Забезпечення цифрових операцій із забезпеченням ідентичності – Інтерв’ю з Василем Філіпсом

СЛУЧАЙНА це технологія нового покоління, яка забезпечує гарантію ідентичності як людей, так і речей, і має значні переваги перед існуючими продуктами щодо безпеки, стійкості та зручності використання, включаючи захист від інсайдерських атак. Враховуючи зростаючу залежність від віддалених платформ для роботи та співпраці завдяки COVID-19, я запросив керуючого директора Casque Василя Філіпса обговорити, як організації можуть посилити свою оборону та захистити свої активи в Інтернеті.


Опишіть, будь ласка, передумови, що стоять за CASQUE та її еволюцію досі. 

Ми почали як програмна компанія, яка робила невеликі проекти навколо безпеки. Ідея збулася, коли у нас був великий контракт з Порту Дувер, щоб забезпечити доступ до порту. Порт Дувр – це дуже зайнятий порт, який містить близько 10 000 людей, які працюють у різних функціях: митниці, вантажоперевезенні, оренді, зберіганні тощо. Таким чином, наш проект полягав у тому, щоб написати програмне забезпечення, яке забезпечить захист фізичного доступу, і ми це зробили з фізичними бар’єрами та турнікетами, які вимагали від співробітників використання магнітної картки для входу та дії в якості ідентифікатора.

Це було початком того, що ми думали про доступ до ресурсів даних на комп’ютерах, а не про фізичний доступ до офісних будівель. Це змусило нас замислитися над загальною проблемою аутентифікації, яка змусила нас подивитися на те, що було доступно. Зрозуміло, що кожне з доступних рішень мало певну слабкість.

Причина того, що продукти були принципово вразливими, полягає в тому, що при уважному перегляді кожного методу аутентифікації вони покладаються на збереження фіксованої таємниці. Очевидним є пароль, але це також може бути біологічний шаблон або він може бути вбудованим ключем у маркер SecurID. Це може бути приватний ключ інфраструктури PKI. Проблема з усіма цими методами полягає в тому, що якщо хтось виявить зафіксовану таємницю, то захист заповнена.

Тож ми подумали, як ми можемо створити систему, де ми могли б продовжувати динамічно та миттєво змінювати ключові клавіші прозорим способом? Це було завдання, яке ми поставили перед собою. Нам знадобилося дуже багато часу, щоб вирішити цю проблему, і ми з’ясували, чому люди користуються лише фіксованими ключами!.

Щоб пояснити це дуже просто, є три причини, чому динамічно змінювати клавіші дуже важко, і тому люди цього не роблять.

  1.   Перша і найважливіша складність полягає в тому, що якщо ви надсилаєте вказівку змінити ключ і не отримаєте відповіді, вам залишається невизначений стан. Ви не знаєте, змінили ключі чи ні.
  2.   Друга проблема полягає в тому, коли ви ведете діалог, щоб змінити ключі та переконатися, що вони були зроблені. Якщо під час цього діалогу будь-яка сторона має збій або час очікування, як відновити та відновити? Це класична проблема динамічних оновлень.
  3.   Третя категорія проблем стосується можливості загрози. Отже, припустимо, зловмисник дивився на те, що відбувається під час цього діалогу, і повинен скопіювати вказівки, щоб змінити ключ. Що стається, це те, що в якийсь майбутній день цей зловмисник буде втручатися між сервером і клієнтом і відтворювати цю стару записану команду. Все це було б не синхронізовано, тому ви отримаєте відмову в наданні послуги.

Для вирішення цих проблем нам знадобилися чотири окремі винаходи. Один із таких винаходів надав патенти США та ЄС. Це означає, що основна методологія захищена патентами. Але інші три винаходи ми зберігаємо як приватне ноу-хау. Хтось, хто просто читає патент, може зрозуміти методологію, але не знатиме, як реально його реалізувати. 

Далі, щоб показати людям, що у нас є надійне рішення, ми пройшли процес сертифікації з GCHQ Великобританії, експертами з безпеки уряду Великобританії, щоб отримати наш продукт, CASQUE, сертифікований для використання Secret. У результаті цього ми реалізували різні замовні проекти в Міністерстві оборони Великобританії, які використовують можливості CASQUE.

Наступним етапом було відійти від цієї замовленої роботи та виготовити комерційний продукт, який Клієнти могли використовувати “поза коробкою”. Це вимагало інтеграції з основними виробниками мережевих шлюзів. CASQUE має перевірені інтерфейси з CISCO ASA, Fortinet Fortigate, Pulse Connect.

