Аутентификация сломана: как ИБ-директорам исправить ситуацию на самом деле

аутентификация безопасность Ciso Fido2 Passkeys устойчивость csoonline.com

Аутентификация дает сбои в критически важных сферах: здравоохранение, госуправление, авиация. Проблема не в инновациях, а в хрупкой экосистеме карт, считывателей и ПО. Рассматриваются причины сбоев и предлагается план для CISO по созданию устойчивой аутентификации. — csoonline.com

Аутентификация постоянно дает сбои там, где это наиболее критично: на регулируемых передовых рубежах, таких как здравоохранение, госуправление, аэрокосмическая отрасль и туризм. Основная проблема заключается не в отсутствии инноваций. Вместо этого, она кроется в хрупкой и фрагментированной экосистеме карт, считывателей, промежуточного ПО и программного обеспечения, которые редко работают слаженно под давлением реальных условий. Даже современные решения «без пароля» могут быть подорваны плохой реализацией, понижением уровня защиты и путями отката, которые злоумышленники быстро используют. В этой статье рассматривается, где возникают эти сбои, почему они сохраняются, и предлагается практический план для CISO, чтобы направить свои организации и поставщиков к устойчивой, устойчивой к фишингу и готовой к работе в полевых условиях аутентификации.

Проблема: Хрупкость по своей сути

Аутентификация должна быть самым надежным контролем в вашем стеке безопасности. Однако во многих предприятиях она часто оказывается самой хрупкой из-за слишком большого количества движущихся частей: типов учетных данных, считывателей (контактных, бесконтактных, двухчастотных), протоколов, промежуточного ПО, платформ идентификации и нюансов операционных систем устройств. Любое незначительное несоответствие — например, неожиданный формат идентификатора, причуда драйвера, нюанс браузера или поспешный патч — может быстро превратить критически важный вход в кризис службы поддержки. Это не просто теоретический риск; это ежедневная реальность для операционных групп, которым необходимо обеспечивать бесперебойную работу подразделений по уходу, полевых агентов и операций на передовой.

Снимки по секторам: Где это ломается (и почему это важно)

  • Здравоохранение. Клиницистам нужна скорость «навел и пошел» с нулевой терпимостью к простоям. Одна крупная больница попыталась сопрячь передовые учетные данные HID SEOS, использующие рандомизированные идентификаторы с сохранением конфиденциальности, с клинической платформой SSO, которая ожидает статические идентификаторы для распознавания пользователей. Это архитектурное несоответствие вынудило выбирать между более строгой конфиденциальностью и надежными рабочими процессами. Проект застопорился до тех пор, пока команда не вернулась к технологии, совместимой со статическими идентификаторами. В здравоохранении даже незначительный сбой может быстро перерасти в инцидент, угрожающий безопасности пациентов.
  • Государственные и местные органы власти. Ведомства внедрили унифицированные учетные данные FIDO2 для доступа к дверям и входа в ноутбуки. Однако вскоре они обнаружили, что многие защищенные ноутбуки не оснащены низкочастотной антенной, необходимой для физического доступа. Командам пришлось либо разделять учетные данные, что сводило цель на нет, либо добавлять внешние считыватели, что увеличивало затраты и сложность. Пользователи в полевых условиях в итоге носили с собой несколько пропусков и донглов, что прямо противоположно устойчивости.
  • Аэрокосмическая отрасль и туризм. Аэрокосмические организации, внедрившие проприетарные экосистемы карт, такие как LEGIC, столкнулись с лицензионными ограничениями, которые сужали выбор считывателей и замедляли глобальное масштабирование. В сфере туризма переход круизной линии на учетные данные в виде браслетов столкнулся с проблемами, связанными с требованиями FIPS 201, которые были разработаны для карт, а не для носимых устройств. Это вынудило компанию прибегнуть к разработке индивидуальных инженерных решений. В этих случаях инновации опережали стандарты, а операционным группам приходилось справляться с последствиями.

