Tanulmány. Az RSA Authentication Decision Tree: A vállalata számára legjobb autentikáció s megoldás kiválasztása

Átírás

1 Tanulmány Az RSA Authentication Decision Tree: A vállalata számára legjobb autentikáció s megoldás kiválasztása

2 Melyik a vállalatom számára legjobb autentikációs megoldás? Erre a visszatérő kérdésre a vállalatok szerte a világon keresik a választ. Az elemzők több új és feltörekvő biztonságtechnikai terméket is megjelölnek bombabiztos megoldásként, ezért fontos felismerni, hogy a piacon az autentikációs lehetőségek széles választéka kapható. A legmegfelelőbb autentikációs megoldás kiválasztásához a vállalatoknak figyelembe kell venniük autentikációs szükségleteiket, a vállalatra irányuló fenyegetéseket, üzleti célkitűzéseiket és az iparágukat befolyásoló hatósági előírásokat. Az RSA kidolgozta az Authentication Decision Tree (Autentikációs döntési fa) nevű eszközt, hogy segítse a vállalatokat az autentikációs megoldások megértésében, értékelésében, és az üzleti céljaiknak, illetve a felhasználóik igényeinek legmegfelelőbb termék kiválasztásában. Az RSA Authentication Decision Tree az autentikációs megoldások közötti választáshoz egy keretrendszert kínál, amely öt kritikus tényezőn alapul. Ez a tanulmány áttekintést nyújt az Authentication Decision Tree eszközről, megvizsgálja az autentikációs megoldás kiválasztása szempontjából kritikus öt tényezőt, és világos útmutatással szolgál annak a megoldásnak a kiválasztásához, amely a kockázatokat, a költségeket és a felhasználók kényelmét a legmegfelelőbb módon hangolja össze. Az erős autentikáció szükségessége Az információkhoz való hozzáférés védelme és a hozzáférést kérő felhasználók azonosítása minden biztonsági rendszer alapvető eleme. Bár a felhasználói autentikáció alkalmazásának legfőbb ösztönzője korábban a vállalati információkhoz való távoli hozzáférés biztonságossá tétele volt, manapság számos más oka is van az egész vállalatra kiterjedő erős autentikáció iránti igény növekedésének. Az új online üzleti alkalmazások terjedése. Az információkhoz való online hozzáférés biztosításával járó új üzleti lehetőségeket és költséghatékonyságot felismerve a vállalatok egyre több webalapú üzleti alkalmazást kínálnak. A távoli hozzáférés iránti igény növekedése. Az üzleti élet globális jellege és az alkalmazottak mobilitása sok vállalatot arra kényszerített, hogy az alkalmazottak termelékenységének biztosításához bárhonnan, bármikor hozzáférhetővé tegye az információkat. Hozzáférés biztosítása új felhasználói csoportoknak. Manapság az alvállalkozók, partnerek és beszállítók igény szerinti (on-demand) hozzáférést követelnek meg az értékesítési előrejelzésekhez, versenyfigyeléshez, árlistákhoz, raktárkészlethez, ügyféladatokhoz és hasonló bizalmas információkhoz. Az ügyfeleket kiszolgáló portálok elterjedése. Az ügyfelek egyre fokozottabban igénylik a valós idejű hozzáférés és az adatok online kezelésének lehetőségét. Jogszabályi megfelelés. Az elmúlt években kiadott számos jogszabályi előírás kötelezi a vállalatokat az információkhoz való jogtalan hozzáférést megakadályozó biztonsági lépések megtételére. Veszélyes fenyegetések. A felhasználótól és az információ jellegétől függően számos olyan fenyegetés lehet jelen, amely a kockázat mérséklése érdekében szükségessé teszi az erős autentikációt. A vállalati felhasználók erős autentikációja szükséges a kritikus üzleti információkhoz való jogtalan hozzáférés megakadályozása és a belső fenyegetések kockázatának enyhítése érdekében. Az ügyfelek felé proaktívan kell biztosítani az adathalász (phishing), trójai és egyéb rosszindulatú fenyegetésekkel szembeni védelmet. A felhasználói autentikáció jelenlegi helyzete Annak ellenére, hogy a csak jelszavakon alapuló autentikáció közismerten gyenge védelmet nyújt, a felhasználók egyetlen jelszó alapján történő azonosítása továbbra is a legelterjedtebb módszer. Ez az autentikációs módszer, melyet sokáig ingyenesnek" tartottak, végül drágának bizonyult a folyamatos üzemeltetési és támogatási költségek miatt. A Forrester Research kimutatása szerint egyetlen jelszó átállításának átlagos helpdeskmunkadíjköltsége körülbelül 70 dollár. 2

