Na začátku letošního roku jsme byli svědky několika útoků na nemocnice a technologické firmy. Společným rysem byla kromě slabé ochrany emailu a malé distribuovanosti sítě, špatná nebo slabá ochrana identit. V praxi také často vidíme, že uživatelé používají stejná hesla do soukromých účtů a ve firemních aplikacích.
Tvrdá data z reportů, například State of Password and Authentication Security Behaviors 2019, ukazují, že 50% profesionálů z oblasti IT bezpečnosti používá průměrně pět stejných hesel v pracovních i osobních účtech. Téměř 70% z nich sdílí svá hesla s kolegy. Dále průzkumy ukazují, že až 95% firem data nešifruje.
Většina firem dnes kombinuje interní a cloudové služby. U tohoto hybridního modelu nelze uplatnit osvědčený bezpečnostní perimetr pro lokální IT, ale musí se uplatnit bezpečnostní perimetr na samotném uživateli.
Spousta firem se vrhla směrem implementace VPNek a pak řešila špatnou propustnost sítě ke službám a zároveň podlicencovanost VPN řešení. Jako efektivnější řešení se přitom ukazuje nasazení vícefaktorové autentizace (MFA). Pokud ale necháme přistupovat zaměstnance ke cloudovým službám externě nebo k interním službám pomocí VPN je třeba ohlídat, aby tato data nebylo možné kompromitovat. Řešením je zavedení transparentního šifrování dat a oddělení samotného šifrovacího klíče od šifrovaných dat. Ideálně uložením klíče v HW trezoru HSM (Hardware Security Module).
Transparentní šifrování umí zajistit, aby pouze oprávněný a ověřený uživatel (pomocí MFA) mohl pracovat s daty stejně tak, jako by data šifrována nebyla. Neoprávněný uživatel, například administrátor, ale i potenciální útočník uvidí data pouze v zašifrované podobě.
Společnost Thales nabízí kompletní řešení jak pro řízení přístupu k datům a aplikacím pomocí multi faktorové autentizace, tak pro transparentní šifrování dat na všech vrstvách – aplikační, DB, file system, OS, disk, sítové pole apod.
Řešení Safenet Trusted Access (STA) od společnosti Thales nabízí rychlé nasazení MFA pro všechny firemní aplikace ať už jsou nasazeny lokálně nebo v Cloudu např. Office365, AWS, Jira, … STA navíc poskytuje širokou škálu šifrovaných autentizačních tokenů pro získání jednorázového hesla (OTP) pro uživatelské přihlášení. STA také umožnuje řídit přístup k aplikacím pomocí funkce Smart SSO (Single Sign-on).
Pro šifrování dat nabízí společnost Thales celé portfolio produktů. Hardware Security Modul – HSM Luna 7 slouží jako FIPS 140-2 L3 certifikovaný HW trezor, který je chráněn proti jakémukoliv síťovému nebo fyzickému útoku. HSM významně akceleruje kryptografické operace – šifrování, podepisování, generování náhodných čísel apod.
Pokud šifrovací klíče nechce zákazník využívat pouze přes rozhraní PKCS#11, CSP/CNG, JCE, nabízí společnost Thales řešení CipherTrust Manager. CipherTrust Manager je Key Management System (KMS) pomocí nějž se rozšíří možnosti využití externího zabezpečeného zdroje šifrovacích klíčů o další protokoly jako je KMIP, REST, SDK (C,C++,.NET, Java, JCE) a další. CipherTrust Manager podporuje nasazení transparentního šifrování dat na různé OS a platformy jako je Linux, Windows, Containers, SAP HANA, Terradata apod. Pomocí agentů lze pak aplikovat firemní politiky pro práci s šifrovanými daty. Oprávnění uživatelé šifrovaná data uvidí v čitelné podobě, zatímco neoprávnění uživatelé se k datům nedostanou nebo data uvidí pouze v šifrované podobě.
Více informací najdete na našich webových stránkách https://cpl.thalesgroup.com.
Petr Kunstát
CEE Presales Security Consultant, Cloud Protection & Licensing
Thales Group
petr.kunstat@thalesgroup.com
PŘEDPLATNÉ
ČLÁNKY DO MAILU