Когда еще специалист по идентичности вспоминает о своей работе так часто, как при пересечении границы с другой страной? Шесть раз за время отпуска я проделывал это, проезжая через Канаду, лежащую на пути между различными местами жительства членов моего семейства.
Я вырос в Мичигане, а моя жена — в Нью-Йорке. Самый короткий путь между этими двумя городами — через южную оконечность Онтарио. Между перелетом в Торонто, дабы избежать суматохи в Чикаго, и переездом между городами Мичиган и Нью-Йорк, я ознакомился с процедурой пересечения границы. .
Физический мир
Прежде всего, давайте не будем рассматривать, что делается при физической аутентификации, глазами профессионала аутентификации. При повседневной аутентификации служащий просит вас показать водительские права. Это делается, например, для того, чтобы выяснить, сколько вам лет и можно ли вам покупать алкоголь. Служащий рассматривает права, определяя, не поддельные ли они, соответствует ли фото, описание и подпись человеку, стоящему перед ним. Большинство людей, конечно же, просто смотрят на фото.
Что такое водительские права? Это мандат. Мандат в виде водительских прав имеет такие атрибуты, как фото, рост, вес и дата рождения. У них есть срок окончания действия. Они выпускаются удостоверяющим центром — государством, которое заверяет юридическую силу указанных в правах атрибутов. Этот удостоверяющий центр требует разнообразных сопутствующих документов, поскольку водительские права в Соединенных Штатах воспринимаются как средство установления идентичности. Зона их действия как мандата идентичности ограниченна территорией Соединенных Штатов, поскольку доказывать гражданство США не требуется для того, чтобы получить водительские права. Такая процедура похожа на билет Kerberos, используемый в аутентификации и авторизации в Active Directory (AD), или на маркер Security Assertion Markup Language (SAML), применяемый в аутентификации, основанной на запросах, для однократной регистрации в Интернете (SSO). Оба они содержат набор атрибутов со значениями и оба выпускаются удостоверяющим центром.
Паспорт — это тоже мандат, даже с похожими атрибутами. Разница в том, что паспорт является интернациональным документом, поскольку указывает национальность и базовые характеристики человека. Удостоверяющим центром является правительство Соединенных Штатов, а требования к паспорту предъявляются более строгие, чем к водительским правам. В отличие от водительских прав, паспорт может изменяться другими службами (например, есть место, где сотрудник службы паспортного контроля ставит штамп визы) после его выпуска.
Что происходит, когда вы собираетесь пересечь границу Соединенных Штатов? Проверки подтверждают, что ваш паспорт действителен, а проверка водительских прав подтверждает, что вы собственник и можете управлять транспортным средством. Я не эксперт в области безопасности, но нужно сказать, что эти проверки являются лишь малой частью всех выполняемых проверок.
Например, недавно мой знакомый рассказал, что таможенная служба не пропустила его через границу США, потому что служба безопасности обнаружила остаток радиоактивного средства (он прошел курс лечения, которое включало облучение радиацией)!! Самое важное действие, которое произвел работник таможни, заключалось в том, что он задавал большое количество вопросов и смотрел на реакцию отвечающего. Поведенческие вопросы могут выявить несоответствие и ложь, чего нельзя сделать только посредством аутентификации с помощью паспорта. Как и в физическом мире, аутентификация в цифровом мире может включать только простой пароль или использовать сложные множественные факторы, такие как бывшие пароли, биометрические сканеры, ограничения по времени и местоположению.
Пересечение границы включает в себя аутентификацию и авторизацию. Аутентификация определяет, действительно ли вы тот, за кого себя выдаете. Авторизация определяет, к каким ресурсам у вас есть доступ и на каком уровне. Ваша идентичность удостоверяется один раз на границе, но есть шанс увидеть себя в списке тех, кому запрещен доступ в страну. Авторизация в физическом мире более однозначна: вам либо разрешают, либо нет. Если вы получили разрешение, то у вас нет ограничения на то, что вы можете покупать вещи только в избранных магазинах в определенных штатах. Не принимая во внимание конституционные и законодательные причины, это потому, что системы национальной паспортной аутентификации не интегрированы с коммерческими системами.
Цифровой мир
В физическом мире многие привычные действия подразумевают элементы базовой контекстуальной авторизации. Пример — проверка возраста на предмет возможности покупки алкоголя и приобретения фильмов категории «для взрослых». Большую часть времени сотрудник соответствующей службы аутентифицирует вас, просто посмотрев на водительские права и убедившись, что вы действительно тот, за кого себя выдаете. В цифровом мире не происходит проверки фото, вот почему обманывать здесь проще.
