SlideShare une entreprise Scribd logo

Парольная защита: есть ли альтернатива?

Télécharger en tant que PPTX, PDF
Кибербаталии
Кибербаталии

Пароль жил, жив и будет жить и нет никаких вариантов, или все же есть альтернативы, которые в будущем могут стать мейнстримом? Пароли - это пережиток прошлого или суровая реальность и неизбежное зло ? Парольная защита против других методов аутентификации. Насколько мы все зависим от паролей ? Биометрия, токены, SSO и другие методы ухода от паролей. Насколько все это реально работает в корпоративной среде ? Облачные провайдеры аутентификации, системы хранения паролей и другие методы замены паролей Как можно усилить парольную защиту дополнительными мерами ? Глобальные тренды, способные в будущем серьезно повлиять на используемые методы аутентификации и контроля доступа Смотрите запись эфира: https://www.youtube.com/watch?list=PLv9fv__1TSFbRVVuVLPl6yCs7srQjTvy3&v=o14YzQ5dTUY

Formation
1  sur  33
ПАРОЛЬНАЯ ЗАЩИТА: ЕСТЬ ЛИ АЛЬТЕРНАТИВА? Дмитрий Кандыбович Андрей Петухов
Дмитрий Кандыбович Генеральный директор. Staffcop Андрей Петухов Генеральный директор, Solidlab КИБЕРБАТАЛИИ
dadada*
dadada* * Пароль Марка Цукерберга для аккаунтов в Twitter & Instagram & Pinterest,
ПАРОЛИ – СУРОВАЯ РЕАЛЬНОСТЬ ИЛИ НЕИЗБЕЖНОЕ ЗЛО ?
У великанов есть слои, и у паролей есть слои. Предлагаю рассматривать отдельно: • Личные пароли (IoT, телефон, домашняя сеть, десктоп) • Пароли в b2c сервисах • Корпоративная среда и сектора повышенной бдительности • Непривилегированные УЗ • Привилегированные УЗ • B2B сервисы
Как мы видим? • Конференции - доклады про IoT • Истории про взломы личных устройств знаменитостей Что мы видим? • Переиспользование паролей • Простые пароли • Сложившаяся народная мудрость по удовлетворению password complexity requirements отдельное спасибо за это сервис-провайдерам и разработчикам ЛИЧНЫЕ И B2C-ПАРОЛИ, ТРЕНДЫ
Для пользователей: • пароль воспринимается как способ выражения согласия работы с сервисом/девайсом • защита конфиденциальности/приватности - скорее нет (см.рассказать все про себя добровольно) • доверие сервис-провайдерам, плоское отношение к их защищенности • неявное предположение о liability сервис-провайдера, если что-то пойдет не так Для провайдеров услуг: • нет запроса от пользователей • экосистема готовых компонентов сложилась • есть опция OAuth/OpenID – большего мало кому надо ЛИЧНЫЕ И B2C-ПАРОЛИ, ВЫВОДЫ
Как мы видим • опыт проведения пентестов с 2010 года Что мы видим (по уровням зрелости) • AD + локальные базы пользователей во внутренних приложениях • AD + интеграция внутренних приложений с LDAP • AD + усиленная аутентификация для служебных/привилегированных УЗ на неAD-integrated ресурсах • ключи/сертификаты • 2FA • AD + EAP/TLS + SSO везде для пользователей + 2FA для админов КОРПОРАТИВНАЯ СРЕДА
Основной вывод наблюдений: • да, есть проблема в Identity management и методах аутентификации • речь про привилегированные УЗ • если все интегрируем, то все яйца в одной корзине • если везде свои УЗ, появляются парольные менеджеры, списки в текстовых файлах и т.п. • большая проблема есть в управлении привилегиями и сегментацией • тренд на централизацию управления и интеграцию всего со всем противоречит принципам ИБ все сегментировать и разделить • MaxPatrol, Kaspersky management center, Nessus с агентами • системы виртуализации интегрированные в AD • AAA на сетевых устройствах через TACACS/RADIUS, где СУБД на windows-машине КОРПОРАТИВНАЯ СРЕДА
Пароли — слабая защита, но… Уйти совсем не получится
ДРУГИЕ МЕТОДЫ АУТЕНТИФИКАЦИИ 1. Дорого 2. Не применимо в некоторых бизнес-процессах 3. Не применимо в некоторых бизнес-процессах
Парольная защита против других методов аутентификации в b2c • в b2c пароли просто работают • ввод 2FA и любые изменения в способе аутентификации в b2c в b2c сервис-провайдерах класса уandex/facebook и т.п. - это проект колоссальной сложности и числа переменных • если кто-то решил эту задачу, почему остальным не делегировать решившим? • oauth/openid • тем более про privacy (см. выше) параноит очень малый процент пользователей • кое-какие сервис-провайдеры еще подпадают под требования регуляторов • ЭЦП/3ds и т.п. • считаем данную область неинтересной для дискуссии, ибо требования даны свыше ЗАВИСИМОСТЬ ОТ ПАРОЛЕЙ
