Защита доступа к ИС: хватит аутентифицировать по СКУД!

Все дело в том, что простые, недорогие и широко распространенные карты СКУД (такие как Proximity или Mifare Classic) обладают характеристиками, не подходящими для контроля доступа к значимым ресурсам. Это касается не только информационных систем, но даже помещений.

Простые и незащищенные карты с RFID доступны и дешевы, их легко изготовить и передать сотрудникам. А еще их очень легко скопировать! Поэтому пропуска с RFID активно используются для контроля доступа на объекты с некритичным уровнем безопасности. Во всех остальных ситуациях необходим (и, как правило, используется) дополнительный фактор.

Приведем простой пример. Сотрудники заходят на территорию под внимательным взглядом охранника. Он не случайно наблюдает за теми, кто поворачивает турникет. Во-первых, охранники со стажем прекрасно помнят практически всех сотрудников, а, во-вторых, чаще всего при активации карты на экране монитора возникает фото сотрудника, которому она принадлежит. Так происходит сверка карты с личностью ее владельца.

Ну, а если речь идет о доступе к информационной системе? Никакого охранника, сверяющего личность с RFID-картой, рядом нет. И если кто-то взял чужой пропуск или скопировал его, он сможет беспрепятственно получить доступ к тем информационным ресурсам, которые от него же и защищают.

Использование пары логин-пароль вместе с RFID-картой делает ситуацию еще хуже. Ответственные лица рапортуют начальству о том, что в компании внедрена двухфакторная аутентификация, а фактически у сотрудника можно украсть пароль и скопировать карту, и он об этом даже не узнает!

Аутентификация в информационных системах с использованием только RFID-карты совершенно точно небезопасна. Самые простые, но распространенные RFID-карты не имеют механизма защиты от клонирования. Вот основные причины, по которым они так легко копируются:

1. Статический идентификатор (UID) и отсутствие криптографии (самая главная причина):

• подавляющее большинство дешевых RFID-карт, используемых для проходных, платежей в столовых, гостиничных ключей, при каждом сканировании просто передают один и тот же уникальный идентификатор (UID) или, в некоторых случаях, данные из памяти в открытом виде;
• отсутствие взаимной аутентификации: карта не «доказывает» считывателю, что она настоящая с помощью сложных криптографических алгоритмов. Она просто сообщает «Привет, я карта номер 123 456 789!» каждый раз, когда ее облучают радиоволной нужной частоты;
• считывание = копирование. Злоумышленнику достаточно один раз прочитать этот UID и данные (что делается за доли секунды обычным ридером), а затем записать их на пустую карту-заготовку или программируемый брелок, например флиппер. Эта копия будет вести себя точно так же, как оригинал для считывателя, потому что передает тот же самый ID.

2. Доступность оборудования и простота процесса копирования:

• низкий порог входа: устройства для чтения/записи (RFID-клонеры) простых RFID-карт дешевы и широко доступны (часто за $ 10-$ 50). Их легко купить онлайн;
• простота использования. Процесс клонирования часто сводится к нескольким нажатиям кнопок на клонере. Никаких специальных знаний не требуется;
• уязвимость к бесконтактному сканированию. Злоумышленнику не обязателен физический доступ к карте. Мощные считыватели могут просканировать карту через карман, сумку или кошелек на расстоянии.

Простые RFID-карты можно использовать для быстрой идентификации в наименее критичных системах, если пользователь прошел предварительную аутентификацию с использованием надежных методов, например, таких как PKI.

Но если вам необходимо ограничиться одной картой для решения вопросов информационной безопасности, как вариант, можно рассмотреть интересные решения, которые сочетают в себе сразу несколько технологий. Например, смарт-карта с аппаратной криптографией Рутокен позволяет построить систему аутентификации вместе с Avanpost MFA+. На карту можно нанести любую графическую информацию, добавить RFID-метку для доступа в СКУД. Но главное, «на борту» смарт-карты можно создавать неизвлекаемые ключи электронной подписи (ЭП) и использовать их в качестве аутентификационной информации на основе инфраструктуры открытых ключей (PKI), реализуя тем самым надежную строгую аутентификацию.