Первопричины: Почему экосистема застряла

  • Фрагментация по уровням. Карты вроде SEOS, LEGIC, DESFire и FIDO2, смешанные с контактными, бесконтактными и двухчастотными считывателями, а также стеки идентификации, такие как Imprivata, Windows Hello, Okta и Ping, редко работают чисто вместе. Изменение на любом уровне может вызвать неожиданные сбои во всей системе.
  • Слабости при понижении уровня и отката. Надежность аутентификации остается такой же сильной, как и ее самый слабый путь резервного копирования. Атаки типа «человек посередине» (Adversary-in-the-middle) и атаки с понижением уровня защиты регулярно обходят потоки, устойчивые к фишингу, как это показано в отчетах CSO о взломах понижения уровня FIDO и продолжающихся атаках MFA-усталости. Эти пробелы незаметно возвращают риск, несмотря на достижения в области современной аутентификации.
  • Хрупкость патчей. Обновления платформ часто нарушают потоки аутентификации. CSO документировала случаи, когда обновления Windows нарушали вход с помощью смарт-карт и Windows Hello for Business. Эти инциденты, включая те, что освещались в обновлениях Microsoft, выводят из строя ключевые функции предприятия. А проблемы с аутентификацией Windows Hello for Business показывают, насколько чувствительны стеки аутентификации к дрейфу версий.
  • Привязка к поставщику и пробелы в стандартах. Проприетарное лицензирование и неравномерные SDK ограничивают гибкость и замедляют обновления. Появляется прогресс в сторону профилей совместимости, но только тогда, когда этого требуют клиенты. Стандарт IPSIE от Okta — один из таких примеров, хотя широкое принятие все еще зависит от давления покупателей.

Путь вперед: 3 архитектурных сдвига, которые могут помочь

Три архитектурных сдвига могут значительно повысить надежность и уменьшить количество неожиданных сбоев. Эти подходы не являются взаимоисключающими и могут быть объединены для максимальной эффективности на одной платформе.

1) Модульные защищенные элементы (SE), встроенные или в формате SIM

Криптография, привязанная к устройству, устойчивость к несанкционированному доступу, режимы сверхнизкого энергопотребления и более жесткий контроль OEM над прошивкой и BIOS повышают базовый уровень безопасности и надежности. Это особенно ценно в защищенных или клинических условиях, где важна идентификация устройства и автономная устойчивость. Встроенные защищенные элементы помогают в этом, устраняя зависимость от внешних считывателей и нестабильных драйверов, хотя они вносят свои компромиссы, такие как привязка к поставщику, дополнительная сложность платы и прошивки, а также зависимость от специализированных компонентов, что может создать еще одну проблему интеграции, если нет общего профиля. Наиболее эффективный способ их внедрения — начать с узкого, ценного парка устройств, такого как тележки для экстренной помощи, полевые планшеты руководителей или планшеты на летном поле, сопрягая защищенный элемент с усиленным, подписанным образом и автономной конфигурацией аутентификации, чтобы он служил корнем доверия как для входа, так и для данных в состоянии покоя.

2) Стандартизация промежуточного ПО (сделать уровень считывателя/учетных данных подключаемым)

Промежуточное ПО становится универсальным мостом, который сглаживает причуды карт и считывателей, предоставляя вам стабильный способ интеграции с платформами идентификации, такими как Entra, Okta, Ping или Imprivata, одновременно нормализуя идентификаторы, обеспечивая логику против понижения уровня защиты и фиксируя каждый странный крайний случай для быстрого реагирования на инциденты. Это сопряжено со своими препятствиями, включая неясную ответственность, первоначальную работу по интеграции и конкурирующие SDK, однако, как только оно будет установлено, вы отделите поведение аутентификации от особенностей устройств и смены поставщиков, что является большим выигрышем для операций. Самый чистый путь — создать уровень абстракции учетных данных с четкими политиками, которые блокируют устаревшие пути отката для приложений с высоким риском, обеспечивают потоки, устойчивые к фишингу, и регистрируют любые решения о понижении уровня как события безопасности, отправляемые в SOC, а также применяют элементы управления защитой сеанса, которые сглаживают атаки «человек посередине».

3) Единая экосистема учетных данных (момент «USB-C» для аутентификации)

Стандартное поведение считывателей, промежуточного ПО и поставщиков услуг идентификации создает более спокойную периферийную среду, сокращая количество внезапных сбоев и выходных «тушений пожаров», которые следуют за циклами установки патчей. Эта модель не бесплатна — вам нужна отраслевая координация, устаревшие мосты и постоянное управление изменениями — но направление уже задано в сторону абстракции учетных данных с поддержкой нескольких протоколов и эталонными интеграциями, которые поставщики сертифицируют совместно. Самый чистый способ добиться этого — через требования RFP, которые требуют обработки учетных данных с поддержкой нескольких протоколов, проверенной совместимости считывателей и IdP, задокументированного поведения против понижения уровня и четких инструкций по устранению проблем после обновлений ОС или IdP, при этом платежи и продления привязаны непосредственно к соблюдению этих стандартов.