Парольная защита против других методов аутентификации в корпоративной среде • данность: • legacy-приложения, исторически-сложившаяся инфраструктура • распределение навыков и экспертизы у администраторов • распределение навыков и экспертизы у разработчиков и/или интеграторов • варианты: • уйти от парольной защиты для рядовых пользователей инфраструктуры • уйти от парольной защиты для пользователей критичных приложений (например, корпоративной ДБО) • добавить дополнительный фактор для пользователей критичных приложений • ^^^ все то же самое, но только для привилегированных учетных записей • реальность - комбинация из изложенных решений, ибо: • экономическая целесообразность (в т.ч. обслуживания) • организационных (политические причины, регуляторы и т.п.) • технические ограничения ЗАВИСИМОСТЬ ОТ ПАРОЛЕЙ
БИОМЕТРИЯ, ТОКЕНЫ, SSO И ДРУГИЕ МЕТОДЫ УХОДА ОТ ПАРОЛЕЙ
МЕТОДЫ УХОДА ОТ ПАРОЛЕЙ 1. Биометрические системы 2. Облачные провайдеры авторизации 3. Токены и смарт-карты 4. Вживляемые чипы
Биометрия и токены не должны отменять секреты! Какую задачу мы решаем? • усложнить атаки на УЗ пользователей/админов? • чаще всего атаки направлены на pwn рабочего места или на сервис • снизить вероятность утечки секрета и/или его переиспользования на других ресурсах ? • SSO = одинаковые пароли на разные ресурсы АЛЬТЕРНАТИВЫ ПАРОЛЯМ
Насколько все это реально работает в корпоративной среде в новых технологических реалиях (мобильность/везде веб/облака)? • стирается понятие внешнего периметра • все интегрировано и почти все на основе веб-технологий • by design появляются альтернативные факторы аутентификации (связанные с мобильными устройствами) Основной задачей должна стать управление авторизацией с требованиями дополнительных факторов в зависимости от тех или иных действий • имеет смысл исходить из предпосылки, что основной секрет скомпрометирован (fp + monitoring - аналог биометрии) АЛЬТЕРНАТИВЫ ПАРОЛЯМ
МОЖНО ЛИ УСИЛИТЬ ПАРОЛЬНУЮ ЗАЩИТУ ?
ДОПОЛНИТЕЛЬНЫЕ МЕРЫ ЗАЩИТЫ 1. Многофакторная аутентификация 2. Минимизация количества паролей 3. Повышение уровня защиты паролей
Системы хранения паролей и облачные провайдеры Упрощают жизнь!
Nothing ever changes • Авторизация и сегментация • принцип “принять хаос и выделить зоны порядка” • Протоколирование и мониторинг • BCP на уровне организационных контролей (целостность процессов) • Отдельно управлять угрозами доступности • нецелевые атаки с помощью ВПО (локеры и шифровальщики) • удаление данных злонамеренными сотрудниками • (OMG) целевые атаки на доступность ДОПОЛНИТЕЛЬНЫЕ МЕРЫ ЗАЩИТЫ
• Как это работает - Auth0 • Вопросы: • отсутствие visibility в их процессы • доступность и способы fallback • уязвимости • доступы самих сотрудников общего провайдера • liability • внезапное несоответствие требованиям регулятора • Плюсы: • в новом мире (который постоянно меняется) берут на себя поддержку технологий • возможность управления SLA (доступность, liability) ОБЛАЧНЫЕ ПРОВАЙДЕРЫ
В корпоративной среде • люди все равно хранят пароли (если нет корп стандартов и SSO) • имеет смысл рассматривать как средство удобство и снижения вероятности головотяпства • исходить из принципа, что система хранения паролей не повышает защищенность • case из жизни для примера В повседневной жизни - отличный способ иметь на каждом сервисе свой пароль • по сути хранение паролей в почте с PGP-зашифрованном виде - то же самое СИСТЕМЫ ХРАНЕНИЯ ПАРОЛЕЙ
ГЛОБАЛЬНЫЕ ТРЕНДЫ, ВЗГЛЯД В БУДУЩЕЕ
• ближайшие лет 10-20 разделение на "личные" и b2c-пароли окончательно исчезнет • SSO в мире веба и мобильности как способ идентификации, возможно делегирования решений об авторизации (см. SAML, JWT) - т.е. скорее про удобство • MFA над множеством различных факторов как способ гранулярно защитить защищаемое и обеспечить протоколирование + мониторинг • fp клиентских устройств и шаблонов использования сервиса/ресурсов сети для получения доп. аргументов компрометации УЗ и т.п. • можно считать аналогом биометрии (something you are) ТРЕНДЫ
• ближайшие лет 10-20 разделение на "личные" и b2c-пароли окончательно исчезнет • SSO в мире веба и мобильности как способ идентификации, возможно делегирования решений об авторизации (см. SAML, JWT) - т.е. скорее про удобство • MFA над множеством различных факторов как способ гранулярно защитить защищаемое и обеспечить протоколирование + мониторинг • fp клиентских устройств и шаблонов использования сервиса/ресурсов сети для получения доп. аргументов компрометации УЗ и т.п. • можно считать аналогом биометрии (something you are) ТРЕНДЫ
ТРЕНДЫ И ПРОГНОЗЫ Электронный паспорт Сочетающий в себе комплекс факторов аутентификации
ПАРОЛЬНАЯ ЗАЩИТА: ЕСТЬ ЛИ АЛЬТЕРНАТИВА ? Модератор: Александр Бондаренко Компания R-Vision
Кандыбович Дмитрий Генеральный директор. Staffcop Андрей Петухов Генеральный директор, Solidlab КИБЕРБАТАЛИИ