3 Az újabb autentikációs módszerek sorra bukkannak fel a piacon, még inkább megnehezítve a választást az erős autentikációs stratégiát bevezetni kívánó vállalatok számára. A vállalaton belül a hardveres autentikáció még mindig a legszélesebb körben alkalmazott módszer a vállalati erőforrásokhoz való hozzáférés biztosítására. Ugyanakkor az alkalmazottak mobilitása, a mobiltelefonok és PDA-k használata megnövelte a szoftveres autentikáció iránti igényt. A fogyasztói portálok esetén a kockázat- és tudásalapú autentikációs megoldások elterjedtek, mert egyszerűen használható és a felhasználók tömegeire méretezhető biztonsági mechanizmusokat nyújtanak. A piacon kapható autentikációs megoldások sokfélesége megnehezíti a vállalatoknak autentikációs stratégiájuk meghatározását. Sok vállalat számára több autentikációs lehetőség is megfelelőnek tűnhet, a felhasználók száma, a védendő információ értéke, a hordozhatóság, a felhasználói élmény és hasonló tényezők alapján. Az RSA úgy fejlesztette ki az Authentication Decision Tree eszközt, hogy segítse a vállalatokat a lehetőségek objektív értékelésében, valamint a felhasználóik és saját üzleti céljaik által támasztott igények összehangolásában az optimális megoldás kiválasztása érdekében. Az autentikációs stratégia kidolgozásakor figyelembe veendő kritikus tényezők Öt kritikus tényező befolyásolja a megfelelő autentikációs stratégia kidolgozását. Ezek a következők: A védendő információ értéke Az alkalmazandó felhasználói autentikáció erőssége A tervezett használat A felhasználói csoport szükségletei A technikai környezet A védendő információ értéke Az első tényező, amelyet figyelembe kell venni, a védendő információ értéke és az esetleges illetéktelen hozzáférés költsége. A bizalmas üzleti adatok, a bankszámla- és hitelkártya-információk, az egészségügyi iratok vagy a személyes adatokra vonatkozó információk kivétel nélkül nagy értékűnek tekinthetők. Az illetéktelen hozzáférés az ilyen információkhoz költséges lehet (pl. a banknak fedeznie kell az ügyfelek számláiról történt engedély nélküli átutalások költségét), valamint károsíthatja a márka imázsát és a vállalat jó hírnevét. Minél értékesebb az információ, és minél nagyobb kockázatot jelent a vállalatnak, ha az adatokhoz illetéktelen felhasználó fér hozzá, annál erősebb autentikációs megoldás szükséges az adatok védelmére. Az alkalmazandó felhasználói autentikáció erőssége A felhasználói csoport és az általuk használt információk jellemzői segíthetnek a vállalatoknak meghatározni az alkalmazandó felhasználói autentikáció szintjét. Például, a vállalatok nem erőltethetik rá az autentikációt ügyfeleikre, így az erre a felhasználói csoportra alkalmazandó megoldás kiválasztásakor a fő szempont a kényelem és a bevezetési hajlandóság lehet. Alkalmazottak és partnerek esetén azonban a vállalatok szabadabban dönthetnek a bevezetendő autentikáció típusát illetően, és valószínűleg más szempontokat is figyelembe vesznek, például a hordozhatóságot, a teljes tulajdonlási költséget és a teljes üzemeltetési költséget. A tervezett használat Amikor egy vállalat bevezet egy autentikációs megoldást, azzal gyakran több üzleti célt is el kíván érni. Más szóval, a felhasználótól és a végrehajtandó tevékenységek típusától függően a vállalat úgy is dönthet, hogy további autentikációs rétegek szükségesek a felhasználó azonosságának igazolásán túlmenően. Például egy pénzügyi intézmény, amely csökkenteni kívánja a csalások miatti veszteségeit, bevezethet egy tranzakciófigyelő rendszert a magas kockázatú pénzátutalások figyelemmel kísérésére. Egy másik példa a vállalat belső felhasználóira vonatkozik. A vállalat megkövetelheti, hogy bizonyos felhasználók, akik különösen bizalmas információkkal dolgoznak és ilyeneket továbbítanak például személyzeti, bérszámfejtési és pénzügyi munkakörökben, olyan autentikációs megoldást használjanak, amely lehetővé teszi a fájlok és ek titkosítását. A végfelhasználói csoport Amikor egy autentikációs megoldás egy végfelhasználói közösségben kerül bevezetésre, akkor a végfelhasználói csoport jellemzőivel kapcsolatos tényezőket is figyelembe kell venni. A felhasználó szemszögéből fontos a könnyű használat, a megoldás elfogadására való hajlandóság, és a felhasználó által hozzáfért információk tulajdonságai. A vállalat nézőpontjából fontos tényező a teljes tulajdonlási költség, a betanítás költségei, a méretezhetőség és a megoldás hordozhatósága. 3

4 A technikai környezet Végül, de nem utolsó sorban a technikai környezet, amelyben a megoldás bevezetésre kerül, fontos szempont annak meghatározásában, hogy milyen erősségű autentikációt alkalmazzanak. Például egy olyan környezetben, ahol az asztali gépek szigorúbb felügyelet alatt állnak, és a vírusvédelmi szoftver valószínűleg naprakész, a biztonsági követelmények nem feltétlenül olyan szigorúak, mint egy olyan helyzetben, ahol a felhasználói környezet kevésbé ellenőrzött, és a felhasználók nagy hányada távoli helyekről fér hozzá a hálózathoz, akár világszerte. Egy másik technikai szempont lehet a felhasználói hozzáférés biztosítására használt eszközök skálája. Mind a vállalaton belüli, mint az ügyfelek felé irányuló alkalmazások esetén a felhasználók valószínűleg számos különböző típusú eszközt, például laptop vagy asztali számítógépeket, PDA-kat, mobiltelefonokat vagy kioszkokat használva férnek hozzá az információkhoz. A hozzáférési eszközök típusa fontos szempont a felhasználók számára kínált autentikáció formájának meghatározásában. Az RSA Authentication Decision Tree célja, hogy segítse a vállalatokat felhasználóik és saját üzleti igényeik objektív értékelésében és a piacon kapható autentikációs technológiákkal való összevetésükben, ezáltal megkönnyítve a döntés meghozatalát. Mivel a piacon még nincs olyan univerzális megoldás, amely minden vállalati igényt kielégítene, és az összes felhasználóra és az összes lehetséges helyzetre vonatkozó biztonsági követelménynek megfelelne, az RSA Authentication Decision Tree segítséget nyújthat a vállalatoknak a legmegfelelőbb autentikációs megoldás vagy megoldások kombinációjának kiválasztásában, a kockázatokat, a költségeket és a felhasználók kényelmét összehangolva. Az Authentication Decision Tree használata A vállalatnak legmegfelelőbb megoldás(ok) meghatározásakor az RSA Authentication Tree a következő szempontokat vizsgálja meg: A felhasználói környezet ellenőrzöttsége A használatban lévő hozzáférési módszerek A bárhonnan, bármikor történő hozzáférés igénye A lemez-, fájl- vagy -titkosítás szükségessége Az Authentication Decision Tree Az új autentikációs módszerek és technológiák mennyisége, az információk növekvő értéke, a hálózatokhoz és alkalmazásokhoz hozzáférést igénylő új felhasználói csoportok megjelenése, a veszélyes fenyegetések terjedése és a bonyolult jogi szabályozási környezet arra készteti a vállalatokat, hogy újraértékeljék meglévő autentikációs stratégiájukat. Az értékelendő autentikációs megoldások sokasága és az egyes autentikációs technológiák körüli piaci zsongás megnehezíti a döntést a vállalatok számára. A biometrikus megoldások például túlzottan nagy médiafigyelmet élveznek a tényleges bevezetési arányukhoz képest. Ezek a megoldások drága és nehézkesen kezelhető olvasókat tesznek szükségessé, ami megkérdőjelezi a megoldás praktikusságát mobil vagy távoli hozzáférés esetén, vagy széles fogyasztói tömegek kiszolgálásához. A felhasználói környezet feletti ellenőrzés mértéke kritikus szempont a megfelelő autentikációs megoldás kiválasztásakor. A csalások elleni védelem A felhasználói környezet ellenőrzöttsége A felhasználói környezet feletti ellenőrzés mértéke kritikus szempont a megfelelő autentikációs megoldás kiválasztásakor. Többek között figyelembe kell venni, hogy a vállalat telepíthet-e szoftvert a felhasználó rendszerére, és meghatározhatja-e az operációs rendszert, amelyen a felhasználónak dolgoznia kell. De miért ilyen fontos ez? Egy olyan egyszerű dolog, mint az operációs rendszer fajtájának előírása is fontos lehet, hiszen nem minden autentikációs megoldás kompatibilis minden operációs rendszerrel. A vállalaton belüli felhasználók gépein használatos operációs rendszerek esetében a vállalatnak közvetlen befolyása van. Ez azonban nem érvényes a külső felhasználók, például ügyfelek és partnerek operációs rendszereire, ezért az ilyen csoportoknak kínált autentikációs megoldások eltérőek lehetnek. A használandó hozzáférési módszerek A hozzáférési módszerek nagyon fontosak az autentikációs stratégia meghatározásakor. Bizonyos autentikációs módszerek csak webalapú alkalmazásokhoz való hozzáféréskor alkalmazhatók, mások viszont több, nem webalapú alkalmazás esetén praktikusak. Ezért a 4

5 felhasználók, azok hozzáférési jogosultságai és a tervezett használat közvetlenül befolyásolják az autentikációs módszerek kiválasztását. A bárhonnan, bármikor történő hozzáférés igénye Az üzleti élet globális jellege és az alkalmazottak mobilitása igényt teremtett arra, hogy az információkhoz bárhonnan, bármikor hozzá lehessen férni. Az üzletmenet folytonossághoz elengedhetetlen, hogy a felhasználók biztonságos módon hozzá tudjanak férni az információkhoz. Az alkalmazottak vagy partnerek esetén a bárhonnan, bármikor történő hozzáférés biztosítása kritikus a termelékenység szempontjából, az ügyfelek esetén pedig fontos az ügyfél-elégedettség fenntartásához. A mérlegelendő tényezők többek között a következők: Szükséges a felhasználói hozzáférés biztosítása változó távoli helyekről? Szükséges a felhasználói hozzáférés biztosítása ismeretlen rendszerekről, például kioszkokról, szállodai rendszerekről vagy osztott munkaállomásokról? Szükséges a felhasználói hozzáférés biztosítása különböző eszközökről, például PDA-król és mobiltelefonokról? Lemez-, fájl- vagy -titkosítás Az autentikációs stratégiák értékelésekor a vállalatoknak szem előtt kell tartani azokat a további üzleti célokat is, amelyeket az autentikációs megoldással el kívánnak érni. Például egészségügy intézmények esetén a HIPAAelőírásoknak való megfelelés érdekében szükséges lehet a betegek védett egészségügyi információinak és egyéb személyes adatainak titkosítása, amikor ezek a különböző osztályok és részlegek között átadásra kerülnek. Ebben az esetben az egészségügyi intézmény megkövetelheti az ilyen információkhoz