Kolm võimalust mitmetasandilise kontrolli juurutamiseks

Azure AD-s on võimalik mitmetasandilist kontrolli sisselogimisel kolmel viisil juurutada.

Esiteks valid välja kasutajad ja ütled, et mitmetasandiline autentimine on nende puhul nõutud. Järgmine kord nõutakse kasutajalt infoturbe kinnitamiseks, et vaja on ka teist tasandit identiteedi kontrolliks. Kasutaja siis valib ise, millist teist tasandit kasutada: kas telefonikõne, SMS  või turvarakendus (äpp). Mobiiliäpi Microsoft Authenticator saab alla laadida siit.

SMSi me ei soovitaks, kuna on olemas erinevaid turvanõrkusi, seda võimalust saab kaaperdada. Telefonikõnedega on samamoodi: saab simuleerida, millise numbri pealt tuleb kõne (selle kohta saab lugeda lähemalt siit).

Teine viis on teha mitmetasandiline kontroll tingimusliku ligipääsu reeglistiku kaudu – sellest oli blogis juba eraldi pikemalt juttu. Näiteks määrata tingimused, milliste teenuste jaoks on mitmetasandiline autentimine kohustuslik. Eelistatum viis mitmetasandiliseks kontrolliks ongi tingimuslik ligipääs.

Kolmandaks saab aga kasutada Azure AD Identity Protection´it. Kuidas alustada, selle kohta leiab põhjaliku juhendi siit.

Tehniliselt on see väga lihtne. Saab määrata, et infoturbe registreerimist võib teha ainult kontoris ja ettevõtte hallatavas seadmes. Sellega on võimalik veenduda, et kui kasutajakonto on kompromiteeritud, siis pahalane kuskil teises riigis ei saaks seadistada oma MFA-d ehk mitmefaktorilist autentimist, seda saab teha vaid kontrollitud tingimustes. Seadistusvariante tänu tingimuslikule ligipääsule on aga mitmeid.

Kommunikatsioon ja koolitus on siingi väga oluline

MFA-d ei kasuta väga paljud Facebookis ega mujal teenustes, siis on inimesed segaduses, kui ainult parooliga sisse logida ei lasta. Ka mobiilirakendusi ei pruugi ka kõik teada, mida saab mitmefaktoriliseks autentimiseks telefoni installida. Nii võib oma turvalisuse projektiga joosta vastu betoonseina, kui kasutajad ei tea, mida tahetakse.

Tuleb tuua analooge ja näiteid, miks MFA-d on vaja ning kasutajaid sel teemal koolitada. Kõiki ei jõua administraatorid niikuinii ise ka ära seadistada, MFA registreerimise peaksid kasutajad siiski ise tegema ning aru saama, mida see tähendab, et kui näiteks õhtul kell 6 tuleb mobiilile teavitus, et keegi tahab sinu töökontoga sisse saada. Kui ütled pikemalt mõtlemata jah, siis pole ka mitmefaktorilisest autentimisest kasu, sest kasutaja ise lasi kellegi teise sisse, kui parool on lekkinud. Kommunikatsioon on seega ülioluline, kasutajad peavad teadma, mida nad teevad ja miks neilt mitmefaktorilist autentimist nõutakse.

Kui on aga tuhat kasutajat, siis peab julgustama ja meelitama töötajaid ise MFA-d seda ära seadistama. Kommunikatsiooni- ja personaliosakond peaks siin aitama, et kõik kaasa mõtleks ja vajadusel infomaterjale jagama. See võib raske olla, kui infoturbest pole kontoris varem väga räägitud.

Mitmetasandilise kontrolli teema peaks aga igas ettevõttes juba ammu räägitud olema, seda peaks juba ammu olema ka kasutama hakatud.

Kommunikatsiooni ja kasutusjuhendeid võiks enne testida mingi kitsama sihtrühma peal. Suurfirmades on tehtud eraldi kasutajajuhendid, bännerid, isegi eraldi infopaneelid ja plakatid kontoritesse, et kommunikatsiooni ja teavitust nii olulises infoturbeküsimuses oleks võimalikult palju. Kui üleöö MFA kasutajatele sisse lülitada, siis nad ei ei tea, mida edasi teha.

Mõtteid ja materjale mitmefaktorilise autentimise kasutusele võtmise kohta leiab siit.

Kui asjad ei liigu ja kasutajad ei tule kaasa, siis tuleb midagi muuta, siis on kommunikatsioonis midagi valesti. Siis tuleb kasvõi kogu kontor plakateid täis kleepida.

Tingimuslik ligipääs – miks ja kellele lubada?
#PrintNightmare #HIVENightMare #PetitPotam #PKIAbuse
Vajad rohkem informatsiooni?
Vajad rohkem informatsiooni?
  • This field is for validation purposes and should be left unchanged.