Найновіша інтеграція, яку ми зробили, – це платформа Identity з відкритим кодом, що виробляється WSO2. Зовсім недавно вони були позитивно оцінені KuppingerCole, який оцінив платформу WSO2 Identity як одного з лідерів у цьому сегменті ринку.

Ось короткий перегляд того, як насправді працює Casque:

Як компанія чи організація може застосувати вашу технологію для забезпечення своїх активів?

У технології є програмні та апаратні компоненти. Отже, що стосується програмного забезпечення, ми постачаємо дві ліцензії. Перший програмний продукт дозволяє клієнту спочатку заповнити наші токени набором ключів. Ці жетони є апаратним елементом. Ми постачаємо їх як «порожні», щоб Клієнт міг встановити свої власні ключі, а отже, ми як виробник ніколи не маємо нічого спільного з ключами, тобто немає ризику сторонньої сторони. Token містить захищений чіп і може бути реалізований у вигляді безконтактної Smartcard.

Іншим програмним продуктом, який ми надаємо, є сервер аутентифікації. Цей фрагмент програмного забезпечення працює на платформі Windows або Linux, і, звичайно, його можна запустити на віртуальній машині в хмарних умовах. 

Крім підключення до конкретних шлюзів, CASQUE також може бути підключений до рамки Open ID Connect. Open ID Connect – це спосіб управління ідентичністю на федеративній основі. Приємно в тому, що веб-сервіси Amazon, Google Cloud, Microsoft Azure прийняли Open ID Connect як інтерфейс для розширення багатофакторної аутентифікації. Так що в основному відбувається:

  • Спробуйте перейти на ресурс, який знаходиться в веб-службах Amazon.
  • Ви позначаєте певні облікові дані як такі, що потребують спеціальної ідентифікації особи.
  • Потім веб-служби Amazon передають нам запит.
  • Ми переймаємо браузер і розмовляємо з клієнтом.
  • Після діалогу CASQUE, якщо це все в порядку, ми повідомляємо Amazon, що цього Користувача слід дозволити до запитуваного ресурсу.
  • Крім того, ми можемо також надати додаткову інформацію про авторизацію, щоб дозволити більш тонкий доступ.

Що стосується випадків використання, зрозуміло, що останній коронавірус змусив людей більше працювати на дому. Чудово робити домашні завдання, це дає вам гнучкість, допомагає краще позиціонувати приватне соціальне життя людей своїм трудовим життям. Але з усіма цими плюсами є супутні ризики зловживань та нападу.

Такі напади продовжують відбуватися. Наприклад, останні статистичні дані говорять про те, що в березні 2020 року по всьому світу було порушено понад 800 мільйонів записів даних. Це актуальна і тривала проблема. Питання полягає в тому, чому вони мають порушення даних? Є кілька очевидних відповідей. Один з них полягає в тому, що ці методи аутентифікації, які я згадував, є вразливими. Внаслідок вразливої ​​вразливості, це заохочує зловмисників, як ми нещодавно виявили у випадку з китайськими злому м’яких жетонів RSA. Це було широко розрекламоване порушення, яке виявила Нідерландська компанія з питань кіберконсультацій, і я написала про це у своїх публікаціях LinkedIn.

Притаманна вразливість цих методів аутентифікації має ще один непрямий ризик, оскільки трапляється те, що інсайдери відчувають впевненість у витоку інформації, оскільки вони завжди можуть звинуватити когось іншого. Оскільки в нашому продукті CASQUE немає жодних фіксованих ключів, хакер нічого не може відкрити або розкрити для Insider. Тож у нас є великий стримуючий характер, ми знімаємо привід заборонити та відмовити у доступі.

Скажімо, бренд або компанія хоче планувати свою стратегію кібербезпеки. Які ще речі слід розглянути?

Ми вважаємо, що гарною стратегією є спочатку визначити, які є найважливішими активами для даних, якими володіє компанія. Це не просте питання. Ви не можете просто сказати, о, ну, це все фінансове або все це наш IP, тому що це насправді не вказує на те, що є основними активами вашої компанії. Питання полягає в тому, що якщо ви не мали доступу до певного ресурсу даних, який ризик є недоліком? Чи є ризик для репутації? Чи існує ризик операційних труднощів та наступності? Як швидко його можна відновити? Це питання, які потрібно задати та розставити пріоритети. Якщо ви поставите ці питання досить наполегливо, то незабаром ви дізнаєтеся, які саме дані доставляють найбільший біль у разі втрати.

