ИТ-пятница с GigaCloud - в фокусе кибербезопасность

Эта сессия была полностью посвящена проблемам безопасности. Она прошла по стандартному сценарию: два доклада сделали сотрудники GigaCloud и один — приглашенный специалист.

Семинар открылся выступлением менеджера по продуктам GigaCloud Георгия Трегубова, в котором он рассказал о лучших практиках хранения паролей.

Георгий Трегубов: «Слабые пароли являются одной из основных причин взлома или обвала систем с помощью ботнетов»

Первый компьютерный пароль был введен в 1961 г. на мэйнфрейме, построенном в Массачусетском технологическом институте (МТИ). Этот мэйнфрейм был одной из первых многопользовательских вычислительных систем. Именно многопользовательские возможности системы привели к необходимости пароля для каждого пользователя.

Сегодня слабые пароли являются одной из основных причин взлома или обвала систем с помощью ботнетов. Каким же образом задать пароль, который был бы достаточно надежным? Докладчик поделился собственным опытом.

В качестве основы выбирается какое-нибудь сложное и редко используемое слово, например, corvus (ворона по латыни). К нему добавляются обязательные элементы — цифры и спецсимволы, часть букв также заменяется цифрами и спецсимволами. Любой современный сервис пропустит такой пароль как надежный. Однако оказалось, что это не так. Дело в том, что пароли, собранные по такой схеме, дают 28 бит энтропии, что занимает три дня для их подбора. При этом они сложно запоминаются.

Как выяснилось, длинные пароли из слов, несвязанных между собой, но легко запоминаемых, обеспечивают большую сложность подбора. Довольно устойчивые и легко запоминаемые пароли получаются путем набора кириллических букв на латинской раскладке. В них включаются случайным образом некоторые спецсимволы, правда, не попадают цифры. Но для повышения безопасности можно приписать «1» в начале.

Казалось бы, проблема решена, но в дальнейшем понадобилось большое количество паролей. Здесь появляется то, что называется «соль». Это некая небольшая часть, достаточно сложная, чтобы на ее основе подобрать пароль. Ее можно подстраивать под разные сервисы с помощью некой переменной части. Это позволяет легко придумывать пароли для множества сервисов.

Однако на этом пути подстерегает следующая угроза. Есть сервисы «нормальные», которые отслеживают попытки компрометации аккаунта. А есть сервисы проще, с которых пароли легко утекают. Имея такие пароли, можно найти соль. Если будет скомпрометирована соль и другие пароли, это приведет к инциденту безопасности.

Поэтому придумывают несколько солей. Одну очень сложную и устойчивую к взлому, которой «солят» только что-то важное, и не столь сложную для некритических сервисов. Такую соль можно хранить в менеджере паролей Chrome. Это не самый плохой способ, поскольку Chrome хранит пароли в зашифрованном виде.

Но со временем пароли множатся, а вместе с ними и количество солей. Такую сложную ситуацию пользователи стараются упростить, и это приводит к паролям, которые легко компрометируются.

Как выйти из этой ситуации? Есть генераторы паролей, которые могут придумать сложный пароль за пользователя. Множество паролей можно сохранять в зашифрованном файле. Все это требует некоторого объема работы, которую делать не хочется. Это привело к появлению программ — менеджеров паролей LastPass и KeePass. На первый взгляд, они похожи друг на друга, поскольку обладают сходной функциональностью. Они шифруют по алгоритму AES 256, работают везде, интегрируются с браузерами. Но LastPass является облачным сервисом, а KeePass — локальным. Конечно, существуют и другие менеджеры паролей.

Практика показала, что с менеджерами паролей удобнее работать, как с двумя солями — рабочей и персональной. Для последней более удобным является облачный LastPass.

Согласно мнению экспертов, многофакторная аутентификация резко снижает возможность кражи личных данных. Об одном ее варианте — двухфакторной аутентификации в Office 365 — рассказал руководитель отдела R&D GigaCloud Кирилл Науменко.

Кирилл Науменко: «Многофакторная аутентификация представляет собой предъявление пользователем нескольких доказательств, что это именно он»

Многофакторная аутентификация по сути представляет собой предъявление пользователем нескольких доказательств, что это именно он. При этом факторы делятся на несколько категорий: знания (пароль), владения (например, смарт-карта) и свойства субъекта (например, биометрия, распознавание образов).

В Office 365 многофакторная аутентификация включается отдельно для каждого пользователя. Ему дается возможность создавать пароли для приложений. Если из предлагаемых компанией опций пользователю какая-то не нравится, ее можно исключить. Администратором определяется также количество дней, которое требуется для повторной аутентификации устройства. После включения для пользователя данной двухфакторной аутентификации, он через веб-интерфейс проходит все обусловленные стадии. Если речь идет о приложениях Microsoft, которые требуют паролей, то их необходимо сгенерировать и на уровне Office 365.

Приглашенным докладчиком стал глава департамента сервисов продаж Дмитрий Онищенко из Softprom by ERC. Он представил практический кейс внедрения защиты от направленных атак APT.

Дмитрий Онищенко: «Решение Softprom охватывает основные каналы проведения атак — сети, веб, почту и рабочие станции»

Для примера был выбран заказчик из Казахстана, который попросил Softprom провести аудит его системы безопасности, хотя был полностью уверен в ее пуленепробиваемости. Для получения информации о том, что происходит, трафик был ответвлен на песочницу FireEye. Она точно указала на присутствие АРТ-атаки. Проблема была выявлена, однако заблокировать ее не удалось. Препятствием послужила необходимость согласовать множество действий.

Решение Softprom является многомодульным. Оно охватывает основные каналы проведения атак — сети, веб, почту и рабочие станции. Все эти компоненты направляют информацию в единый мозговой центр. Там анализируется происхождение файлов, происхождение процессов на рабочих станциях и серверах.

FireEye MVX (Multi-Vector Virtual Execution) начиналась как песочница. До сих пор песочница является базой и центром данного решения. Однако поскольку FireEye уделила много внимания аналитике поверх песочницы, то модуль аналитики стал намного больше последней. Все установленные в мире песочницы обмениваются информацией, так что о произошедшей где-то атаке узнают все.

Следующая «ИТ-пятница» пройдет 1 ноября. Следите за анонсами компании GigaCloud.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365