Ostatnie projekty Narodowego Instytutu Standardów i Technologii (NIST) dotyczące cyberbezpieczeństwa podkreślają ważne aktualizacje dotyczące tego, w jakim kierunku rząd podąża w zakresie technologii i koncentruje się na zwiększeniu bezpieczeństwa przed cyber zagrożeniami. Wynika to z faktu, że głównym celem NIST jest opracowywanie i rozpowszechnianie standardów, które umożliwiają płynne działanie technologii i sprawne funkcjonowanie firm. W grudniu 2022 r. NIST przedstawił aktualizację specjalnej publikacji NIST 800-63-4 ipd (wstępny publiczny projekt), która zawiera szczegółowe wytyczne dotyczące tożsamości cyfrowej, mające na celu wzmocnienie bezpieczeństwa i uwierzytelniania tożsamości cyfrowej, uwzględniając zmiany zarówno w zakresie ryzyka, jak i pojawiających się modeli uwierzytelniania, takich jak odporne na phishing uwierzytelnianie wieloskładnikowe (MFA) i passkey.
Szczegóły projektu wytycznych są ważne, ponieważ mają wpływ na operacje agencji w ogóle. 800-63-4 ipd jasno definiuje, co to znaczy być odpornym na phishing, i pojawia się w czasie, gdy wiele agencji rządowych (zwłaszcza stanowych i lokalnych) jest obleganych przez ataki phishingowe i żądania ransomware. Ważne jest jednak, aby zrozumieć, co oznacza uwierzytelnianie odporne na phishing dla agencji federalnych, stanowych i lokalnych oraz co należy zrobić, aby przestrzegać proponowanych wytycznych.
Co odporność na phishing oznacza dla mnie i mojej agencji?
Podobnie jak w przypadku wszystkich wytycznych i przepisów federalnych, wytyczne NIST będą nadal ewoluować – ale agencje federalne zostały powiadomione przez 800-63-4 ipd, że powinny zwracać szczególną uwagę na to, co liczy się jako technologia odporna na phishing: „zdolność protokołu uwierzytelniania do wykrywania i zapobiegania ujawnianiu tajemnic uwierzytelniania i ważnych danych wyjściowych uwierzytelniacza stronie ufającej oszustowi bez polegania na czujności subskrybenta”. Na wysokim poziomie systemy uwierzytelniania muszą zapobiegać atakom phishingowym, nawet jeśli atakujący może oszukać użytkownika, aby spróbował zalogować się do fałszywej witryny. Terminy zapewnienia zgodności – dla agencji i firm, które z nimi współpracują – będą się szybko zbliżać, więc warto przejrzeć 800-63-4 ipd, aby przeanalizować, co jest najbardziej istotne dla krótkoterminowych planów aktualizacji.
Wytyczne NIST mają pomóc wzmocnić bezpieczeństwo i uwierzytelnianie tożsamości cyfrowej, uwzględniając zmiany zarówno w zakresie ryzyka, jak i nowych modeli uwierzytelniania, takich jak passkey. Zidentyfikowano trzy poziomy pewności uwierzytelniania (AAL), przy czym każdy poziom opiera się na wymaganiach poprzedniego poziomu. AAL3 zapewnia bardzo wysoką pewność, że osoba logująca się do systemu może, poprzez dowód posiadania, udowodnić, że jest tym, za kogo się podaje. Uwierzytelniacze zatwierdzone przez FIPS dla pracowników federalnych są wymagane dla AAL2 (poziom 1) i AAL3 (poziom 2).
Zmienione wytyczne NIST uznają również dwie metody uwierzytelniania odpornego na phishing: wiązanie kanału i wiązanie nazwy weryfikatora. Mówiąc prostym językiem, metody te mają na celu uniemożliwienie oszustowi skutecznego przejęcia lub przechwycenia procesu uwierzytelniania.