Recommandé

Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Expolink
 
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
Expolink
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)
Expolink
 
конфидент кислицына
конфидент кислицынаконфидент кислицына
конфидент кислицына
Expolink
 
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Expolink
 
Information classification
Information classificationInformation classification
Information classification
Aleksey Lukatskiy
 
Конфидент - Dallas Lock как комплексная система защиты информации
Конфидент - Dallas Lock как комплексная система защиты информацииКонфидент - Dallas Lock как комплексная система защиты информации
Конфидент - Dallas Lock как комплексная система защиты информации
Expolink
 
Cisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISECisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISE
Cisco Russia
 

Recommandé

Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Сергей Вахонин (Смарт Лайн Инк) "Эффективная защита от утечек данных"
Expolink
 
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
Expolink
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)
Expolink
 
конфидент кислицына
конфидент кислицынаконфидент кислицына
конфидент кислицына
Expolink
 
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Expolink
 
Information classification
Information classificationInformation classification
Information classification
Aleksey Lukatskiy
 
Конфидент - Dallas Lock как комплексная система защиты информации
Конфидент - Dallas Lock как комплексная система защиты информацииКонфидент - Dallas Lock как комплексная система защиты информации
Конфидент - Dallas Lock как комплексная система защиты информации
Expolink
 
Cisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISECisco TrustSec и Cisco ISE
Cisco TrustSec и Cisco ISE
Cisco Russia
 