Смарт-карта Рутокен с фотографией и данными сотрудника объединяет в одном устройстве возможности нескольких карт: доступ в помещения с автоматизированным и личным контролем, а также надежную аутентификацию в информационные системы.

Кажется, что начали про удобный и поддерживаемый всеми устройствами FIDO, а теперь снова про PKI, который не всегда и не везде тривиально внедряется и работает. Если компания стремится использовать карту сотрудника для аутентификации без лишних сложностей при внедрении и эксплуатации, а также без компромиссов для безопасности инфраструктуры, интеграцию с прикладными системами целесообразно поручить корпоративной системе управления цифровыми идентичностями (Identity & Access Management), например реализовать это через решение Avanpost MFA+. В рамках совместного решения Avanpost MFA+ с продуктами Компании «Актив» удалось добиться подключения к PKI-аутентификации всех видов корпоративных систем, которые только можно подключить. И самое главное: в данном решении можно обеспечить унифицированный, платформо- и драйверонезависимый способ проверки ЭП при использовании карт. Этого можно добиться за счет использования приложений-аутентификаторов Avanpost Authenticator Mobile и Avanpost Authenticator Desktop из состава линейки продуктов Avanpost Access. И приятный бонус: не нужно разрабатывать специфический драйвер для конкретного считывателя СКУ — все работает штатно, почти как в FIDO.

Система ИБ с подобными картами работает следующим образом. Каждому сотруднику выдается персональная смарт-карта, на которой должны быть созданы ключи ЭП и сертификат формата Х.509. Закрытый ключ создается непосредственно в защищенной памяти устройства и не может быть извлечен или скопирован в отличие от метки RFID.

Процесс аутентификации в инфраструктуре PKI происходит с использованием асимметричной криптографии, т. е. реализуется строгая криптографическая аутентификация по схеме запрос-ответ. Это действительно надежный способ аутентификации, в процессе которого используются факторы двух типов: фактор владения (для получения доступа к информационной системе пользователь должен предоставить смарт-карту Рутокен) и фактор знанияPIN-кода устройства. Даже подсмотрев PIN-код злоумышленник ничего не добьется, так как ему нужно будет предъявить устройство, кража которого быстро обнаруживается, ведь это пропуск! Владелец смарт-карты своевременно заметит это, уведомит администратора, и возможность использования устройства будет заблокирована.
Для реализации многофакторной аутентификации используется Avanpost MFA+. Решение задействует криптографические методы аутентификации и сохраняет в защищенной памяти устройств Рутокен аутентификационную информацию без возможности извлечения.

Такой подход повышает общий уровень информационной безопасности в компании с минимальными затратами, а также защищает учетные записи от несанкционированного доступа и решает проблему незаблокированных компьютеров и сессий.

В завершение скажем, что надежная аутентификация по картам доступа действительно возможна. В этом случае используется не банальная RFID-карта или не только RFID-метка, а строгая аутентификация на основе криптографических преобразований, не сложная в использовании, с точки зрения пользователя, за счет хорошо продуманного и проработанного совместного решения компаний Avanpost и «Актив». В нашем случае это сочетание персональной смарт-карты Рутокен с аппаратной криптографией, как средства аутентификации в сервисы, с RFID-меткой для доступа в СКУД и Avanpost MFA+, который позволяет обеспечить аутентификацию по ЭП через персональную смарт-карту для любых корпоративных приложений. Плюсы такого решения в сочетании нескольких факторов: понятного порядка внедрения, единой точки управления корпоративными аутентификаторами для администратора и высокого уровня защиты при очевидном комфорте для сотрудников, которым не приходится носить с собой несколько аутентификаторов для разных задач.

Читайте оригинал статьи на Хабре

Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.

Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:

• Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
• Avanpost SmartPAM для контроля привилегированного доступа;
• Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
• Avanpost CA (российский доменный сервис сертификации, универсальный для различных доменов, включая MS);
• Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра);
• Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO, Device Control.

Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.

Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.