Щоб навести вам приклад того, чому це не очевидно, ми поговорили з C Suite Suite в великій фармацевтичній компанії. Він сказав нам, що коли він робив цю вправу, виявилося, що існує лише невеликий набір даних, які вони вважають релевантними, оскільки всі їхні препарати знаходяться або в патентах, і захищених, або патентних і загальних. Єдине, про що вони були параноїдними, – це результати випробувань їхніх поточних випробувань на наркотики, оскільки, якби вони просочилися, конкуренти знали б і намагалися би перемогти. Тож одразу вони могли б сказати, що це ресурси, які потребують захисту, і нам потрібно отримати найсильніший захист від них.

Вам також потрібно визначити, хто повинен отримати доступ до коштовностей Data Crown. Це може здатися очевидним питанням, але це дійсно потрібно дивитися. Оскільки у багатьох випадках важливі не окремі дані або хто має доступ до цих окремих даних, важливим є доступ до сукупних даних, адже саме тут лежить справжня цінність.

Щойно ви встановите ці речі, ви можете почати шукати відповідні рішення. Тож ви не повинні просто йти і говорити, що ми збираємось вживати заходів безпеки по всій організації, тому що, як я щойно пояснив, різні активи та різні люди потребують різного рівня захисту. Але те, що вас змушує робити, – це визначити, який метод безпеки підходить для якого класу користувачів. Це допоможе вам переглянути існуючу ІТ-структуру та операційні привілеї. Можливо, ваша існуюча ІТ-архітектура потребує перегляду.

Як ви думаєте, як COVID-19 вплине на вашу галузь?

Хоча важко передбачити майбутнє, я думаю, що нинішня криза змінить спосіб роботи людей, оскільки стало зрозуміло, що велику частку роботи можна гнучко виконувати в різний час і вдома. Тому працівники можуть відчути можливість повернутися до своїх роботодавців і сказати: дивіться, це спрацювало добре, коли ми мали цю пандемію, чому ми не можемо мати деякі правила, які дозволять нам працювати більш гнучко. Тож я думаю, що в результаті цієї кризи з’явиться більше зусиль для гнучкої та віддаленої роботи.

Як реагувати на це роботодавці – це інша справа. Вони можуть сказати, що нам дійсно потрібно мати вас назад, працюючи в належні години, тому що в іншому випадку ми не можемо реально керувати. Або можуть сказати, гаразд, це виявилося корисним. Ми можемо побудувати іншу структуру або набір різних практик роботи.

Тому я думаю, що це матиме ефект, і це потребує більшого перегляду заходів безпеки. Як я вже згадував, робота у гнучкості має ризики. Розширене використання програмного забезпечення, будь то програмне забезпечення для співпраці чи віддалене робоче програмне забезпечення, забезпечить більшу кількість атак для людей, які хочуть отримати крадіжку інтелектуальної власності..

 Які цікаві тенденції чи технології, які ви очікуєте побачити більше в найближчі роки?

Ну, я думаю, що я згадав явні фактори, які стосуються управління ідентичністю та проблеми того, що підходить і що насправді безпечно. І саме тут ми можемо запропонувати рішення.

Я думаю, що одним із великих ризиків є те, що люди можуть почувати себе заохоченими до роботи з однолітком, тому, якщо ви хочете поговорити з колегами, ви можете просто зайти і зробити сеанс безпосередньо з ними. Тепер це небезпека для організації, бо якщо в організації багато таких однолітків, то сама організація втратила контроль, бо не знає, що відбувається. І якщо він не знає, що відбувається, він не може це контролювати. Тож може існувати цей принцип, який говорить про те, що це корпоративна інформація, над якою ви працюєте, ви повинні пройти через Сервери компанії. Ви не можете просто спілкуватися з однолітком, оскільки ми не знаємо, що ви робите. У нас немає запису. Якщо є якісь судові процеси, ми не зможемо легко відповісти.

Отож, коли ви визначите, що таке важливий набір даних, їм доведеться подумати про управління ним через корпоративний центр даних. Тож наступний набір питань буде, якою платформою ми користуємось? Існує багато платформ для співпраці та платформ типу управління проектами, і вони зростають останнім часом. Проблема цих платформ полягає в тому, що вони мають тенденцію захоплювати вас у власному просторі, оскільки після реєстрації всі повинні підписатися на цю конкретну обрану програмну платформу. Тож можливість впровадити ланцюжок поставок може виявитися важкою.

Тому може знадобитися якийсь загальний спільний спосіб роботи із сумісними форматами даних та API, щоб ви могли розширити ці платформи за межами компанії, наприклад, через основні канали ланцюга постачання. Важливо, що вам потрібно контролювати те, як ви авторизуєте та ідентифікуєте учасників; ми вважаємо, що наша незалежна, об’єднана здатність до ідентичності повинна допомогти в цій галузі.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me