$
IT בישראל

ראיון כלכליסט

"יש חולשה מובנית בפתרונות אימות שאינם לוקחים בחשבון את המשתמש"

מערכת הגישה Authentication Manager 8 של RSA משתמשת בעקרונות ביג דאטה על מנת לזהות את המשתמש. שוחחנו עם ד"ר אלון קאופמן ממפתחי המערכת

רפאל קאהאן 14:4509.05.13
RSA, חטיבת האבטחה של EMC,השיקה מערכת אשר נועדה לאבטח את הגישה למידע ולמקורות רגישים הן בארגון והן בענן, וכן לאמת את זהויות המשתמשים. המערכת החדשה משלבת טכנולוגיית סיסמאות חד פעמיות עם אימות מבוסס סיכונים, כאשר ברקע בודק מנוע הסיכונים את אמינות המשתמש על פי עשרות משתני סיכונים ייחודיים.

המערכת עושה שימוש בניתוחי ביג דאטה בכדי לספק ראיה מעמיקה של סיכוני בקרת גישה, דהיינו - כמעט כל מרכיב או אפיון של מכשיר או התנהגות המשתמש, יכולים להיות חלק ממשוואה המחשבת את הסיכון והאימות של המשתמש המבקש הרשאת גישה למקורות המידע בארגון. המערכת בונה פרופיל משתמש המבוסס על מאפייני מכשירים התנהגותיים, ועל פיו מסוגלת לזהות פעילות נורמאלית או לאתגר ולחסום פעילות אנומלית.

 

זיהוי המשתמש הוא האתגר העיקרי במערכות גישה זיהוי המשתמש הוא האתגר העיקרי במערכות גישה צילום: shutterstock

 

"כל פתרון אימות שקיים כיום, מסיסמאות ועד פתרונות ה-one time password ניתנות לעקיפה וראינו בעבר דוגמאות לכך", מסביר ד"ר קאופמן, ראש תחום המחקר והחדשנות ב-RSA , ומרצה בנושא של מדע הנתונים באוניברסיטת תל אביב.

 

האם מערכות מבוססות קריפטוגרפיה מכילות חולשה מובנית? הרי בסופו של דבר ניתן לפרוץ כל מערכת כזו

"אינני טוען שיש חולשה בפתרונות מבוססי קריפטוגרפיה – יש חולשה מובנית בפתרונות אימות שאינם לוקחים בחשבון מגוון של אלמנטים שמתארים את המשתמש, אלא רק אינדיקציות בודדות (חזקות ככל שיהיו). ההנחה היא שכמעט כל פתרון בדיד ניתן למעקף. ולכן מה שנדרש זה שמעבר (או במקביל) לפתרונות האימות שקיימים כיום, יש צורך לנטר ולנתח את התנהגות המשתמשים ולזהות סטיות בהתנהגות הספיציפית שלהם בכדי לאתר מקרי פריצה. בפארפרזה "זולה" זה דומה למנעולים או מערכות אזעקה בבית – הרעיון הוא שפורץ יוכל לעקוף כל מערכת מנעולים או אזעקות, ולכן בכדי לזהות פריצה צריך גם לנטר את מי נכנס לבית, את מה הוא עושה בבית, ואיך ומה יוצא מהבית."

 

מה היתרון של המערכת על מערכות ביומטריות למשל?

"ההתייחסות גם כאן היא למערכות אימות: כיום האינדיקטורים שבעזרתם מנסים לאמת מישהו קשורים או למחשב ממנו הוא ניגש לארגון או לבנק, או לשיטות אימות כאלו או אחרות שכולן נסמכות על מה שאדם יודע (כמו שאלות אישיות), או משהו שיש לו (כמו מחשב), או איפה הוא נמצא. מערכת ביומטרית נותנת אינדיקציה על מי באמת הבנאדם, חתימת הקול שלו, הפרצוף שלו, וכיוצא באלו".

 

מהם אחוזי ההצלחה בזיהוי המשתמש?

"אם הכוונה בכמה פעמים אנחנו מזהים "פורץ" אז זה כמובן תלוי מאוד בכמה מקרים אתה מוכן לדרוש אימות, אך ככלל אפשר להגיע למעל 90% הצלחה, עם פחות מ-1% מקרי אימות".

 

האם זוהי מערכת נלווית או שבRSA מאמינים כי ניתן להסתך עליה באופן בלעדי לפתרון כניסה?

"אנחנו מאמינים שצריך לחבר מספר גדול ככל היותר של אינדיקטורים שמספרים מיהו הגורם שמתחבר (כולם באופן פאסיבי ללא הפרעה למשתמש), ויש להשתמש בכולם גם יחד. ולכן איננו מאמינים בפתרון בלעדי."

 

כזכור, קריפטוגרפיית ה-RSA נפרצה, מאגרי מידע גם הם נתונים לפריצות. כיצד ניתן לאבטח את מאגר המידע שעליו מסתמכת המערכת?

לזה יש תשובות ארוכות ומפורטות מהרבה היבטים, אולם ברוח הפתרון המדובר יש להפעיל ניטור תמידי, ובמקרים בהם הבקשות ממאגר המידע אינן תואמות את המאפיין של מי המבקש, אזי יש לעצור את הפעולה (מאפיינים כגון, מיקום, שעה ביום, מחשב ממנו מגיע, לאן הוא ניגד, מה הוא עושה, חתימות ביומטריות שלו, צרות ההקלה וכיו"ב). כמובן שמעבר לכך צריך להצפין, להפריד מפתחות, ולשמור נתונים חלקיים - אבל זה לא המיקוד של המערכת שלנו שמגינה על כך שלא יחדור למאגר המידע פורץ – impersonator".

בטל שלח
    לכל התגובות
    x