новости
статьи
.hardware

обзор рынка средств многофакторной аутентификации

Бурный рост рынка систем AAA (Authentication, Authorization, Accounting; аутентификация, авторизация, учет) и средств строгой аутентификации привел к появлению большого числа различных типов аппаратных и программных идентификаторов, а также их гибридных модификаций. Заказчик, желающий внедрить систему многофакторной аутентификации, оказывается сегодня перед нелегким выбором. Тенденции объединения физической и логической аутентификации, интеграции решений для создания единой точки входа и системы управления идентификацией лишь усугубляют проблему. Предлагаемая статья призвана помочь разобраться с представленными на рынке решениями и сделать осознанный выбор.

Одной из наиболее опасных угроз ИТ-безопасности сегодня является несанкционированный доступ к конфиденциальной информации. Согласно исследованию Института компьютерной безопасности и ФБР (CSI/FBI Computer Crime and Security Survey 2005), в прошлом году 55% компаний зарегистрировали инциденты, связанные с неправомочным доступом к данным. Более того, каждая фирма потеряла в 2005 году вследствие неавторизованного доступа в среднем 303 тыс. долларов. Причем по сравнению с 2004 годом убытки увеличились в шесть раз.

Бизнес сразу же отреагировал на возросшую опасность угроз. По данным IDC (Russia Security Software 2005-2009 Forecast and 2004 Vendor Shares) российские компании не просто увечили инвестиции в ИТ-безопасность на 32,7%, но и в значительной мере перефокусировали свои усилия на внедрение систем ААА. В частности, сегмент рынка систем ААА за год вырос на 83%.

Такая динамика легко объяснима: средства сильной аутентификации, лежащие в основе всей концепции ААА, позволяют защитить компанию от целого комплекса угроз ИТ-безопасности. Это несанкционированный доступ к информации, неправомочный доступ к корпоративной сети со стороны служащих, мошенничество, утечка данных вследствие кражи мобильных устройств или действий персонала. Между тем, каждая из этих угроз наносит многотысячный ущерб ежегодно (см. рис. 1).



Рис. 1. Убытки вследствие реализации угроз ИТ-безопасности.

В основе сильной аутентификации лежит двух- или трехфакторный процесс, в результате которого пользователю может быть предоставлен доступ к запрашиваемым ресурсам. В первом случае служащий должен доказать, что он знает пароль или PIN, а также, что он имеет определенный персональный идентификатор (электронный ключ или смарт-карту). Во втором случае пользователь предъявляет еще один, третий, тип идентификационных данных, например, биометрику.

Как легко заметить, использование средств многофакторной аутентификации существенно снижает роль паролей, сводя их фактически на нет. В этом проявляется еще одно преимущество строгой аппаратной аутентификации, так как сегодня пользователям требуется помнить, по некоторым оценкам, около 15 различных паролей для доступа к учетным записям. Вследствие такой информационной перегруженности служащие либо записывают свои пароли на бумагу, либо время от времени забывают некоторые из них. Первый вариант чреват значительным снижением уровня безопасности из-за компрометации пароля, в то время как второй вариант наносит фирме серьезный финансовый ущерб. Действительно, исследование Burton Group (см. «Enterprise Single Sign-On: Access Gateway to Applications») показало, что каждый звонок в компьютерную службу помощи обходится компании в $25-50, а от 35% до 50% всех обращений приходится именно на сотрудников, забывших свой пароль. Таким образом, использование усиленной или двухфакторной аутентификации позволяет не только минимизировать риски ИТ-безопасности, но и оптимизировать внутренние процессы компании, снизив прямые финансовые потери. Как уже было отмечено, высокая эффективность средств многофакторной аутентификации привела к стремительному росту рынка систем AAA. При этом изобилие представленных решений создает перед заказчиком ряд трудностей. Каждый предлагаемый тип персонального идентификатора характеризуется своими собственными преимуществами и недостатками, а, следовательно, сценариями использования. Более того, бурное развитие данного сегмента рынка уже в ближайшие годы приведет к тому, что часть продвигаемых сегодня аппаратных идентификаторов останется за бортом. Таким образом, отдавая свое предпочтение тому или иному решению сегодня, заказчик должен учитывать не только текущие, но и будущие потребности организации.

