Алексей Халин
Олег СенченкоОбщие рекомендации по реализации MFA
Алексей ХалинОлег СенченкоАлексей ХалинОлег СенченкоАлексей ХалинОлег СенченкоВ зависимости от ИТ-инфраструктуры рекомендуется использовать MFA:
для всех сервисов внешнего периметра без исключения, и в первую очередь для сервисов VPN и RDP, а также страниц аутентификации почтовых или мультимедиа-систем;
для критичных внутренних сервисов, компрометация которых может привести к недопустимым событиям и нанести значительный ущерб организации, — например, для минимизации возможности реализации недопустимого события «Хищение денежных средств» вход в систему 1С должен быть защищен с помощью второго фактора;
для внутренних сервисов, которые хранят (или могут хранить) чувствительную информацию и (или) могут существенно помочь злоумышленнику в изучении инфраструктуры и горизонтальном перемещении — например, к таким сервисам относятся системы helpdesk и менеджеры паролей;
для систем управления инфраструктурой (серверы управления, серверы управления CI/CD и другие);
для доступа к серверам хранения исходных кодов (например, сервер хранения Ansible Playbooks, GitLab, MS Team Foundation Server и другие);
для доступа к интерфейсам администрирования средств защиты информации (SIEM, AF, NAD, DLP, консоль управления антивирусом и другие);
для подтверждения особо важных действий.
Если для приложения на внешнем периметре невозможно использовать MFA, рекомендуется убрать приложение с внешнего периметра и предоставить к нему доступ через VPN.
Существует множество вариантов реализации многофакторной аутентификации. Обычно MFA реализуется в виде двухфакторной аутентификации, где в качестве второго фактора могут использоваться:
одноразовые коды, отправляемые на электронную почту;
одноразовые коды, генерируемые специальным приложением или устройством (например, https://www.rutoken.ru/products/all/rutoken-otp/);
push-уведомления на мобильный телефон;
сообщения в мессенджеры;
SMS;
звонки на телефон.
Важно! Основная цель использования MFA — не дать злоумышленнику использовать учетные данные (логин и пароль) без участия пользователя. Поэтому ввод пароля и получение второго фактора должны производиться на двух независимых устройствах. Так как если получение второго фактора осуществляется на том же самом устройстве, на котором производится аутентификация, то злоумышленник, получив доступ к этому устройству пользователя, сможет использовать второй фактор аутентификации без необходимости каких-либо действий от легитимного пользователя.
Примеры правильного использования MFA:
пароль вводится на персональном компьютере (далее — ПК), push-уведомление приходит на мобильный телефон;
пароль вводится на ПК, одноразовый код берется из специального приложения на мобильном телефоне;
пароль вводится на ПК, второй фактор передается с помощью телефонного звонка (например, используются последние 4 цифры входящего номера телефона или голосовой автомат сообщает код во время прослушивания входящего звонка);
пароль вводится на ПК, второй фактор передается в SMS, которое приходит на мобильный телефон.
Следующие варианты реализации MFA наиболее распространены и применимы для повышения защищенности корпоративной инфраструктуры:
MFA в виде push-уведомлений, приходящих в мобильное приложение пользователя;
MFA в виде TOTP (Time-based One Time Password), вводимых пользователем в дополнительные поля ввода.
При прочих равных условиях вариант с MFA в виде TOTP является более надежным, хотя и менее удобным.