hozzáférési jogosultsággal rendelkező személyektől, hogy csak meghatározott, megbízható gépekről férjenek hozzá az adatokhoz. A csalások elleni védelem A csalások megelőzése érdekében bizonyos autentikációs módszerek szükségesek a felhasználó tranzakcióinak és tevékenységeinek figyelemmel kísérésére a bejelentkezéskor elvégzett kezdeti autentikáció után. Bár ez a helyzet leginkább a pénzügyi szolgáltatási alkalmazásokra érvényes, más iparágak is egyre több célzott támadást észlelnek, például adathalász vagy egyéb rosszindulatú elemek révén olyan csalók által, akiknek egyetlen célja a személyes adatok összegyűjtése a személyazonosság eltulajdonítása céljából. Az autentikációs lehetőségek széles választéka Jelszavak A jelszavak egyfaktoros autentikációt biztosítanak a felhasználók azonosítására. Bár a kezdeti beszerzés ingyenes, a folyamatos üzemeltetési és támogatási költségek (például a jelszavak átállítása) hosszú távon drágává tehetik ezt a megoldást. Az ezen megoldás által nyújtott biztonság nagyon alacsony szintű; a jelszavak könnyen feltörhetők és másokkal megoszthatók. Tudásalapú autentikáció A tudásalapú autentikáció az a módszer, amikor az egyént valamilyen személyes információ ismerete alapján azonosítják, egy valós időben feltett interaktív kérdés-válasz eljárás során. A felhasználó számára megjelenített kérdések nyilvános adatbázisokból összegyűjtött információkon alapulnak, véletlenszerűek, és a felhasználótól korábban nem kérdezettek. Kockázatalapú autentikáció A kockázatalapú autentikáció olyan módszer, amely a színfalak mögött felmér egy sor kockázati tényezőt a felhasználó azonosságának igazolása és/vagy az online tevékenység autentikációja érdekében. A tényezők közé tartoznak többek között bizonyos eszközjellemzők, felhasználói viselkedési profilok és az IP-cím szerinti földrajzi helymeghatározás. Minél magasabb az észlelt kockázati szint, annál valószínűbb, hogy az azonosság hamis, vagy a tevékenység csalárd. Ha a kockázatelemző algoritmus szerint az autentikációs kérés kockázata meghaladja az elfogadható szintet, akkor a kockázatalapú autentikáció lehetőséget nyújt az autentikáció szigorítására. Egy szigorított autentikációs helyzetben a felhasználónak esetleg néhány kérdésre kell válaszolnia, vagy be kell gépelnie egy telefonos SMS-ben vagy ben kapott engedélyezési kódot. Egyszer használatos jelszón alapuló autentikáció Az egyszer használatos jelszón alapuló autentikáció a vezető kétfaktoros autentikációs megoldás. Ennek alapja valami, amit a felhasználó tud (egy PIN kód vagy egy jelszó), és valami, ami a felhasználónál van. Az autentikáló eszköz 60 másodpercenként egy új, egyszer használatos kódot generál, ami megnehezíti, hogy a valódi felhasználón kívül bárki más megadja a helyes kódot egy adott időpontban. Az egyszer használatos jelszóval védett információkhoz vagy erőforrásokhoz való hozzáféréshez a felhasználóknak mindössze kombinálniuk kell saját titkos PIN kódjukat az autentikációs eszköz kijelzőjén abban a pillanatban megjelenő tokenkóddal. Az eredmény egy egyedi, egyszer használatos jelszó, amely a felhasználó személyazonosságát hivatott biztosítani. 5

6 Az egyszer használatos jelszavak technológiája sok formában rendelkezésre áll, például: Hardveres autentikátorok A hagyományos hardveres autentikátorok (melyeket gyakran kulcstartóknak neveznek) olyan hordozható eszközök, amelyek elég kicsik ahhoz, hogy ráférjenek egy kulcskarikára, és kielégítik azon felhasználók igényeit, akik a különböző helyekről történő internetes hozzáféréshez előnyben részesítik a kézzel fogható megoldásokat. Szoftveres autentikátorok (PC-kre, USB-meghajtókra vagy mobil eszközökre): A szoftveres autentikátorokat általában alkalmazásként vagy eszköztár formájában kínálják, amely biztonságos módon kerül elhelyezésre a felhasználó asztali, laptop vagy mobil eszközén. Igény szerinti (on-demand) Az igény szerinti autentikáció egy egyedi, egyszer használatos jelszó elküldését jelenti SMS (szöveges üzenet) formájában egy mobil eszközre vagy a felhasználó regisztrált címére. Az egyedi kód megérkezésekor a felhasználó egyszerűen begépeli azt saját PIN kódjával együtt, amikor a rendszer ezt kéri, és ennek nyomán hozzáférést kap a vállalati hálózathoz vagy egy online alkalmazáshoz. Digitális tanúsítványok A digitális tanúsítvány egy egyedi elektronikus dokumentum, amelynek információi a hozzárendelt személyt vagy gépet azonosítják. A digitális tanúsítvány tárolható a számítógépen, intelligens kártyán vagy USB-eszközön. Ha erősebb kétfaktoros autentikációra van szükség, akkor a digitális tanúsítvány zárolható egy intelligens kártyán vagy USB-eszközön. Ekkor a felhasználónak meg kell adnia egy PIN kódot a zár feloldásához és az azonosságadat használatához. A digitális tanúsítvány alapján megtörténhet a felhasználó autentikációja a