типы персональных средств аутентификации

Сегодня на рыке представлен целый ряд персональных идентификаторов, отличающихся как по техническим возможностям и функциональности, так и по форм-фактору. Рассмотрим их подробнее.

USB-токены. Процесс двухфакторной аутентификации с использованием USB-токенов включает два этапа: пользователь подключает это небольшое устройство в USB-порт компьютера и вводит PIN-код. Преимуществом данного типа средств аутентификации является высокая мобильность, так как USB- порты есть на каждой рабочей станции и на любом ноутбуке.

При этом использование отдельного физического устройства, которое в состоянии обеспечить безопасное хранение секретных данных (ключей шифрования, цифровых сертификатов и т.д.), позволяет реализовать: безопасный локальный или удаленный вход в сеть, шифрование файлов на ноутбуках, рабочих станциях и серверах, управление правами пользователя и выполнение безопасных транзакций.

Смарт-карты. Эти устройства, внешне напоминающие кредитную карту, содержат микропроцессор, позволяющий выполнять криптографические операции. Для успешной аутентификации требуется вставить смарт-карту в считывающее устройство и ввести пароль. В отличие от предыдущего типа устройств для аутентификации смарт-карты предоставляют значительно более безопасные возможности хранения ключей и профилей пользователя. Вдобавок, смарт-карты оптимальны для использования в инфраструктуре открытых ключей (PKI), так как обеспечивают безопасное хранение ключевого материала и сертификатов пользователей в самом устройстве. При этом секретный ключ пользователя не попадает во враждебную внешнюю среду. Несмотря на все эти достоинства, смарт-карты обладают серьезным недостатком – низкой мобильностью, так как для работы с ними требуется считывающее устройство.

USB-токены со встроенным чипом. От смарт-карт данный тип персонального идентификатора отличается только форм-фактором. Другими словами, USB- токены со встроенным чипом наследуют все преимущества смарт-карт, связанные с безопасным хранением данных и осуществлением криптографических операций прямо внутри токена, но избавлены от основного недостатка смарт-карт, то есть не требуют специального считывающего устройства. Полифункциональность токенов обеспечивает широкие возможности их применения - от строгой аутентификации и организации безопасного локального или удаленного входа в вычислительную сеть до построения на основе токенов систем юридически значимого электронного документооборота, организации защищенных каналов передачи данных, управления правами пользователя, осуществление безопасных транзакций и др.

OTP-токены. Технология OTP (One-Time Password) подразумевает использование одноразовых паролей, которые генерируются с помощью токена. Для этого используется секретный ключ пользователя, размещенный как внутри OTP-токена, так и на сервере аутентификации. Для того, чтобы получить доступ к необходимым ресурсам, сотрудник должен ввести пароль, созданный с помощью OTP-токена. Этот пароль сравнивается со значением, сгенерированным на сервере аутентификации, и выносится решение о предоставлении доступа. Преимуществом такого подхода является высокая мобильность, так как служащему не требуется соединять токен с компьютером (как в случае всех предыдущих типов идентификаторов). Однако количество приложений ИТ- безопасности, которые поддерживают возможность работы с OTP-токенами, сегодня намного меньше, чем для USB-токенов (как с чипом, так и без) и смарт-карт. Еще одним недостатком OTP-токенов является ограниченное время жизни этих устройств (3-4 года), так как автономность работы предполагает использование батарейки.

Гибридные токены. Устройства, сочетающие в себе функциональность описанных выше USB-устройств со встроенным чипом и OTP-токенов. Они появились на рынке относительно недавно. Основным преимуществом таких средств авторизованного доступа является очень высокая гибкость. С их помощью можно организовать процесс двухфакторной аутентификации с подключением к USB-порту, а также бесконтактной аутентификации в тех случаях, когда это необходимо, а USB-порт недоступен (например, в Интернет-кафе). Заметим, что гибридные смарт-карты, обладающие функциональностью USB- и OTP- токенов, а также имеющие встроенный чип, обладают наивысшим уровнем гибкости и безопасности.

Программные токены. В данном случае роль токена играет программное обеспечение, которое генерирует одноразовые пароли, используемые наряду с обычными паролями для многофакторной аутентификации. На основании секретного ключа программа-токен генерирует одноразовый пароль, который отображается на экране компьютера или мобильного устройства и должен быть использован для аутентификации. Так как токеном является программа, записанная на рабочей станции, мобильном компьютере или сотовом телефоне), то ни о каком безопасном хранении ключевой информации речи не идет. Таким образом, данный подход безопаснее использования обычных паролей, но намного слабее применения аппаратных идентификаторов.

В обобщающей таблице (см. таб. 1) представлены основные преимущества и недостатки каждого типа персональных идентификаторов.


продуктосновные преимуществаосновные недостатки
USB-токены- мобильность – токен можно использовать на любом компьютере, где есть USB-порт;- поддержка большого числа приложений ИТ-безопасности;- очевидная принадлежность токена пользователю- требуется установка ПО пользователя
смарт-карты- высокий уровень безопасности;- легко носить – помещается в бумажник;- поддержка большого числа приложений;- очевидная принадлежность пользователю- требуется установка ПО пользователя;- низкая мобильность – требуется считывающее устройство
USB-токены со встроенным чипом- высокий уровень безопасности;- мобильность;- поддержка большого числа приложений;- очевидная принадлежность пользователю- требуется установка ПО пользователя
OTP-токены- высокий уровень мобильности;- легко понять и использовать;- не требуется установка ПО пользователя- ограниченный круг поддерживаемых приложений;- требуется сервер аутентификации;- ограниченное время жизни в связи с использованием батареи
гибридные токены- высокий уровень мобильности;- поддержка большого числа приложений;- не требуется установка ПО пользователя в случае применения одноразовых паролей (OTP);- очевидная принадлежность пользователю§Ограниченное время жизни в связи с использованием батареи (кроме тех случаев, когда пользователь может заменить батарею самостоятельно);
программные токены- не требуется аппаратное устройство- секретный ключ слабо защищен;- ограниченный круг поддерживаемых приложений;- требуется сервер аутентификации


Таблица 1. Характеристика различных типов персональных идентификаторов.


отечественный рынок многофакторной аутентификации


Спецификой местного рынка средств сильной аутентификации является очень малое распространение OTP-токенов, которые занимают более половины общемирового сегмента персональных идентификаторов. Сегодня поставки этих устройств идут в основном по представительствам крупных западных компаний, головной офис и вся ИТ-инфраструктура которых были построены на OTP-токенах изначально.

Основным фактором, сдерживающим развитие отечественного рынка OTP-токенов, является их высокая стоимость владения (TCO) и короткий жизненный цикл. Следует отметить, что встроенной батареи обычно хватает на 3-4 года, после чего заказчик вынужден менять устройство, оплачивая порядка 70% его начальной стоимости. Рассмотрим в качестве примера популярный на западе OTP-токен RSA SecurID. Стоимость решения для 500 пользователей составляет 76 тыс. долларов. Сюда входят основной сервер и сервер-репликатор, программное обеспечение и сами персональные идентификаторы (один токен SecurID строит 79 долларов). Вдобавок, ежегодно на поддержку, по данным дилеров, придется тратить еще 6,6 тыс. долларов. Таким образом, в целом решение обойдется в 82,6 тыс. долларов, а стоимость одного рабочего места, оборудованного ОТР-токеном, составит не менее 165 долларов. Для сравнения возьмем еще один электронный ключ с генератором одноразовых паролей – eToken NG-OTP от компании Aladdin. В этом случае схема расчета на одно рабочее место несколько иная. Серверы аутентификации приобретать не нужно, достаточно иметь Windows Server, которым оснащены сейчас подавляющее число локальных сетей предприятий. Стоимость универсальной системы управления всеми средствами аутентификации (в том числе и разнотипными) в масштабе предприятия – eToken TMS – составит порядка 4 тыс. долларов (серверная лицензия). И общая цена на 500 токенов, при стоимости одного устройства 67 долларов, составит 33,5 тыс. долларов. Прибавим стоимость пользовательской лицензии для каждого токена – $24 (до 500 пользователей) или $19 (свыше 500). Таким образом, стоимость одного рабочего места с интегрированной системой строгой аутентификации по одноразовым паролям составит $99. А из расчета на 501 пользователя – $94.

Однако, даже не смотря на эту разницу, стоимость защиты одного рабочего места с помощью «стандартного» токена без ОТР значительно ниже. На примере того же eToken PRO – самого популярного в линейке Aladdin USB-токена со встроенным чипом - рассчитанная по такой же формуле, эта цена составляет всего $47.

Таким образом, в странах СНГ рынок персональных идентификаторов серьезно отличается от мирового и состоит в основном из USB-токенов со встроенным чипом. По различным оценкам на их долю приходится примерно 80-85% рынка. Однако это вряд ли можно считать аномалией, так как именно USB-токены со встроенным чипом являются сегодня наиболее эффективным средством сильной аутентификации. В поддержку этой точки зрения выступают аналитики ведущих консалтинговых компаний. Например, IDC и Gartner, считают, что к 2008 году большая часть всего рынка персональных идентификаторов будет приходиться именно на USB-токены со встроенным чипом. Более того, компания Gartner назвала USB-токены со встроенным чипом лучшим инвестиционным вложением в обеспечение безопасного доступа к данным в 2005 году.

критерии выбора решения

Конкретный тип персонального идентификатора (будь то смарт-карта или USB-токен со встроенным чипом) играют важную роль в системе ААА. Однако для выбора конечного решения необходимо учитывать еще несколько параметров.

Прежде всего, большое значение имеет комплексность системы ААА (см. рис. 2). Современные решения позволяют существенно повысить эффективность и сферу применения строгой аутентификации. Например, продукты лидеров рынка позволяют организовать управление идентичностью, политиками безопасности, корпоративными данными и приложениями. Как уже было отмечено выше, устройства, оснащенные чипом, оптимальны для использования в информационно-вычислительных сетях, где уже развернута инфраструктура PKI, или в сетях, где планируется ее внедрение. Дополнительное применение USB-токенов с имплантированной RFID-меткой позволяет интегрировать процессы логической и физической аутентификации.



Рис. 2. Интеграция различных функций аутентификации.

Инвестируя в средства многофакторной аутентификации, компаниям следует учитывать не только текущие нужды, но и будущие потребности. К ним может относиться необходимость доступа к информационным ресурсам организации не только внутри сети, но и удаленно. В этом случае следует выбрать наиболее мобильное средство авторизованного доступа.

Если часть персонала компании использует мобильные компьютеры для работы вне офиса, то в состав комплексного решения должны обязательно входить продукты для защиты портативных устройств (в частности, шифрования конфиденциальной информации).

Еще одной потребностью может стать использование цифровой подписи и совершение безопасных транзакций. Для выполнения этой и многих других задач очень важно, чтобы решение поддерживало максимально широкий диапазон приложений ИТ-безопасности, что в значительной мере зависит от конкретного поставщика системы ААА. Хотя не все игроки рынка способны обеспечить поддержку своих персональных идентификаторов в большом числе приложений, крупные разработчики предлагают своим клиентам достаточно широкий круг программного обеспечения для удовлетворения практически всех насущных потребностей.

Таким образом, осознанный выбор конкретного решения сильной аутентификации позволяет компании построить не только эффективную и управляемую систему ИТ-безопасности, но и охватить целый комплекс смежных задач: физическую безопасность, защиту мобильных устройств, управление идентичностью и т. д.



Алексей Доля, adolya@gmail.com
обсудить статью
© сетевые решения
.
.