"אפשר לוותר על השם, הסיסמא ואימות דו שלבי"
פתרונות עדכניים מאפשרים לעובד ארגון להכנס לאפליקציה קריטית לארגון מבלי להקליד שם, סיסמא ובלי ביצוע אימות דו שלבי. ראיון עם הCTO של חברת Teraworks
עמי רוחקס דומבה
| 02/08/2020
מולי מוטולה. צילום: אורי אלון
המעבר של ארגונים רבים לעבודה בענן מעלה לא אחת תלונות מצד עובדים לסירבול הטמון בשלבי ההזדהות בואך פתיחת אפליקציה מקוונת. חלק מהשלבים כוללים כניסה למחשב הארגוני, אימות כפול מול כל שירות ענן, ולעיתים אף תוספת של הזדהות ביומטרית בין לבין. תהליך שמטרתו להפחית סיכון פריצה לחשבון, עם זאת, מדובר בתהליך מסורבל כאמור.
אחת השיטות להפחית סירבול אבטחה זה בארגונים היא הפעלת מערכת אימות זהות ארגונית מרכזית (SSO). הרעיון הוא להזדהות פעם אחת ולקבל גישה לכלל משאבי הארגון המותרים לפלוני על פי מדיניות האבטחה של הארגון. אולם, עולה בעיה כאשר מדובר באפליקציה קריטית לארגון. כזו שרמת הסיכון בחשיפה אליה או בזליגת נתונים ממנה גבוהה מאד. במקרים כאלו, הארגון רוצה עוד נדבך בקרה.
"במקרים כאלו אנחנו עובדים עם מערכת של MobileIron", מסביר מולי מוטולה, מייסד שותף וCTO של חברת Teraworks אינטגרטור ישראלי לפתרונות אבטחה בענן בראיון לישראל דיפנס. "מדובר במערכת המשמשת למספר משימות. ראשית, היא משמשת כסמכות ריכוזית להפצת אפליקציות לניידים מנוהלים. המערכת מחוברת לחנויות ידועות כמו של אפל וגוגל, וכן מאפשרת הפצת אפליקציות בפיתוח פרטי של הארגון.
"בנוסף, המערכת מאפשרת גישה לאפליקציות קריטיות בארגון ללא הצורך להקליד שם וסיסמא וללא הצורך באימות דו שלבי (2FA). זאת, על בסיס התפיסה כי ההתקן מנוהל ועבר כבר את הSSO בכניסה למחשב המנוהל, והאפליקציה ממנה מתבצעת הפניה לאותה אפליקציה קריטית אומתה כבר בשבל ההפצה להתקן. כלומר, המחשב מאומת וגם האפליקציה ממנה מתבצעת התקשורת. בצורה כזו העובד לא צריך את הסרבול הטמון בהקלדת סיסמא וביצוע אימות דו שלבי."
יתרה מכך, העדר הצורך בהקלדת סיסמא מפחית את משטח התקיפה מכיוון שהעובד לא נחשף לכלי איסוף כמו מתעד הקלקות (keylogger) כדוגמא. "הארכיטקטורה הזו מתבססת על המחשבה שאני כבר סומך על מי שעובד עם המכשיר. אם גיליתי במהלך החיבור לאפליקציה כי משהו לא עבד כמו שציפיתי - אני חוזר לתהליך אימות רגיל המחייב את העובד להקליד שם סיסמא ולעשות 2FA", מסביר מוטולה.
איך זה עומד מול פתרונות ביומטריים?
"בתהליך עצמו אין צורך בהזדהות בכלל מול האפליקציה הקריטית. עצם העובדה שנכנסת למחשב של הארגון ועברת את הSSO זה אומר שאתה מאומת. פעם שניה יש אפליקציה מאושרת. אפשר גם לעצור את התהליך הזה באמצע אם עלה חשד. בנוסף, הארגון יכול להחליט שהוא מוסיף שלב ביניים בין הSSO להזדהות מול האפליקציה הכולל הזדהות ביומטרית", מסכם מוטולה.
פתרונות עדכניים מאפשרים לעובד ארגון להכנס לאפליקציה קריטית לארגון מבלי להקליד שם, סיסמא ובלי ביצוע אימות דו שלבי. ראיון עם הCTO של חברת Teraworks
מולי מוטולה. צילום: אורי אלון
המעבר של ארגונים רבים לעבודה בענן מעלה לא אחת תלונות מצד עובדים לסירבול הטמון בשלבי ההזדהות בואך פתיחת אפליקציה מקוונת. חלק מהשלבים כוללים כניסה למחשב הארגוני, אימות כפול מול כל שירות ענן, ולעיתים אף תוספת של הזדהות ביומטרית בין לבין. תהליך שמטרתו להפחית סיכון פריצה לחשבון, עם זאת, מדובר בתהליך מסורבל כאמור.
אחת השיטות להפחית סירבול אבטחה זה בארגונים היא הפעלת מערכת אימות זהות ארגונית מרכזית (SSO). הרעיון הוא להזדהות פעם אחת ולקבל גישה לכלל משאבי הארגון המותרים לפלוני על פי מדיניות האבטחה של הארגון. אולם, עולה בעיה כאשר מדובר באפליקציה קריטית לארגון. כזו שרמת הסיכון בחשיפה אליה או בזליגת נתונים ממנה גבוהה מאד. במקרים כאלו, הארגון רוצה עוד נדבך בקרה.
"במקרים כאלו אנחנו עובדים עם מערכת של MobileIron", מסביר מולי מוטולה, מייסד שותף וCTO של חברת Teraworks אינטגרטור ישראלי לפתרונות אבטחה בענן בראיון לישראל דיפנס. "מדובר במערכת המשמשת למספר משימות. ראשית, היא משמשת כסמכות ריכוזית להפצת אפליקציות לניידים מנוהלים. המערכת מחוברת לחנויות ידועות כמו של אפל וגוגל, וכן מאפשרת הפצת אפליקציות בפיתוח פרטי של הארגון.
"בנוסף, המערכת מאפשרת גישה לאפליקציות קריטיות בארגון ללא הצורך להקליד שם וסיסמא וללא הצורך באימות דו שלבי (2FA). זאת, על בסיס התפיסה כי ההתקן מנוהל ועבר כבר את הSSO בכניסה למחשב המנוהל, והאפליקציה ממנה מתבצעת הפניה לאותה אפליקציה קריטית אומתה כבר בשבל ההפצה להתקן. כלומר, המחשב מאומת וגם האפליקציה ממנה מתבצעת התקשורת. בצורה כזו העובד לא צריך את הסרבול הטמון בהקלדת סיסמא וביצוע אימות דו שלבי."
יתרה מכך, העדר הצורך בהקלדת סיסמא מפחית את משטח התקיפה מכיוון שהעובד לא נחשף לכלי איסוף כמו מתעד הקלקות (keylogger) כדוגמא. "הארכיטקטורה הזו מתבססת על המחשבה שאני כבר סומך על מי שעובד עם המכשיר. אם גיליתי במהלך החיבור לאפליקציה כי משהו לא עבד כמו שציפיתי - אני חוזר לתהליך אימות רגיל המחייב את העובד להקליד שם סיסמא ולעשות 2FA", מסביר מוטולה.
איך זה עומד מול פתרונות ביומטריים?
"בתהליך עצמו אין צורך בהזדהות בכלל מול האפליקציה הקריטית. עצם העובדה שנכנסת למחשב של הארגון ועברת את הSSO זה אומר שאתה מאומת. פעם שניה יש אפליקציה מאושרת. אפשר גם לעצור את התהליך הזה באמצע אם עלה חשד. בנוסף, הארגון יכול להחליט שהוא מוסיף שלב ביניים בין הSSO להזדהות מול האפליקציה הכולל הזדהות ביומטרית", מסכם מוטולה.