Аванпост "Эффективное управление доступом к корпоративным ресурсам предприятия.
Аванпост "Эффективное управление доступом к корпоративным ресурсам предприятия.Аванпост "Эффективное управление доступом к корпоративным ресурсам предприятия.
Аванпост "Эффективное управление доступом к корпоративным ресурсам предприятия.
Expolink
 
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
ЭЛВИС-ПЛЮС
 
Модель угроз биометрических систем
Модель угроз биометрических системМодель угроз биометрических систем
Модель угроз биометрических систем
Aleksey Lukatskiy
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
DialogueScience
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Cisco Russia
 
DLP for top managers
DLP for top managersDLP for top managers
DLP for top managers
Aleksey Lukatskiy
 
Safenet etoken 5100
Safenet etoken 5100Safenet etoken 5100
Safenet etoken 5100
Anna Selivanova
 
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Expolink
 
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Cisco Russia
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себя
Cisco Russia
 
DLP-системы
DLP-системыDLP-системы
DLP-системы
Softline
 
Обзор решений по кибербезопасности АСУ ТП
Обзор решений по кибербезопасности АСУ ТПОбзор решений по кибербезопасности АСУ ТП
Обзор решений по кибербезопасности АСУ ТП
КРОК
 
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Expolink
 
Максим Жарников (НТКС) - Предотвратить нельзя поймать. Альтернативные подходы...
Максим Жарников (НТКС) - Предотвратить нельзя поймать. Альтернативные подходы...Максим Жарников (НТКС) - Предотвратить нельзя поймать. Альтернативные подходы...
Максим Жарников (НТКС) - Предотвратить нельзя поймать. Альтернативные подходы...
Expolink
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
 
What is effective DLP solution
What is effective DLP solutionWhat is effective DLP solution
What is effective DLP solution
Aleksey Lukatskiy
 
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность.
Softline
 
Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг
Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг
Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг
Security Code Ltd.
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0
Cisco Russia
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Expolink
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 

Contenu connexe

Tendances

Аванпост "Эффективное управление доступом к корпоративным ресурсам предприятия.
Аванпост "Эффективное управление доступом к корпоративным ресурсам предприятия.Аванпост "Эффективное управление доступом к корпоративным ресурсам предприятия.
Аванпост "Эффективное управление доступом к корпоративным ресурсам предприятия.
Expolink
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Cisco Russia
 
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Expolink
 
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Cisco Russia
 
What is effective DLP solution
What is effective DLP solutionWhat is effective DLP solution
What is effective DLP solution
Aleksey Lukatskiy
 

Tendances (19)

Аванпост "Эффективное управление доступом к корпоративным ресурсам предприятия.
Аванпост "Эффективное управление доступом к корпоративным ресурсам предприятия.Аванпост "Эффективное управление доступом к корпоративным ресурсам предприятия.
Аванпост "Эффективное управление доступом к корпоративным ресурсам предприятия.
 
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
 
Модель угроз биометрических систем
Модель угроз биометрических системМодель угроз биометрических систем
Модель угроз биометрических систем
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
 
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSecУправление доступом в сеть – развитие архитектуры Cisco TrustSec
Управление доступом в сеть – развитие архитектуры Cisco TrustSec
 
DLP for top managers
DLP for top managersDLP for top managers
DLP for top managers
 
Safenet etoken 5100
Safenet etoken 5100Safenet etoken 5100
Safenet etoken 5100
 
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
 
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
Новые возможности Cisco ISE 1.2 для защиты корпоративной сети и мобильных уст...
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себя
 
DLP-системы
DLP-системыDLP-системы
DLP-системы
 
Обзор решений по кибербезопасности АСУ ТП
Обзор решений по кибербезопасности АСУ ТПОбзор решений по кибербезопасности АСУ ТП
Обзор решений по кибербезопасности АСУ ТП
 
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
 
Максим Жарников (НТКС) - Предотвратить нельзя поймать. Альтернативные подходы...
Максим Жарников (НТКС) - Предотвратить нельзя поймать. Альтернативные подходы...Максим Жарников (НТКС) - Предотвратить нельзя поймать. Альтернативные подходы...
Максим Жарников (НТКС) - Предотвратить нельзя поймать. Альтернативные подходы...
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
What is effective DLP solution
What is effective DLP solutionWhat is effective DLP solution
What is effective DLP solution
 
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность.
 
Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг
Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг
Продукты компании «Код Безопасности» и стратегия их развития на 2013-2015 гг
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0
 

Similaire à Парольная защита: есть ли альтернатива?

Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Yulia Sedova
 
Квантовые эффекты в Архитектуре предприятия.pdf
Квантовые эффекты в Архитектуре предприятия.pdfКвантовые эффекты в Архитектуре предприятия.pdf
Квантовые эффекты в Архитектуре предприятия.pdf
Serge Dobridnjuk
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
Expolink
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
Expolink
 
Информационная безопасность в веб - основы
Информационная безопасность в веб - основыИнформационная безопасность в веб - основы
Информационная безопасность в веб - основы
Alex Chistyakov
 

Similaire à Парольная защита: есть ли альтернатива? (20)

Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
 
Квантовые эффекты в Архитектуре предприятия.pdf
Квантовые эффекты в Архитектуре предприятия.pdfКвантовые эффекты в Архитектуре предприятия.pdf
Квантовые эффекты в Архитектуре предприятия.pdf
 
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
 
Кастомная разработка в области E-Commerce
Кастомная разработка в области E-CommerceКастомная разработка в области E-Commerce
Кастомная разработка в области E-Commerce
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeI...
 
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступаАлексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий (Сisco): Пошаговое руководство по защите мобильного доступа
 
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступаАлексей Лукацкий - Пошаговое руководство по защите мобильного доступа
Алексей Лукацкий - Пошаговое руководство по защите мобильного доступа
 
Алексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-stepАлексей Лукацкий: Secure mobile access step by-step
Алексей Лукацкий: Secure mobile access step by-step
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
Информационная безопасность в веб - основы
Информационная безопасность в веб - основыИнформационная безопасность в веб - основы
Информационная безопасность в веб - основы
 
Информационная НЕбезопасность предприятия
Информационная НЕбезопасность предприятияИнформационная НЕбезопасность предприятия
Информационная НЕбезопасность предприятия
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Новинки и тенденции в развитии продуктов компании КРИПТО-ПРО
Новинки и тенденции в развитии продуктов компании КРИПТО-ПРОНовинки и тенденции в развитии продуктов компании КРИПТО-ПРО
Новинки и тенденции в развитии продуктов компании КРИПТО-ПРО
 

Парольная защита: есть ли альтернатива?

  • 2. Дмитрий Кандыбович Генеральный директор. Staffcop Андрей Петухов Генеральный директор, Solidlab КИБЕРБАТАЛИИ
  • 4. dadada* * Пароль Марка Цукерберга для аккаунтов в Twitter & Instagram & Pinterest,
  • 5. ПАРОЛИ – СУРОВАЯ РЕАЛЬНОСТЬ ИЛИ НЕИЗБЕЖНОЕ ЗЛО ?
  • 6. У великанов есть слои, и у паролей есть слои. Предлагаю рассматривать отдельно: • Личные пароли (IoT, телефон, домашняя сеть, десктоп) • Пароли в b2c сервисах • Корпоративная среда и сектора повышенной бдительности • Непривилегированные УЗ • Привилегированные УЗ • B2B сервисы
  • 7. Как мы видим? • Конференции - доклады про IoT • Истории про взломы личных устройств знаменитостей Что мы видим? • Переиспользование паролей • Простые пароли • Сложившаяся народная мудрость по удовлетворению password complexity requirements отдельное спасибо за это сервис-провайдерам и разработчикам ЛИЧНЫЕ И B2C-ПАРОЛИ, ТРЕНДЫ
  • 8. Для пользователей: • пароль воспринимается как способ выражения согласия работы с сервисом/девайсом • защита конфиденциальности/приватности - скорее нет (см.рассказать все про себя добровольно) • доверие сервис-провайдерам, плоское отношение к их защищенности • неявное предположение о liability сервис-провайдера, если что-то пойдет не так Для провайдеров услуг: • нет запроса от пользователей • экосистема готовых компонентов сложилась • есть опция OAuth/OpenID – большего мало кому надо ЛИЧНЫЕ И B2C-ПАРОЛИ, ВЫВОДЫ
  • 9. Как мы видим • опыт проведения пентестов с 2010 года Что мы видим (по уровням зрелости) • AD + локальные базы пользователей во внутренних приложениях • AD + интеграция внутренних приложений с LDAP • AD + усиленная аутентификация для служебных/привилегированных УЗ на неAD-integrated ресурсах • ключи/сертификаты • 2FA • AD + EAP/TLS + SSO везде для пользователей + 2FA для админов КОРПОРАТИВНАЯ СРЕДА
  • 10. Основной вывод наблюдений: • да, есть проблема в Identity management и методах аутентификации • речь про привилегированные УЗ • если все интегрируем, то все яйца в одной корзине • если везде свои УЗ, появляются парольные менеджеры, списки в текстовых файлах и т.п. • большая проблема есть в управлении привилегиями и сегментацией • тренд на централизацию управления и интеграцию всего со всем противоречит принципам ИБ все сегментировать и разделить • MaxPatrol, Kaspersky management center, Nessus с агентами • системы виртуализации интегрированные в AD • AAA на сетевых устройствах через TACACS/RADIUS, где СУБД на windows-машине КОРПОРАТИВНАЯ СРЕДА
  • 11.
  • 12. Пароли — слабая защита, но… Уйти совсем не получится
  • 13. ДРУГИЕ МЕТОДЫ АУТЕНТИФИКАЦИИ 1. Дорого 2. Не применимо в некоторых бизнес-процессах 3. Не применимо в некоторых бизнес-процессах
  • 14. Парольная защита против других методов аутентификации в b2c • в b2c пароли просто работают • ввод 2FA и любые изменения в способе аутентификации в b2c в b2c сервис-провайдерах класса уandex/facebook и т.п. - это проект колоссальной сложности и числа переменных • если кто-то решил эту задачу, почему остальным не делегировать решившим? • oauth/openid • тем более про privacy (см. выше) параноит очень малый процент пользователей • кое-какие сервис-провайдеры еще подпадают под требования регуляторов • ЭЦП/3ds и т.п. • считаем данную область неинтересной для дискуссии, ибо требования даны свыше ЗАВИСИМОСТЬ ОТ ПАРОЛЕЙ
  • 15. Парольная защита против других методов аутентификации в корпоративной среде • данность: • legacy-приложения, исторически-сложившаяся инфраструктура • распределение навыков и экспертизы у администраторов • распределение навыков и экспертизы у разработчиков и/или интеграторов • варианты: • уйти от парольной защиты для рядовых пользователей инфраструктуры • уйти от парольной защиты для пользователей критичных приложений (например, корпоративной ДБО) • добавить дополнительный фактор для пользователей критичных приложений • ^^^ все то же самое, но только для привилегированных учетных записей • реальность - комбинация из изложенных решений, ибо: • экономическая целесообразность (в т.ч. обслуживания) • организационных (политические причины, регуляторы и т.п.) • технические ограничения ЗАВИСИМОСТЬ ОТ ПАРОЛЕЙ