hálózat vagy az alkalmazás használatához. A felhasználók autentikációján túl a digitális tanúsítványok további értéket jelenthetnek a vállalatnak a digitális aláírások és az titkosítás lehetővé tételével. A digitális tanúsítványokat lehet kombinálni az egyszer használatos jelszavak bevezetésével egy hibrid autentikátor révén. Ebben az esetben a hibrid autentikátor több azonosságadatot is tárol, és egyszerűsíti a felhasználó tennivalóját. A tanúsítványok és egyszer használatos jelszavak kombinációjának jellemző alkalmazása például a merevlemez titkosításának feloldása, ahol először egy digitális tanúsítvány kerül ellenőrzésre, majd az egyszer használatos jelszóval megtörténik az autentikáció a VPN-re. Az autentikációs attribútumok elemzése Miután a vállalat felmérte saját üzletmenete és felhasználói szükségleteit, a rendelkezésre álló kínálatból a megfelelő autentikációs stratégia kiválasztása tulajdonképpen több változó közötti kompromisszum megtalálásán múlik: A biztonság erőssége Tipikus felhasználás Kliensoldali követelmények Hordozhatóság Az egyszer használatos jelszón alapuló autentikációnak két tényezője van: valami, amit a felhasználó tud (egy PIN kód vagy egy jelszó), és valami, ami a felhasználónál van. Több felhasználási mód Felhasználói nehézségek Disztribúciós követelmények Rendszerkövetelmények Költség 6

7 Az RSA Authentication Decision Tree segíthet a vállalatoknak az igényeiknek megfelelő autentikációs módszerek hatékony összehasonlításában. Ennek az egyszerű keretrendszernek a használatával a vállalatok objektív értékelést kaphatnak a vezető autentikációs megoldásokról. Míg a költség fontos tényező, a vállalatoknak számos egyéb szempontot is figyelembe kell venniük az igényeiknek legjobban megfelelő megoldás meghatározásához. Túl gyakran fordul elő, hogy csak a bekerülési költségre összpontosítanak, de elég megnézni a csak jelszavakon alapuló autentikációt, hogy világossá váljon, a költségnek soha sem szabad az egyedüli szempontnak lennie. A jelszavak gyakorlatilag ingyenesek a bekerülési költséget nézve, viszont meglepően drágák a folyamatos üzemeltetési és támogatási költségek tekintetében. A 8. és 9. oldalon található táblázat összehasonlítja és megvizsgálja az egyes autentikációs módszereket ezen kilenc tényező szempontjából. Egy Authentication Decision Tree helyzetmodell Vállalati profil Egy nagy egészségügyi intézmény, amely több regionális kórházat és szakrendelőt képvisel, és több mint 1,5 millió beteget szolgál ki. Felhasználói csoportok Orvosok, költségtérítők és biztosítók, betegek, egészségügyi adminisztrátorok Üzleti és felhasználói igények Az orvosok folyamatosan mozognak az épületek, telephelyek között, és az egészségügyi és betegnyilvántartásokhoz BlackBerry és hasonló mobil eszközökkel csatlakoznak. Ez lehetővé teszi az azonnali, biztonságos hozzáférést a szükséges nyilvántartásokhoz a legmagasabb szintű betegellátás biztosítása érdekében. A költségtérítőknek és biztosítóknak hozzá kell férniük a betegek adataihoz, kórlapjához és az elvégzett szolgáltatások nyilvántartásához a kifizetési kérelmek elbírálásához és rendezéséhez. Az egészségügyi adminisztrátoroknak folyamatosan hozzá kell férniük a betegek védett egészségügyi információihoz és személyes adataihoz. Az esetfeldolgozóktól a számlázási szakemberekig, a betegek adataihoz való hozzáférés sokak munkájának elvégzéséhez kritikus. A betegek is hozzáférhetnek saját személyes információikhoz és kórlapjukhoz egy webes portálon keresztül. Személyes adataik frissítésén túl egy sor kényelmes online szolgáltatást is használhatnak, például időpontot kérhetnek, gyógyszereik újrafelírását kérhetik, és kifizethetik számláikat. Autentikációs lehetőségek Az eltérő jellegű felhasználói csoportok miatt, amelyek különböző rendszerekhez igényelnek hozzáférést más-más céllal, ennek az egészségügyi intézménynek valószínűleg sok autentikációs megoldást kell értékelnie, többek között ezeket: Orvosok: szoftveres egyszer használatos jelszavak mobil eszközökre Költségtérítők és biztosítók: hardvertokenek Egészségügyi adminisztrátorok: hardvertokenek Betegek: kockázatalapú autentikáció Túl gyakran fordul elő, hogy csak a bekerülési költségre összpontosítanak, de elég megnézni a csak jelszavakon alapuló autentikációt, hogy világossá váljon, a költségnek soha sem szabad az egyedüli szempontnak lennie. 7

8 Jelszavak Tudásalapú autentikáció Kockázatalapú autentikáció Egyszer használatos jelszó: hardvertokenek Egyszer használatos jelszó és digitális tanúsítvány hibridje A biztonság erőssége Egyfaktoros, így feltörhető, megosztható stb. Erősebb (egyfaktoros) speciális tudás Két vagy több faktor a kockázatelemzéstől függően Erős kétfaktoros PIN és tokenkód Erős kétfaktoros PIN és tokenkód vagy tanúsítvány Tipikus felhasználás Nem szabályozott, alacsony értékű alkalmazások Új felhasználó beiktatása, vészhelyzeti hozzáférés, PINátállítás Nagy mennyiségű, fogyasztókra irányuló telepítés vagy SSL VPNhozzáférés Mobil alkalmazotti hozzáférés Belső felhasználók és utazó alkalmazottak Kliensoldali követelmények Nincsenek Nincsenek Nincsenek Nincsenek Köztesszoftver a kapcsolati funkciókhoz Hordozhatóság Bárhol működik Bárhol működik Böngészőalapú alkalmazások Bárhol működik Egyszer használatos jelszó, bárhol működik Több felhasználási mód Nem Nem Tranzakciófelügyeleti és csalásérzékelési platform Nem Fájl/ titkosítás Digitális aláírás Távoli hozzáférés Felhasználói nehézségek Könnyen elfelejthető és gyakran leírják Minimális Minimálistól nehézig Minimális Minimális Disztribúcióskövetelmények Nincsenek Nincsenek Nincsenek Tokenek hozzárendelése és szállítása Kliensszoftver Tanúsítvány Token Rendszerkövetelmények Felhasználói címlista Előfizetéses szolgáltatás Autentikációs szerver Egyéni agentek Webalapú alkalmazások Előfizetéses szolgáltatási lehetőség Autentikációs szerver Alkalmazási agentek Tanúsítványhatóság Autentikációs szerver Költség Alacsony bekerülési, de magas helpdeskköltségek Mérsékelt Olcsó néhány alkalmazásintegrációval Magas bekerülési, de alacsony üzemeltetési költség Magasabb infrastrukturális és üzemeltetési költségek 8

9 Egyszer használatos jelszó: szoftvertokenek PC-ken Egyszer használatos jelszó: szoftvertokenek USB-eszközökön Egyszer használatos jelszó: szoftvertokenek mobil eszközökön Egyszer használatos kód igény szerint megadva Digitális tanúsítványok Erős kétfaktoros PIN és token Erős kétfaktoros (lehet biometrikus védelemmel) Erős kétfaktoros PIN és szoftveres tokenkód Erős kétfaktoros PIN és telefonra küldött kód PIN kóddal zárolva kétfaktorossá tehető Mobil alkalmazotti hozzáférés Mobil alkalmazotti hozzáférés Mobil alkalmazotti hozzáférés Alkalmi vagy ideiglenes felhasználók Vészhelyzeti hozzáférés Az IDA második faktora A felhasználó autentikációja a vállalaton belül vagy a gép autentikációja Kompatibilis PC Kompatibilis USBeszköz Kompatibilis platform Bármilyen vagy SMS-funkcióval rendelkező eszköz Tároló vagy eszköz (USB, intelligens kártya vagy asztali gép) Csak a hozzárendelt rendszeren működik Bárhol működik, de USB-csatlakozó szükséges Bárhol működik A szolgáltatási lefedettségtől függ A tárolótól függ az intelligens kártyához olvasó vagy USB-csatlakozó szükséges Nem Fájltárolás Nem Nem Igen autentikáció, digitális aláírás és titkosítás Minimális Minimális Minimális Kétlépéses eljárás Minimális Szoftver és kezdőértékek hozzárendelése és leszállítása Szoftver és kezdőértékek hozzárendelése és leszállítása Szoftver és kezdőértékek hozzárendelése és leszállítása Nincsenek Nincsenek Autentikációs szerver Alkalmazási agentek Autentikációs szerver Alkalmazási agentek Autentikációs szerver Alkalmazási agentek Autentikációs szerver Alkalmazási agentek SMS-küldés Felhasználók beiktatása vagy tanúsítványok automatikus kiosztása a kliensgépre A hardvertokeneknél alacsonyabb Magas eszköz és token A hardvertokeneknél alacsonyabb Mind a hardver-, mind a szoftvertokeneknél alacsonyabb Az életciklust figyelembe kell venni 9

10 RSA-megoldások Az RSA több mint 20 éve vezető szerepet tölt be a különböző méretű vállalatok számára kínált erős kétfaktoros autentikációs megoldások szegmensében. Az RSA számos megoldással segíti a vállalatokat, hogy erős autentikációt tudjanak biztosítani a kockázatokat, a költségeket és a felhasználó kényelmét összehangolva. RSA Identity Verification Az RSA Identity Verification tudásalapú autentikációt alkalmaz a felhasználók azonosságának valós idejű igazolására. Az RSA Identity Verification egy sor kérdést tesz fel a felhasználónak, amelyek az egyénnel kapcsolatos, nyilvános adatbázisokból összegyűjtött információkon alapulnak. Az RSA Identity Verification másodperceken belül igazolja az azonosságot, anélkül, hogy a felhasználóval korábban kapcsolatba került volna. Az RSA Identity Verification fokozott pontosságot nyújt a felhasználók autentikálásában az Identity Event Module használatával. Az Identity Event Module javítja a biztonságot azáltal, hogy felméri az azonossággal kapcsolatos kockázati szintet, és lehetővé teszi a rendszer konfigurálását oly módon, hogy az automatikusan a kockázat konkrét jellegéhez igazítsa az autentikációs eljárás során feltett kérdések nehézségét. A felmért azonossági események többek között a következők: Keresés nyilvános adatbázisokban. Gyanús hozzáférés a felhasználó nyilvános adatbázisbeli adataihoz. Az azonosság gyakorisága. Nagy mennyiségű tevékenység kapcsolódik ugyanahhoz a személyhez, több vállalatnál. Az IP-cím gyakorisága. Több autentikációs kérés is származik ugyanarról az IP-címről. RSA Authentication Manager Express RSA Authentication Manager Express egy erős többfaktoros autentikációs