OpenText Advanced Authentication (dawniej NetIQ Advanced Authentication) zyskał nowy, dodatkowo licencjonowany moduł odpowiedzialny za tzw. authentication risk scoring. Ponieważ część naszych klientów korzysta już z NetIQ Advanced Authentication, postanowiliśmy przetestować moduł i sprawdzić, jakie realne korzyści może przynieść w środowisku produkcyjnym.
Poniżej przedstawiamy krótkie podsumowanie testów oraz najważniejsze funkcjonalności modułu Risk, które warto znać.
Czym jest moduł Risk?
Moduł Risk w Advanced Authentication to element rozszerzający klasyczne MFA o mechanizmy oceny ryzyka logowania.
W praktyce oznacza to, że system analizuje kontekst logowania użytkownika i na tej podstawie podejmuje decyzję o:
- dopuszczeniu logowania,
- wymuszeniu dodatkowego składnika uwierzytelnienia,
- lub całkowitym zablokowaniu próby.
Moduł jest licencjonowany oddzielnie co OpenText jasno wskazuje w dokumentacji konfiguracyjnej. Jest to więc funkcjonalność opcjonalna, przeznaczona głównie dla środowisk, które potrzebują adaptacyjnego MFA lub chcą zbliżyć się do polityki „zero trust”.
Wnioski z testów (praktyczne zastosowania)
W ramach naszych testów sprawdziliśmy najczęściej stosowane scenariusze oceny ryzyka.
Najbardziej użyteczne okazały się trzy reguły:
Godzina logowania użytkownika
System może wykrywać logowania w nietypowych godzinach, np. po zakończeniu standardowego czasu pracy. Przy takiej próbie może:
- wymusić dodatkowy składnik MFA,
- oznaczyć logowanie jako ryzykowne,
- lub zablokować je zgodnie z polityką.
To jedna z najbardziej praktycznych funkcji, szczególnie w środowiskach, gdzie większość logowań odbywa się w powtarzalnych godzinach. Niewątpliwie może to podnieść poziom bezpieczeństwa i jest zgodne z polityką “zero trust”.
Adres IP i logowanie spoza zaufanej sieci
Moduł pozwala definiować zaufane zakresy IP. Logowanie spoza tego zakresu automatycznie podnosi poziom ryzyka i może wymuszać dodatkowe sprawdzenia osobnika.
To dobry mechanizm ochrony w przypadku pracy hybrydowej lub sytuacji, w której użytkownik korzysta z nieautoryzowanej sieci.
Niestandardowy klient przeglądarki / nagłówki HTTP
Choć mniej istotne na co dzień, mechanizm może wykrywać próby logowania z nietypowych przeglądarek lub niestandardowych nagłówków HTTP. Jest to scenariusz bardziej pomocny w środowiskach o wysokim poziomie ochrony lub tam, gdzie istnieją obostrzenia dotyczące urządzeń klienckich.
Wdrożenie MFA nie musi być skomplikowane ani drogie. Pomożemy Ci dobrać najlepsze rozwiązanie
Dodatkowe możliwości modułu
Oprócz wymienionych wyżej funkcji moduł Risk umożliwia również:
- ocenę ryzyka na podstawie lokalizacji geograficznej,
- analizę plików cookie i parametrów urządzenia,
- wykrywanie zachowań odbiegających od wzorca aktywności użytkownika,
- nadawanie użytkownikom profili ryzyka (np. standardowy, wysoki, uprzywilejowany),
- tworzenie własnych reguł opartych o dowolną kombinację wskaźników.
W połączeniu z klasycznym MFA daje to możliwość budowania tzw. adaptive authentication, czyli uwierzytelniania dostosowanego do sytuacji.
Dla kogo moduł ma sens?
Z naszej perspektywy moduł jest najbardziej przydatny:
- w organizacjach o rozproszonym dostępie,
- w środowiskach, gdzie działa wielu administratorów,
- tam, gdzie dostęp odbywa się spoza biura,
- w systemach krytycznych dla biznesu,
- w strukturach, gdzie polityka bezpieczeństwa zakłada prewencyjne blokowanie nietypowych zdarzeń.
Jeśli środowisko jest małe, o stałej puli IP i powtarzalnym modelu dostępu, część funkcji może być nadmiarowa.
Podsumowanie
Moduł Risk dla OpenText Advanced Authentication to narzędzie, które rozszerza MFA o analizę kontekstową.
W praktyce daje to:
- większą kontrolę nad nietypowymi logowaniami,
- możliwość blokowania podejrzanych prób przed pojawieniem się alertów w SIEM,
- lepsze dopasowanie poziomu uwierzytelnienia do realnego ryzyka.
Ponieważ moduł jest dodatkowo licencjonowany, warto jasno określić, czy wnosi on wartość do środowiska danego klienta. W wielu przypadkach szczególnie w systemach krytycznych, taka analiza ma sens.
Jeśli chcieliby Państwo przetestować konkretne scenariusze lub sprawdzić wpływ modułu Risk na istniejącą infrastrukturę, wyślijcie do nas wiadomość w formularzu poniżej.