  • 16. БИОМЕТРИЯ, ТОКЕНЫ, SSO И ДРУГИЕ МЕТОДЫ УХОДА ОТ ПАРОЛЕЙ
  • 17.
  • 18. МЕТОДЫ УХОДА ОТ ПАРОЛЕЙ 1. Биометрические системы 2. Облачные провайдеры авторизации 3. Токены и смарт-карты 4. Вживляемые чипы
  • 19. Биометрия и токены не должны отменять секреты! Какую задачу мы решаем? • усложнить атаки на УЗ пользователей/админов? • чаще всего атаки направлены на pwn рабочего места или на сервис • снизить вероятность утечки секрета и/или его переиспользования на других ресурсах ? • SSO = одинаковые пароли на разные ресурсы АЛЬТЕРНАТИВЫ ПАРОЛЯМ
  • 20. Насколько все это реально работает в корпоративной среде в новых технологических реалиях (мобильность/везде веб/облака)? • стирается понятие внешнего периметра • все интегрировано и почти все на основе веб-технологий • by design появляются альтернативные факторы аутентификации (связанные с мобильными устройствами) Основной задачей должна стать управление авторизацией с требованиями дополнительных факторов в зависимости от тех или иных действий • имеет смысл исходить из предпосылки, что основной секрет скомпрометирован (fp + monitoring - аналог биометрии) АЛЬТЕРНАТИВЫ ПАРОЛЯМ
  • 22.
  • 23. ДОПОЛНИТЕЛЬНЫЕ МЕРЫ ЗАЩИТЫ 1. Многофакторная аутентификация 2. Минимизация количества паролей 3. Повышение уровня защиты паролей
  • 24. Системы хранения паролей и облачные провайдеры Упрощают жизнь!
  • 25. Nothing ever changes • Авторизация и сегментация • принцип “принять хаос и выделить зоны порядка” • Протоколирование и мониторинг • BCP на уровне организационных контролей (целостность процессов) • Отдельно управлять угрозами доступности • нецелевые атаки с помощью ВПО (локеры и шифровальщики) • удаление данных злонамеренными сотрудниками • (OMG) целевые атаки на доступность ДОПОЛНИТЕЛЬНЫЕ МЕРЫ ЗАЩИТЫ
  • 26. • Как это работает - Auth0 • Вопросы: • отсутствие visibility в их процессы • доступность и способы fallback • уязвимости • доступы самих сотрудников общего провайдера • liability • внезапное несоответствие требованиям регулятора • Плюсы: • в новом мире (который постоянно меняется) берут на себя поддержку технологий • возможность управления SLA (доступность, liability) ОБЛАЧНЫЕ ПРОВАЙДЕРЫ
  • 27. В корпоративной среде • люди все равно хранят пароли (если нет корп стандартов и SSO) • имеет смысл рассматривать как средство удобство и снижения вероятности головотяпства • исходить из принципа, что система хранения паролей не повышает защищенность • case из жизни для примера В повседневной жизни - отличный способ иметь на каждом сервисе свой пароль • по сути хранение паролей в почте с PGP-зашифрованном виде - то же самое СИСТЕМЫ ХРАНЕНИЯ ПАРОЛЕЙ
  • 29. • ближайшие лет 10-20 разделение на "личные" и b2c-пароли окончательно исчезнет • SSO в мире веба и мобильности как способ идентификации, возможно делегирования решений об авторизации (см. SAML, JWT) - т.е. скорее про удобство • MFA над множеством различных факторов как способ гранулярно защитить защищаемое и обеспечить протоколирование + мониторинг • fp клиентских устройств и шаблонов использования сервиса/ресурсов сети для получения доп. аргументов компрометации УЗ и т.п. • можно считать аналогом биометрии (something you are) ТРЕНДЫ
  • 30. • ближайшие лет 10-20 разделение на "личные" и b2c-пароли окончательно исчезнет • SSO в мире веба и мобильности как способ идентификации, возможно делегирования решений об авторизации (см. SAML, JWT) - т.е. скорее про удобство • MFA над множеством различных факторов как способ гранулярно защитить защищаемое и обеспечить протоколирование + мониторинг • fp клиентских устройств и шаблонов использования сервиса/ресурсов сети для получения доп. аргументов компрометации УЗ и т.п. • можно считать аналогом биометрии (something you are) ТРЕНДЫ
  • 31. ТРЕНДЫ И ПРОГНОЗЫ Электронный паспорт Сочетающий в себе комплекс факторов аутентификации
  • 32. ПАРОЛЬНАЯ ЗАЩИТА: ЕСТЬ ЛИ АЛЬТЕРНАТИВА ? Модератор: Александр Бондаренко Компания R-Vision
  • 33. Кандыбович Дмитрий Генеральный директор. Staffcop Андрей Петухов Генеральный директор, Solidlab КИБЕРБАТАЛИИ