji phishing. W szczególności należy wyeliminować metody, które rejestrują numery telefonów do otrzymywania wiadomości SMS lub połączeń głosowych, dostarczają kodów jednorazowych lub odbierają powiadomienia wypychane (push) [Azure Active Directory, MFA Number Matching]

2. Organizacje muszą wprowadzać procedury awaryjne na wypadek konieczności odzyskania dostępu administracyjnego przy awarii systemów uwierzytelniania. Procedury takie powinny stosować nadzwyczajne metody działania z identyfikacją osobistą lub video włącznie [Conditional Access, FIDO2 i środki ochrona organizacyjnej]

3. Systemy korzystające z dostępu uprzywilejowanego, które nie wspierają uwierzytelnienia wieloskładnikowego nie powinny być stosowane. [wyłączenie podstawowych protokołów uwierzytelniania np. dla poczty, Conditional Access]

4. Zaleca się rozpoczęcie stosowania technologii, która nie wykorzystuje hasła w celu uwierzytelniania. [FIDO2, Azure Active Directory]

5. Dostęp uprzywilejowany nie powinien polegać na roli administracyjnej przypisanej na stałe (RBAC), ale uwzględniać zmienne parametry logowania oraz dostęp tymczasowy. [Microsoft Privileged Identity Management]

‍

Wzmacnianie bezpieczeństwa cybernetycznego w organizacji i tworzenie odporności na zagrożenia jest procesem, który każda organizacja powinna rozpocząć bez zbędnej zwłoki.

‍

Koszt

Cena korzystania z licencji Microsoft dla organizacji do 300 pracowników rozpoczyna się od 88 PLN netto za użytkownika miesięcznie; zawiera aplikacje Microsoft 365, zabezpieczenia i zarządzanie.

Cena wdrożenia zależy od zakresu prac i modelu świadczenia usług. W RedFlag to minimalnie 5 000 PLN.

RedFlag posiada status Silver Microsoft Partner oraz certyfikaty Microsoft w tym najwyższy Enterprise Administrator Expert.

‍

‍

‍

‍

Referencje

‍

Executive Order on Improving the Nation’s Cybersecurity EO 14028

Memorandum for the Heads of Executive Departments and Agencies

Cybersecurity & Infrastructure Security Agency

Department of Defense (DOD) Zero Trust Reference Architecture

Federal Zero Trust Strategy

‍

‍