platform, amely költséghatékony védelmet kínál a vállalatoknak. Az Authentication Manager Express a vezető SSL VPN-ekkel és webalapú alkalmazásokkal együttműködve lehetővé teszi az erős autentikációt és a biztonságos hozzáférést a védett alkalmazásokhoz és adatokhoz. Az Authentication Manager Express az RSA kockázatalapú autentikációs technológiáján alapul. Ez a kifinomult rendszer egy sor kockázati elemet értékel a színfalak mögött a felhasználók azonosságának igazolására. Az RSA Authentication Manager Express az egyes hozzáférési kérelmekhez kapcsolódó kockázatot több faktor figyelembevételével határozza meg: Valami, amit a felhasználó tud, például egy felhasználónév és jelszó Valami, amit a felhasználó birtokol, például egy laptop vagy asztali számítógép Valami, amit a felhasználó tesz, például a közelmúltban végzett autentikáció vagy fiókművelet Az RSA Authentication Manager Express elindíthat további autentikációs módszereket is, ha a hozzáférési kérelem nem éri el a szükséges bizonyossági szintet. Ez különösen olyan helyzetekben fordul elő, amikor a távoli felhasználó egy ismeretlen eszközről jelentkezik be, amelyet korábban még nem használt a hálózathoz való hozzáférésre. Az RSA Authentication Manager Express két módszert kínál a további azonosításra: sávon kívüli SMS-üzenetet és igazoló kérdéseket. Az RSA Authentication Manager Express egy plug and play eszközön kapható, és legfeljebb 2500 felhasználót támogat. RSA Adaptive Authentication RSA Adaptive Authentication egy többcsatornás autentikációs és csalásérzékelési platform, amely költséghatékony védelmet nyújt az egész felhasználói körre kiterjedően. Az Adaptive Authentication lényege a további azonosítók aktív bevezetése egy cookie és/vagy egy flash osztott objektum (más néven flash cookie) hozzáadásával, amely azután a felhasználó eszközének fokozottan egyedi azonosítójaként szolgál. Ez a megoldás erős és kényelmes védelmet nyújt, mivel a felhasználók tevékenységét a kockázati szintek, az intézményi előírások és a felhasználói szegmens szerint felügyeli és autentikálja. Az RSA kockázatalapú autentikációs technológiáján alapuló Adaptive Authentication több mint száz jelzőt követ nyomon a potenciális csalások felismerésére, többek között az eszközök azonosítóját, az IP-cím földrajzi helyét és a viselkedési profilokat. Minden tevékenységhez egy egyedi kockázati mutatót rendel hozzá; minél magasabb ez az érték, annál nagyobb a valószínűsége, hogy a tevékenység csalárd. Az Adaptive Authentication a felhasználó számára láthatatlan, színfalak mögötti felügyeletet kínál. Csak akkor kell a felhasználónak további autentikációs lépéseket tennie, amikor egy tevékenység magas kockázatúnak minősül. Ilyenkor általában nehezebb kérdésekre kell válaszolnia, vagy sávon kívüli telefonos autentikációt kell használnia. A szigorított autentikáció alkalmazásának 10

11 alacsony aránya és a gyakori sikeres befejezés azt jelenti, hogy az Adaptive Authentication erős védelme kiváló használhatósággal párosul, így ideális megoldás a nagy felhasználói bázis felé történő bevezetésre. Az RSA Adaptive Authentication mind SaaS (szoftver szolgáltatásként), mind telephelyi bevezetési formában rendelkezésre áll. A megoldás jól méretezhető, és felhasználók millióit képes támogatni. RSA SecurID Authentication Technologia haseł jednorazowych RSA SecurID egyszer használatos jelszó-technológia, vezető kétfaktoros autentikációs megoldás. Ennek alapja valami, amit a felhasználó tud (egy PIN kód vagy egy jelszó) és valami, ami a felhasználónál van (az autentikátor). Az RSA SecurID autentikáció egy egyedi szimmetrikus kulcsot (vagy kezdőértéket ) használ, amely egy bevált algoritmussal kombinálva új, egyszer használatos jelszót generál 60 másodpercenként. Szabadalmaztatott technológia szinkronizálja az egyes autentikátorokat a biztonsági szerverrel, ezáltal magas szintű védelmet biztosítva. Az RSA SecurID rendszerrel védett erőforrásokhoz való hozzáféréshez a felhasználóknak egyszerűen kombinálniuk kell saját titkos PIN kódjukat az autentikációs eszköz kijelzőjén abban a pillanatban megjelenő tokenkóddal. Az eredmény egy egyedi, egyszer használatos jelszó, amely a felhasználó személyazonosságát hivatott biztosítani. Az RSA SecurID autentikáció a következő formákban áll rendelkezésre a vállalatok és felhasználók igényeinek kielégítésére: Hardveres autentikátorok A használhatóság szempontjából a hagyományos hardveres autentikátorok (melyeket gyakran kulcstartóknak neveznek) elég kicsik ahhoz, hogy ráférjenek egy kulcskarikára, és kielégítik azon felhasználók igényeit, akik a különböző helyekről történő internetes hozzáféréshez előnyben részesítik a kézzel fogható megoldásokat. Hibrid autentikátor digitális tanú sítványokkal Az RSA SecurID 800 autentikátor egy hibrid eszköz, amely a SecurID egyszerűségét és