В отличие от обычной проверки водительских прав, почти все транзакции с кредитными картами сегодня проверяются у издателя карты в реальном времени. Благодаря мобильным беспроводным кассовым аппаратам я проверил свою кредитную карту везде — от широких степей до деревень Бали. Когда транзакция каждый раз зависит от авторизации, вся структура авторизации должна быть надежной и отказоустойчивой, поскольку есть реальные последствия для пользователя, пытающегося получить доступ к ресурсам по окончании процесса. Например, мне дважды блокировали мой счет на карте MasterCard без уведомления из-за того, что кто-то взломал систему розничной компании, где я отоваривался, а торговец сохранил информацию с моей кредитной карты без моего разрешения. Это реальная проблема, если вы путешествуете по разным странам и не имеете при себе большого количества наличных. Системы авторизации кредитных карт отчасти контекстно зависимы благодаря технологиям, препятствующим использованию подделок. Если большая часть покупок по кредитной карте делается в США, а вы покупаете что-нибудь в Англии, не удивляйтесь, когда получите телефонный запрос от издателя вашей кредитной карты с просьбой подтвердить покупку.
Системы SIEM
Есть системы, которые принадлежат к определенной категории программного обеспечения, призванного свести данную проблему к минимуму. Они называются Security Information Event Monitoring (SIEM), системы мониторинга событий безопасности информации. Программное обеспечение SIEM выполняет две главные функции. Первая — управление безопасностью информации (SIM) — предназначена для сбора информации в журналах событий из сотен и тысяч систем в одну базу данных и проведения исследования и подготовки отчетов об этих системах. Обычно это делается по причинам законодательного характера.
Вторая функция для меня представляет больший интерес. Управление событиями безопасности (SEM) работает отдельно от сбора и подготовки отчетов по информации журналов. Этот тип программного обеспечения активно контролирует журналы в режиме реального времени, анализирует записи и выполняет действия, основанные на правилах, которые предписаны администратором SEM, например отмечает или блокирует угрозу системе. Вы когда-нибудь регистрировались на Facebook или Gmail не с тех устройств, откуда вы это обычно делаете? Замечали ли вы, что служба безопасности задает вам вопросы? Это потому что программное обеспечение SIEM в подобных сервисах обнаружило, что ваша сессия запущена по другому IP-адресу (если вы проверите нижнюю часть страницы Gmail, вы увидите время своей последней регистрации и предыдущий IP-адрес). В моем случае, если я зарегистрируюсь из очень отдаленной географической точки, скажем из Канады, в то время как обычно делаю это из Техаса, в следующий раз при регистрации под своим обычным IP-адресом, Gmail покажет предупреждение, что ранее была выполнена не совсем обычная регистрация, и попросит подтвердить ее.
Система SIEM может собирать и сопоставлять миллионы записей от широкого спектра сетевых устройств — от сетевых коммутаторов до защитных устройств специализированных бизнес-систем. Они могут обнаруживать угрозы инсайдерства, такие как большое количество заданий на печать в нерабочее время, обширные рассылки по адресам электронной почты, пересылка больших файлов в личных сообщениях или нестандартная процедура очистки журналов регистрации событий. Кроме того, они могут фиксировать действия внешних хакеров. Если настройки SIEM заданы надлежащим образом, пакет SIEM может блокировать учетную запись пользователя. Хотя эти системы стоят достаточно дорого, они окупятся за несколько минут, если помогут обнаружить и, возможно, предотвратить действия инсайдеров, мошенничество или внешнюю атаку. Программное обеспечение SIEM действует как таможенник на границе. Соотнося разрозненные фрагменты информации из различных источников, агент отбирает элементы для дальнейшего расследования.
Итак, мы развертываем свои ИТ-системы авторизации и аутентификации, основанные на методах, которые используем в реальном мире. В онлайне все может происходить быстрее, чем в физическом мире, но только недавно здесь стали уделять повышенное внимание безопасности. В то же время системы безопасности в мире людей начинают все больше зависеть от ИТ-систем безопасности и соответственно совершенствуются благодаря им. И мы используем совокупность всех этих методов, для того чтобы бороться с несанкционированным вторжением в наши системы.
Шон Дьюби (sdeuby@windowsitpro.com) — старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем