Garantir les vostres operacions digitals amb la garantia d’identitat: entrevista amb Basil Philipsz

CASQUE és una tecnologia d’última generació que proporciona garantia d’identitat tant per a persones com per a coses i que té avantatges importants sobre els productes existents pel que fa a seguretat, resiliència i usabilitat, inclosa la defensa contra atacs privilegiats. Atesa la confiança creixent en plataformes de treball i col·laboració remotes a causa de COVID-19, vaig convidar el director gerent de Casque, Basil Philipsz, a discutir sobre com les organitzacions poden reforçar les seves defenses i mantenir els seus actius en línia segurs..

Descriviu els antecedents de CASQUE i la seva evolució fins ara. 

Vam començar com a empresa de programari fent petits projectes al voltant de la seguretat. La idea es va donar vida quan vam obtenir un gran contracte del port de Dover per assegurar l’accés al port. El port de Dover és un port molt concorregut amb unes 10.000 persones que treballen en diverses funcions: duana, transport de mercaderies, arrendament, emmagatzematge, etc. Així doncs, el nostre projecte era escriure un programari que garantís que l’accés físic estava protegit, i ho vam fer amb barreres físiques i torniquetes que requerien als empleats que utilitzessin una targeta magnètica per entrar i actuar com a identificador..

Això va ser el que vam començar a pensar en l’accés als recursos de dades dels ordinadors en contraposició a l’accés físic als edificis d’oficines. Això ens va fer pensar en el problema general de l’autenticació que ens va portar a mirar el que hi havia disponible. Era clar que totes les solucions disponibles tenien certa debilitat.

La raó per la qual els productes eren fonamentalment vulnerables és que, quan mireu de prop cada mètode d’autenticació, confiaven en mantenir un secret fix. L’obviament és una contrasenya, però també podria ser una plantilla biològica o bé podria ser la clau incrustada en un testimoni SecurID. Podria ser la clau privada d’una infraestructura PKI. El problema de tots aquests mètodes és que si algú descobreix el secret fix, la seguretat és obstruïda.

Vam pensar, com podem dissenyar un sistema on puguem seguir canviant les claus crucials de manera dinàmica i instantània, de manera transparent? Aquest era el repte que ens vam plantejar. Ens va costar molt de temps resoldre aquest repte i vam saber per què la gent només utilitzava claus fixes!.

Per explicar-ho amb termes molt senzills, hi ha tres raons per les quals és molt difícil canviar dinàmicament les claus i és per això que la gent no ho fa.

  1.   La primera i més important dificultat és que si envieu una instrucció per canviar una clau i no obteniu cap resposta, us queda un estat indeterminat. No sabeu si es van canviar o no les claus.
  2.   El segon problema és quan esteu en un diàleg per canviar les claus i verificar que s’han fet. Si, durant aquest diàleg, ambdues parts tenen un fracàs o un temps d’espera, com es pot recuperar i restaurar? Aquest és un problema clàssic d’actualitzacions dinàmiques.
  3.   La tercera categoria de problemes es refereix a una oportunitat d’amenaça. Suposem, doncs, que un atacant mirava el que estava passant mentre es feia aquest diàleg i va copiar les instruccions per canviar la clau. El que passa és que, en alguna data futura, aquell atacant s’interposarà entre el servidor i el client i tornarà a reproduir aquell antic comandament enregistrat. Tot el procés no es sincronitzaria, de manera que obtindreu una denegació de servei.

Per resoldre aquests problemes, es van necessitar quatre invents separats. Una d’aquestes invencions ha estat patentada per als EUA i per a la UE. Per tant, això significa que la metodologia bàsica està protegida per les patents. Però els altres tres invents els mantenim com a coneixement privat. Algú que només llegeixi la patent pot comprendre la metodologia, però no sabrà com implementar-la. 

A més, per demostrar a la gent que teníem una solució creïble, vam passar per un procés de certificació amb el GCHQ del Regne Unit, els experts en seguretat del govern del Regne Unit, per obtenir el nostre producte, CASQUE, certificat per utilitzar Secret. Com a resultat d’això, hem implementat diversos projectes personalitzats al Ministeri de Defensa del Regne Unit que utilitzen les capacitats CASQUE.

La següent fase va ser allunyar-se d’aquest treball de tipus personalitzat i fabricar un producte comercial que els clients podrien utilitzar “fora de caixa”. Això requeria integracions amb els principals fabricants de passarel·les de xarxa. CASQUE ha demostrat interfícies amb CISCO ASA, Fortinet Fortigate, Pulse Connect.

La integració més recent que hem fet és la plataforma Identity de codi obert produïda per WSO2. Recentment han estat lloats positivament per KuppingerCole, que ha qualificat la plataforma WSO2 Identity com un dels líders d’aquest segment de mercat.

Aquí tens una vista prèvia sobre el funcionament de Casque:

Com pot una empresa o organització aplicar la seva tecnologia per assegurar els seus actius?

La tecnologia compta amb components de programari i maquinari. Així, en termes de programari, subministrem dues llicències. El primer producte de programari permet al client inicialment poblar les fitxes amb un conjunt de claus. Aquests token són l’element del maquinari. Els subministrem de forma “buida” eficaçment perquè el client pugui configurar les seves pròpies claus i, per tant, nosaltres, com a fabricant, no tenim res a veure amb les claus, el que significa que no hi ha cap risc per a tercers. El token conté un xip segur i es pot realitzar en forma d’una targeta intel·ligent sense contacte.

L’altre producte de programari que proporcionem és el servidor d’autenticació. Aquest programari s’executa en una plataforma Windows o Linux i, per descomptat, es pot executar en una màquina virtual en una configuració de Cloud. 

A banda de connectar-se amb passarel·les específiques, CASQUE també es pot connectar a un marc Open ID Connect. Open ID Connect és una manera de fer la gestió de la identitat de manera federada. El més maco és que els serveis d’Amazon Web, Google Cloud, Microsoft Azure han adoptat Open ID Connect com a interfície per ampliar l’autenticació de múltiples factors. Així que bàsicament el que passa és:

  • Proveu i aneu a un recurs que es troba a Amazon Web Services.
  • Marqueu certes credencials com que necessiten autenticació d’identitat especial.
  • A continuació, ens envia la sol·licitud a Amazon Web Services.
  • Prenem el control del navegador i parlem amb el client.
  • Després del diàleg CASQUE, si està bé, avisarem a Amazon que aquest usuari s’hauria de permetre al recurs sol·licitat.
  • A més, també podem proporcionar més informació sobre l’autorització per permetre un accés més gran.

En termes de casos d’ús, està clar que aquest recent Coronavirus ha provocat que la gent es dediqui a treballar més a casa. És fantàstic fer els deures, et proporciona flexibilitat, ajuda a situar millor la vida social privada de les persones amb la vida laboral. Però, amb totes aquestes avantatges, hi ha riscos acompanyats de maltractament i atac.

Aquests atacs continuen passant. Per exemple, les darreres estadístiques diuen que es van produir més de 800 milions de registres de dades a tot el món el març del 2020. Aquest és un problema actual i en curs. El problema serà per què estan incomplint les dades? Hi ha algunes respostes evidents. Un d’ells és que aquestes tècniques d’autenticació a què feia referència són vulnerables. Com a resultat de la vulnerabilitat inherent, incita als atacants, com hem descobert recentment en el cas dels tokens suaus RSA pirateria xinesa. Es va tractar d’un conjunt d’infraccions que va publicar una consultora cibernètica holandesa i que ho he escrit a les meves publicacions de LinkedIn.

La vulnerabilitat inherent d’aquests mètodes d’autenticació té un altre risc indirecte, perquè el que passa és que els estrangers se senten confiats en filtrar informació perquè sempre poden culpar algú altre. Com que el nostre producte CASQUE no té claus arreglades, no hi ha res que un pirata informàtic descobreixi ni que un divulgador privilegiat pugui divulgar. Així doncs, tenim un gran element dissuasiu, eliminem l’excusa per denegar i rebutjar l’accés.

Diguem que una marca o una empresa vol planificar la seva estratègia de ciberseguretat. Quines són algunes coses que haurien de considerar?

Pensem que una bona estratègia és determinar primer quins són els actius de dades crucials que posseeix l’empresa. No és una pregunta senzilla. No es pot dir, oh, bé, és tot financer o és tota la nostra IP perquè realment no es tracta de quins són els actius crucials de la vostra empresa. La pregunta és si no teníeu accés a un recurs de dades concret, quin és el risc negatiu? Hi ha risc per a la reputació? Hi ha risc per a dificultats de funcionament i continuïtat? Què tan ràpidament es pot recuperar? Aquestes són les preguntes que cal fer i prioritzar. Si feu prou feines aquestes preguntes, aviat descobrireu exactament quines dades us ofereixen més dolor si us perdeu.

Per donar un exemple de per què això no és obvi, parlem amb un directiu de suite C d’una gran empresa farmacèutica. Ens va dir que, quan va fer aquest exercici, va resultar que només hi havia un petit subconjunt de dades que pensaven que eren rellevants, ja que tots els seus fàrmacs estaven en patents i estaven protegits o bé patents i genèrics. L’única cosa sobre la qual es van refer els paranys van ser els resultats de les proves dels seus fàrmacs actuals, ja que si es filtraven, els competidors sabrien i intentarien deixar-se fora. Així que de seguida podrien dir, es tracta dels recursos que necessiten protecció i hem d’obtenir la protecció més forta.

També heu de determinar qui ha d’accedir a les joies de la Corona de dades. Pot semblar una pregunta òbvia, però realment cal mirar-ho. Com que en molts casos, no són les dades individuals les que importen ni les persones que tenen accés a aquestes dades, el que és important és l’accés a les dades agregades, ja que és on rau el valor real..

Un cop hàgiu establert aquestes coses, podeu començar a buscar solucions adequades. Per tant, no hauríeu d’anar només a dir, anirem amb una mesura de seguretat a tota l’organització, perquè tal com us he explicat, diferents actius i diferents persones necessiten nivells de protecció diferents. Però el que t’obliga a fer és determinar quin mètode de seguretat és adequat per a quina classe d’usuaris. I això us permetrà revisar l’estructura informàtica existent i els privilegis operatius. Pot ser que la vostra arquitectura informàtica existent hagi de revisar-la.

Com creieu que afectarà COVID-19 a la vostra indústria?

Tot i que és difícil predir el futur, crec que l’actual crisi canviarà la manera de treballar de la gent perquè ha quedat clar que una gran part del treball es pot fer de manera flexible en diferents moments i a casa. Per tant, els empleats poden sentir-se capaços de tornar als seus empresaris i dir: mira, ha funcionat bé quan hem tingut aquesta pandèmia, per què no podem tenir algunes regles que ens permetin treballar d’una manera més flexible. Per tant, crec que hi haurà un impuls més gran per al treball remot i flexible com a conseqüència d’aquesta crisi.

Els patrocinadors responen com això respon. Podrien dir que realment necessitem tenir-vos enrere, treballant les hores adequades, perquè, en cas contrari, no podem gestionar realment les coses. O potser diuen que està bé, ha resultat útil. Podríem construir una estructura o un conjunt de pràctiques de treball diferents.

Per tant, crec que hi haurà efectes i que requerirà una revisió més gran de les mesures de seguretat. Com he comentat, treballar de manera flexible té riscos. L’augment d’ús del programari, ja sigui un programa de col·laboració o un programari de treball remot, proporcionarà àrees d’atac més grans a les persones que volen robar la propietat intel·lectual.

 Quines són algunes tendències o tecnologies interessants que espereu veure més durant els propers anys?

Bé, crec que hi ha els factors evidents que he esmentat, que tenen a veure amb la gestió de la identitat i els problemes d’allò adequat i allò que és realment segur. I aquí és on podem oferir solucions.

Crec que un dels grans riscos és que la gent es pugui animar a fer treballs entre iguals, de manera que si voleu parlar amb els vostres companys, podeu entrar i fer una sessió directament amb ells. Ara, això és un perill per a l’organització, perquè si l’organització té molts d’aquests intercanvis entre iguals, l’organització mateixa ha perdut el control perquè no sap què està passant. I si no sap què està passant, no ho pot controlar. Per tant, pot haver d’haver aquest principi que digui que si es tracta de les dades corporatives en les quals treballa, heu de passar pels servidors de la companyia. No podeu fer comunicacions entre iguals entre pares perquè no sabem què és el que esteu fent. No tenim cap registre. Si hi ha cap litigi, no podrem respondre amb facilitat.

Així, un cop hàgiu determinat quin és el subconjunt de dades crucials, haureu de pensar en gestionar-lo a través del centre de dades corporatiu. Aleshores, el següent conjunt de preguntes serà, quina plataforma utilitzem? Hi ha una gran quantitat de plataformes de col·laboració i de tipus de gestió de projectes, i han estat creixent recentment. El problema d’aquestes plataformes és que tenen una tendència a atrapar-lo dins del seu espai propietari perquè, un cop registrat, tothom s’ha d’inscriure a la plataforma de programari escollida. Així que la capacitat d’introduir la cadena de subministrament podria resultar difícil.

Per tant, pot haver-hi una manera compartida de forma més genèrica de treballar amb formats de dades i API compatibles per tal d’estendre aquestes plataformes fora de l’empresa, per exemple, a través de canals de subministrament primaris. És important tenir en compte que autoritzeu i identifiqueu els participants; pensem que la nostra capacitat d’identitat independent i federada hauria d’ajudar en aquest àmbit.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me