Wiązanie kanału odnosi się do kanału komunikacyjnego między urządzeniem uwierzytelniającym (takim jak karta inteligentna) a weryfikatorem. W tradycyjnych sieciach komunikacja ta jest chroniona przez szyfrowany kanał, więc nikt nie jest w stanie jej podsłuchać. Nie jest tak w przypadku sieci WEB, więc standardowa komunikacja internetowa nie jest wystarczająco chroniona, chyba że używany jest wzajemnie uwierzytelniany TLS, co jest powodem wprowadzenia metody wiązania nazwy weryfikatora, którą wykorzystuje standard FIDO2. W przypadku powiązania nazwy weryfikatora proces uwierzytelniania odpowie tylko na wcześniej zarejestrowaną nazwę domeny. Obie metody są odporne na próby naruszenia lub podważenia procesu uwierzytelniania.
Kiedy to wszystko nastąpi? Będzie to proces, ale agencje rządowe, już związane standardem FIPS 140, są zobowiązane do końca roku budżetowego 2024 do przyjęcia wyłącznego stosowania odpornego na phishing uwierzytelniania wieloskładnikowego (MFA). Minimalnym standardem będzie poziom AAL2, ale należy pamiętać, że niektóre starsze procesy uwierzytelniania, takie jak oparte na SMS-ach „hasła jednorazowe” OTP, nie będą spełniać nowych standardów odporności na phishing. Niektóre firmy mogą zdecydować się na całkowite pominięcie AAL2 i przejście na AAL3, aby uzyskać najwyższą ochronę przed atakami phishingowymi.
Jaki będzie miał wpływ na to, czego używam obecnie?
800-630-4 ipd mówi, że prawdziwa odporność na phishing jest osiągana tylko wtedy, gdy wszystkie metody uwierzytelniania są odporne na phishing. Karty inteligentne PIV/CAC obsługują uwierzytelnianie wieloskładnikowe odporne na phishing, ale w przypadkach, w których nie można użyć PIV/CAC, te mechanizmy uwierzytelniania muszą przejść na metodę odporną na phishing, taką jak FIDO2.
Na początku 2023 r. NIST kontynuował serię aktualizacji, które wprowadził dla PIV, wydając wytyczne dotyczące pochodnych poświadczeń PIV (SP 800-157r1) i nowe wytyczne dotyczące federacji weryfikacji tożsamości osobistej (PIV) (SP 800-217). Aktualizacje te są sposobem NIST na integrację nowych metod z ustalonymi podejściami do uwierzytelniania. Wytyczne te, miejmy nadzieję, zapewnią jasność co do tego, jak skutecznie wdrożyć FIDO2.
Agencje mogą strategicznie wdrażać rozwiązania FIDO2 do aplikacji chmurowych i mobilnych, jednocześnie nadal wykorzystując istniejące inwestycje PKI w tradycyjnych sieciach. Z czasem mogą rozszerzyć zasięg FIDO2 o inne przypadki użycia, takie jak logowanie do aplikacji, logowanie do komputera i logowanie zdalne.
Nie płyń pod prąd, pozwól mu zabrać Cię w bezpieczniejsze miejsce
Połączenie nowej cyberstrategii prezydenta Bidena i projektu publikacji SP 800-63-4 ipd jest dobrym sygnałem dla nas wszystkich, którzy chcą chronić to, co mamy – niezależnie od tego, czy są to dane PII, dane „klejnotu koronnego” agencji, czy komunikacja z osobami trzecimi.
Uwierzytelnianie FIDO2 jest istotną częścią większej, elastycznej, odpornej na phishing infrastruktury, która jest obecnie rozwijana. Rozwiązania FIDO2 i PKI mają się wzajemnie uzupełniać, a nie żyć w świecie „albo-albo”. Odporne na phishing rozwiązania AAL3 są już dostępne i są coraz szerzej stosowane. Jeśli agencje federalne będą płynąć z prądem, a nie pod prąd, wzmocnią swoją obronę i znacznie ograniczą ataki phishingowe.
Oryginalny tekst ukazał się na blogu naszego partnera, firmy Yubico.