Multifaktorautentisering:
MFA – en hygienfaktor i din Zero Trust-arkitektur

Alla pratar om en Zero Trust-arkitektur. Men vad är det egentligen? Den grundläggande tanken är att vi aldrig ska lita på någon enbart baserat på vilka de är eller var de befinner sig.

Ett typiskt exempel är en användare som sitter på kontoret med sin dator. Vi har verifierat och kontrollerat att personen i fråga har passerkort till byggnaden och vi vet att datorn har kontrollerats av oss (med hjälp av certifikat). Men vet vi verkligen om datorn mår bra eller att medarbetarna inte har skadliga avsikter just idag?

Zero Trust är inte att nå säkerhet med en specifik produkt eller teknik. Det är istället om topologi, IT-arkitektur och en kombination av flera tekniker som tillsammans skapar en Zero Trust-arkitektur.

En av de tekniker som krävs för Zero Trust är multifaktorautentisering (MFA). Här gäller det att inte gå i i en klassisk fallgrop: MFA ska INTE användas för att etablera bred tillförlitlighet hos betrodda enheter och användare som vi sedan litar på till 100 %. Det är faktiskt motsatsen till Zero Trust. MFA bör istället användas för att skapa  så detaljerade åtkomstkontrollen som möjligt.

Multifaktorautentisering– del av en Zero Trust-arkitektur

Förlorade användarnamn och lösenord är en av de vanligaste orsakerna till säkerhetsintrång. Risken för att sådan information kommer på villovägar ökar kraftigt när användaren återanvänder lösenord och användarnamn på flera IT-tjänster. När någon av dessa äventyras kommer angripare snabbt att testa lösenorden på flera ställen. Här är det viktigt att komma ihåg att de flesta är både privatperson och anställd. I många fall är det inte svårt för en angripare att hitta kopplingen.

Här är den första delen av lösningen multifaktorautentisering (MFA). När ett användarnamn och lösenord kombineras med något som användaren har och/eller är ökar sannolikheten att det är rätt person som loggar in.

Autentisering med fysiska kännetecken hos användaren är biometri. Idag är de vanligaste metoderna fingeravtryck och ansiktsigenkänning. Dessutom finns taligenkänning och näthinneskanning. Alla dessa tekniker erkänns som säker identifiering.

Med tekniska hjälpmedel kan autentisering också ske med något som användaren har. Det kan vara något så enkelt som ett engångslösenord som levereras via SMS eller en app på din mobil. Det kan också vara ett USB-minne som innehåller krypterad nyckeldata, som används för att identifiera en användare.

Modern MFA

MFA ensamt implementerar inte en Zero Trust-arkitektur. Grundidén med Zero Trust är att inga användare ska ha tillgång baserat på etablerat förtroende. Användare får istället specifik åtkomst och når de system de faktiskt behöver. Här krävs mer än bara multifaktorautentisering. Moderna MFA-lösningar har därför funktionalitet som går bortom enbart stark autentisering.

Zero TrustEtt exempel på en sådan MFA-lösning är Cisco Duo – även levererad som tjänst av Conscia. Här finns ytterligare funktionalitet bortom MFA, även om det är huvudfunktionen. Förutom MFA (med hjälp av mobilappen, klientenhetsbiometri, lösenordsgenerator och engångslösenord) har Cisco Duo följande funktionalitet:

  • Kontroll av  användarens enhet (t.ex. PC): Är den godkänd för inloggning?  Är den uppdaterad och säkrad i enlighet med företagets säkerhetspolicy. Har datorn programvara som inte är godkänd i företagsmiljön? Körs datorn med antivirusprogram och brandvägg med uppdaterade installationsfiler?
  • Kontroll av enheten som används för autentisering (t.ex. mobiltelefon): Är de kontrollerade av arbetsgivaren, är de uppdaterade, innehåller de otillåten programvara eller är de ”jailbroken”.
  • Stöd för accessregler på hög detaljnivå. Åtkomst kan baseras på användarens roll i organisationen, enhetens tillstånd och identitet, användarens geografiska plats, hans eller hennes väg in i nätverket och andra faktorer som är viktiga i sammanhanget.
  • Hantering av användare som inte är lokalt anslutna till nätverket. För dessa användare kan åtkomst ställas in per applikation, så att en äventyrad  åtkomst inte utgör en risk för alla andra applikationer och system.
  • Enkel inloggning (SSO). Om passerkontroll och säkerhet blir för krångligt visar all erfarenhet att anställda kommer att börja leta efter vägar runt. En SSO-lösning innebär mycket enklare inloggning för användarna, både när det handlar om interna och molnbaserade applikationer, och gör att användarna inte undergräver säkerheten.
  • Omfattande loggning. Zero Trust är inte ett engångsjobb, utan en kontinuerlig process. Dess omfattande och detaljerade loggning har två huvudsyfte: För det första måste det säkerställas att data flyter och blockeras som avsett, så att anställda kan göra vad de ska. Samtidigt lägger loggarna grund för ytterligare teknikanpassning, så att den fungerar optimalt för användare såväl som verksamhet.

Sammanfattningsvis är det viktigt att komma ihåg att Zero Trust inte realiseras genom en specifik produkt eller tjänst. Det är istället en kombination av åtgärder som tillsammans förverkligar arkitekturen. Utöver detta får vi inte glömma människan. Slutanvändaren ska få nödvändig och aktuell information samt utbildning. Samtidigt ska organisationen involveras så att relevanta procedurer, rutiner och personal är med på resan.

 

När alla nödvändiga komponenter är på plats är det dags att implementera Zero Trusts grundinställning: «Don’t trust; verify!»

Vill du veta mer om Cisco Duo, multifaktorautentisering eller slutanvändarutbildning?

Kontakta oss

Kontakta oss!
Svar inom 24h