hordozhatóságát az intelligens kártyák funkcióival és rugalmasságával kombinálja egyetlen kényelmes USB-eszköz formájában. A SID 800 támogatja a szabványoknak megfelelő digitális tanúsítványokat a lemezés fájltitkosításhoz, autentikációhoz, aláíráshoz és egyéb alkalmazásokhoz, és erősíti az egyszerű jelszóalapú autentikációt a felhasználók domain-azonosságadatainak egy hardveres biztonsági eszközön való tárolásával. A több azonosságadat és alkalmazás egyetlen eszközön való kombinálásával a SID 800 olyan főkulcs, amely lehetővé teszi az erős autentikációt a heterogén IT-környezet egészére, a felhasználó számára egyszerű és zökkenőmentes módon. Szoftveres autentikátorok Az RSA SecurID szoftveres autentikátorok ugyanazt az algoritmust használják, mint az RSA SecurID hardveres autentikátorok, anélkül, hogy a felhasználóknak egy dedikált hardvereszközt kellene magukkal hordozniuk. A SecurID hardveren való tárolás helyett a szimmetrikus kulcs a felhasználó számítógépén, intelligens telefonján vagy USB-eszközén van biztonságosan elhelyezve. Mobil eszközök Az RSA SecurID szoftveres autentikátorok számos intelligenstelefon-platformra rendelkezésre állnak, például BlackBerry, Microsoft Windows Mobile, Java ME, Palm OS, Symbian OS és UIQ eszközökre. Microsoft Windows asztali gépek Az RSA SecurID Token for Windows Desktops egy kényelmes változat, amely a számítógépen helyezkedik el, és lehetővé teszi az automatikus integrációt a vezető távoli hozzáférési kliensekkel. Egyszer használatos token eszköztár Az RSA SecurID Toolbar Token a webes alkalmazások automatikus kitöltési funkciójának kényelmét az adathalászat elleni védelemmel kombinálja. Ha részletesebben kíván tájékozódni arról, hogy miként használható az interaktív Authentication Decision Tree az autentikációs lehetőségek értékelésére, forduljon az RSA ügyfélmenedzseréhez vagy kereskedelmi partneréhez, vagy látogassa meg az webhelyet. 11

12 Igény szerinti (SMS-en vagy en keresztül kézbesített) Az RSA On-demand Authentication igény szerint egyedi, egyszer használatos jelszót küld SMS (szöveges üzenet) formájában egy mobil eszközre vagy a felhasználó regisztrált címére. Az egyedi kód megérkezésekor a felhasználó egyszerűen begépeli azt saját PIN kódjával együtt, amikor a rendszer ezt kéri, és ennek nyomán hozzáférést kap a vállalati hálózathoz vagy egy online alkalmazáshoz. RSA Certificate Manager RSA Certificate Manager egy internetalapú tanúsítvány megoldás, amely a digitális tanúsítványok kibocsátásával, kezelésével és érvényesítésével kapcsolatos funkciókat biztosítja. Egy biztonságos webszervert és egy hatékony aláíró modult tartalmaz a felhasználói tanúsítványok digitális aláírására, és egy integrált adattárat a tanúsítványok, a rendszeradatok és a tanúsítvány állapotával kapcsolatos információk tárolására. Az RSA Certificate Manager volt az első Common Criteria (CC) tanúsítvánnyal rendelkező megoldás, és Identrusttanúsítványa is van. Az RSA bemutatása Az RSA, az EMC biztonságtechnikai részlege, a biztonsági, kockázatkezelési és megfelelőségi megoldások elsődleges szolgáltatója, amely a világ vezető vállalatait segíti a legbonyolultabb és legérzékenyebb biztonsági kihívások legyőzésében. Ezek a kihívások kiterjednek a vállalati kockázat menedzselésére, a mobil hozzáférés és együttműködés biztonságossá tételére és a virtuális, illetve felhőkörnyezetek védelmére. Az azonosságigazolás, adatvesztés elleni védelem, titkosítás és tokenizáció, csalásérzékelés és a biztonsági események kezelésének (SIEM) üzleti szempontból kritikus megoldásait az iparág vezető egrc-képességével és konzultációs szolgáltatásaival kombinálva az RSA bizalmat és láthatóságot biztosít felhasználói azonosságok milliói, valamint az általuk végrehajtott tranzakciók és generált adatok számára. A Certificate Manager nyílt ipari szabványok felhasználásával készült, ezért azonnal, módosítás nélkül interoperábilis a szabványalapú alkalmazások százaival. Ezért más alkalmazásokra, például webböngészőkre, és VPN-kliensekre kiterjedően is használható, maximális megtérülést biztosítva. Ezenkívül lehetőséget biztosít az azonosságadatok webböngészőkben, intelligens kártyákon vagy USB-tokeneken való tárolására is. Például az RSA digitális tanúsítványok kombinálhatók a SecurID 800 hibrid autentikátorral; ezáltal több azonosságadatot lehet egyetlen eszközre összevonni, ami egyszerűbbé teszi a felhasználó dolgát. Az RSA Digital Certificate Solution további komponensei az RSA Registration Manager, az RSA Validation Manager, az RSA Key Recovery Module és az RSA Root Signing Services. Az EMC2, EMC, RSA, SecurID és az RSA logó az EMC Corporation bejegyzett védjegyei és/vagy védjegyei az Amerikai Egyesült Államokban és/vagy más országokban. Az összes egyéb említett termék és/vagy szolgáltatás a tulajdonosa védjegye. DECTR WP 1210