План действий CISO: 5 шагов, которые изменят результаты в этом квартале

  1. Устраните самое слабое звено: Уберите скрытые пути отката. Определите, где потоки без пароля все еще возвращаются к устаревшим запросам, таким как SMS, голосовые сообщения, OTP или простые push-уведомления об одобрении. В системах, обрабатывающих деньги, PHI или привилегированный доступ, отключите или строго контролируйте эти пути. Если откат неизбежен, требуйте проверки личности и оповещайте SOC для проверки. Пути понижения уровня и атаки усталости MFA часто увенчиваются успехом, потому что слабые резервные варианты остаются на месте, как подробно описано здесь.
  2. Требуйте прозрачности понижения уровня в ваших инструментах. Потребуйте, чтобы ваш IdP или промежуточное ПО регистрировали каждое событие понижения уровня и блокировали скриптовое спуфинг браузера или агента, которое заставляет пользователей переходить в поддельные потоки «неподдерживаемый браузер». Обходы понижения уровня в потоках passkey и FIDO были продемонстрированы в реальных условиях, поэтому ваш стек должен позволять легко обнаруживать эти попытки и просто их отключать. Четкий пример изложен здесь.
  3. Укрепитесь против турбулентности патчей (предполагайте регрессии аутентификации). Создайте предпроизводственный полигон интеграции, который проверяет смарт-карты, passkeys, доверие ключей Windows Hello и ваши клинические или полевые потоки SSO. Не проводите широкое развертывание, пока полигон не будет пройден, и держите под рукой откат в один клик и готовый к отправке скрипт для коммуникаций. Недавние обновления Windows показали, как быстро аутентификация может выйти из строя в масштабе, поэтому создайте игровые книги с мышечной памятью до «Вторника патчей». Примеры включают
  4. Пропишите совместимость в контрактах. RFP должны предусматривать абстракцию учетных данных с поддержкой нескольких протоколов, сертифицированные пары считыватель/IdP, поддержку FIDO2 и passkey без небезопасных откатов и согласование с появляющимися профилями совместимости. Поставщики уже движутся в этом направлении, и стандарт IPSIE от Okta — один из примеров, который стоит упомянуть.
  5. Выберите правильный пилот: Ограниченный, ценный и заметный. Начните там, где простои обходятся дорого, а пользователи уже обучены, например, в отделениях интенсивной терапии, на объектах аэродромной зоны или в кассах по приему выручки. Сопрягайте устройства со встроенными защищенными элементами с промежуточным ПО, не зависящим от считывателей, и строгими политиками против понижения уровня. Отслеживайте MTTR для инцидентов аутентификации, частоту понижения уровня и объем работы службы поддержки, а затем публикуйте результаты для обоснования более широкого развертывания.

Долгосрочная перспектива: Устойчивость важнее моды

Passkeys и FIDO2 двигают аутентификацию в правильном направлении, когда они развертываются без пористых путей отката и с интеграциями, которые ведут себя согласованно под давлением. Их преимущества в безопасности и удобстве использования очевидны, однако реальное использование также показало, как методы «человек посередине» и слабые резервные пути могут подорвать эти достижения. Эти проблемы не являются причиной замедлять внедрение, а скорее напоминанием о необходимости подходить к реализации дисциплинированно.

Чтобы создать аутентификацию, которая остается стабильной, даже когда системы развиваются, нам нужна совместимость, поведение против понижения уровня в качестве стандарта по умолчанию и плавные режимы отказа. Это означает использование модульного оборудования там, где это уместно, опору на промежуточное ПО, не зависящее от считывателей, с принудительной политикой, и продвижение единого опыта учетных данных, который сертифицируют поставщики и на котором настаивают клиенты. Компоненты существуют уже сегодня; не хватает только решимости соединить их вместе.

Не инвестируйте в еще одно точечное решение, пока ваши контракты, инструкции и пилотные проекты не отразят эти принципы. Аутентификация должна быть самой спокойной и предсказуемой частью вашего стека, а не источником вашего следующего инцидента. Строительные блоки для устойчивой, совместимой аутентификации уже существуют. Чего не хватает — это решимости. Сейчас самое время для лидеров безопасности установить стандарт и потребовать большего. Заставьте аутентификацию работать на вас, а не против вас.

Эта статья публикуется в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: