GH GambleHub

Գոլորշի քաղաքականությունը և MFA

1) Նպատակներ և գործողությունների տարածք

Նպատակը 'նվազեցնել աշխատողների/գործընկերների և խաղացողների բանկային հաշիվների փոխզիջման ռիսկը, ապահովել անվտանգության ներքին ստանդարտներին և կարգավորողների պահանջներին։

Տե՛ ս 'բոլոր կորպորատիվ հաշիվները (SSO/IDP), admin վահանակները, հիբրիդային և KYC վահանակները, ծառայողական/բոտ հաշիվները, ինչպես նաև խաղացողների օգտագործողների հաշիվները։

2) Հիմնական սկզբունքները

Phishing-resistics-ը լռելյայն է 'FIDO2/Windows Authn no TOTP no Push/SMS/e-mail OTP (վերջինը հենց fallback)։

Leance Privilege + JIT: արտոնությունները տրվում են նվազագույն և ժամանակավորապես, MFA-ը պարտադիր է մրցույթի ժամանակ։

Passwords as loftres.ru: Passwords as lens.ru: Passwords as; արգելել «հիշարժան» կարճ գաղտնաբառերը։

Disby Live: MFA-ն միացված է լռելյայն; քննադատական գործողությունների համար 're-auth։

Observability: Բոլոր իրադարձությունները 2019/2019/Sbross - լսարանի ամսագրերում։

3) Գաղտնաբառերի/պարագաների պահանջները

3. 1 Աշխատակիցներ/հիվանդանոցներ

Ձևաչափը 'paspraza 2414 նիշ, թույլատրվում են օրինագծերը։ արգելված են «բարդության» պահանջները, փոխարենը արտահոսքի ստուգումը (have-I-been-pwned ոճը տեղական/API-hash-ի միջոցով)։

Վերաօգտագործումը 'վերջին 10-ի արգելքը, արտաքին ծառայությունների գաղտնաբառի արգելքը։

Ռոտացիան 'միայն փոխզիջման/ռիսկի դեպքում։ հարկադիր փոփոխությունը չի օգտագործվում (թույլ գաղտնաբառերի դեպքում)։

Պահեստավորում 'միայն գաղտնաբառերի կորպորատիվ ղեկավարությունում։ արգելել տեղական ֆայլերը/զննարկիչները MDM-2019-ից դուրս։

3. 2 Խաղացողներ

Առնվազն 10-12 նիշ կամ պասֆրազ գեներատոր; ուժի տեսողական ինդիկացիա; հանրաճանաչ գաղտնաբառերի ցուցակների բլոկը։

Միացրեք «ցույց տալ գաղտնաբառը» և «կառավարչի ներդրումը»։ մի պարտադրեք ոչ ստանդարտ սահմանափակումները (էմոջին/խորհրդանիշները կարող են)։

4) Հեշինգը և գաղտնիքները

Ալգորիթմը ՝ Argon2id (հիշողությունը 24256 MB, itrania 243, զուգահեռ թիվ 1); ենթադրենք bcrypt (cost 3612) որպես լեգասներ։

Աղը 'յուրահատուկ 16 + բայթ ձայնագրելու համար։ Պերեսը (pepper) 'համակարգային գաղտնիքը HSM/KFC-ում։

Նորարարություն 'Թեպասի Հեշիի մուտքի մոտ, թափանցիկ է «ընդհատել» ընթացիկ պրոֆիլին։

Ծառայության բանալիները/API-հոսանքները ՝ ոչ թե «գաղտնաբառեր», կառավարել գաղտնի մենեջերի միջոցով, հեռացնել ժամանակացույցով և պատահականներով։

5) MFA 'գործոններ և գերակայություններ

ԳործոնՖիշինգի դիմադրությունըՈրտե՞ ղ կիրառել
FIDO2/Windows Authn (բանալիներ, TouchID/Windows Hello)բարձր/ Aleksands, high-risk վիրահատություն խաղացողների մոտ
TOTP (RFC 6238)միջին միջինաշխատակիցները և խաղացողները (հիմնական fallback)
Push (հաստատումը խմբագրությունում)միջին միջինաշխատակիցներ/խաղացողներ; պաշտպանվել MFA-fatigue-ից (rate-limit, numant-match)
SMS/e-mail OTPցածր էհենց այն ժամանակ, երբ սարքը կորցնում է և low-risk-ի համար

Անպայման

պահուստային backup-2019 (10 հատ, միանգամյա), օֆլինի պահեստավորում։

MFA-enforca.ru: Ադմինի հասանելի և հիբրիդային գործողությունների համար առանց բացառությունների։

Number-matching-ը push-ում, արգելքը «մեկ սեղմումով համաձայն»։

6) Նստաշրջանների քաղաքականությունը և re-auth-ը

Տևողությունը ՝ 12 ժամ (ինտերակտիվ), ադմինի վահանակը 8 ժամ, կրիտիկական վահանակները 4 ժամ

Idle timeout: 15-30 րոպե վերանորոգման համար։

Re-auth-ը MFA-ից 'վճարելիս/փոփոխելով en-mail/MFA/tokens API-ը։

Device binding: MDM/գրանցված սարք աշխատողների համար; խաղացողների համար վստահելի սարքերի հիշումն է ռիսկի գնահատմամբ։

7) Պաշտպանություն հարձակումներից վավերացման համար

Credential stuffing: IP/device/user-based rate-limits, պաշտպանիչ ուշացումներ, վարքագծային վերլուծություն, կորցրած գաղտնաբառերի ստուգում։

Brance force: առաջադեմ ուշացումներ/գլխարկ N անհաջողություններից հետո։ փափուկ կողպեքներ (ժամանակավոր), առանց խաղացողների համար երկար կout։

Password spraying 'անոմալիաների դետեկտիվ (շատ հաշիվներ մեկ գաղտնաբառով)։

MFA-fatigue: push հարցումների սահմանը, numme-match, օգտագործողի ծանուցումները։

Bot/anti-automation: Windows Authn-ը, վարքագծային ազդանշանները, TIM-ամրագրումը, mTSA-ը admin-2019-ի համար։

8) Ընթացակարգեր (SOP)

8. 1 Onbording աշխատակից

1. SSO հաշիվը SCERT-ի միջոցով;

2. FIDO2 ստեղնը (առնվազն 2: հիմնական + պահեստային) և TOTP;

3. գաղտնաբառի կառավարչի տեղադրումը;

4. Ուսուցման ապացույց (ֆիշինգ, MFA)։

8. 2 Սարքի կորուստ/MFA

1. Պորտալի միջոցով ինքնահրկիզումն իրականացվում է նստաշրջանների ժամանակավոր արգելափակմամբ։

2. փաստարկները ըստ փաստաթղթերի + հաստատումը առաջնորդի միջոցով;

3. նոր գործոնների արտադրություն;

4. ամսագրի հաշիվը 30 օրվա ընթացքում։

8. 3 Break-glass (վթարային մուտք)

Միայն վերականգնման համար։ գործոնը 'HSM-պահված վարպետության-տոկենը + երկրորդ պնդումը; ժամանակը 30 րոպե է; նստաշրջանի ամբողջական ձայնագրությունը. Հետպատերազմյան Pro + DPO։

8. 4 Գաղտնաբառ խաղացող

Ջրանցք ՝ e-mail/հեռախոսը, միանվագ հղումը 3,15 րոպե; հավաքումից հետո 'MFA-ի պարտադիր կարգավորում հաջորդ մուտքի մոտ (փափուկ հարկադրանք բոնուսով/մոտիվացիայով)։

9) Կանոններ տարբեր կատեգորիաների համար

9. 1 Աշխատակիցներ/գողերներ

Պարտական է System Authn + TOTP; SMS-MFA-ի արգելքը։

Admink հասանելիությունը միայն MDM սարքերից/corp-MSN-ից; JIT-ը արտոնությունների բարձրացման ժամանակ։

Տեղական «ընդհանուր» հաշիվների արգելքը։ միայն անվանված են։

9. 2 Խաղացողներ

MFA փափուկ հարկադիր 'մոտիվացիոն բանկերներ, բոնուսներ արտասահմանում։ կոշտ 'high-risk (վճարումներ/ավելցուկների փոփոխություն)։

Հասանելիության աջակցություն 'հիմնական արտահայտություններ/էկրանի հաշվիչներ, fallback ալիքներ։

9. 3 Ծառայողական հաշիվներ/API

Առանց գաղտնաբառերի, միայն փոխադարձ վավերացում (mTSA, OIDC client-creds, վեբհուկի ստորագրություն)։

Գաղտնիք մենեջերի բանալիները։ ռոտացիա և աուդիտ։

10) Ինտեգրումը IdP/SSO հետ

Կենտրոնական IDP (OIDC/SAML); Խումբը կապված է դերերի հետ (RBAC as code)։

Adaptive MFA 'ուժեղացնել ռիսկային ազդանշանների գործոնները (գեո/նոր սարք/անոմալիա)։

SCSA-projizening/de-prozhening; www.boarding 3515 րոպե հեռացումից հետո։

11) Ժուրալացում և աուդիտ

События (аудит-обязательные): `LOGIN_SUCCESS/FAIL`, `MFA_ENROLL/VERIFY/FAIL`, `PASSWORD_RESET_REQUEST/COMPLETE`, `MFA_RESET`, `DEVICE_TRUST_ADD/REMOVE`, `BREAK_GLASS_START/END`, `ADMIN_LOGIN`, `RISK_UPGRADE`, `TOKEN_ISSUE/REVOKE`.

WORM-ի պատճենը, ստորագրությունը/հեշ շղթաները։ կապում է «trace _ id», «actor _ id», «purpose»։

12) Մետրիկի և KPI/KRI

MFA adoption (աշխատակիցներ): 100 տոկոսը Intel Authn, 100 տոկոսը TOTP որպես պահուստ։

MFA adoption (խաղացողներ): 3630-50 տոկոսը 6 մես (կախված շուկայից)։

Compromised logins: 0; պարագծի վրա արգելափակված գաղտնաբառերի հետ փորձերի մասնաբաժինը 100 տոկոսն է։

Avg time to offboard: ≤ 15 мин.
Push fatigue alerts/1000 MAU: ↓ MoM.

Password reset success rate: 3598 տոկոսը առանց կոշիկի դիմելու։

Re-auth coverage: 100 տոկոսը high-risk վիրահատության համար։

13) Քաղաքական (բեկորներ) օրինակներ

13. 1 Երկարության և արտահոսքի ստուգման քաղաքականությունը (կեղծ-YAML)

yaml password:
min_length: 14 allow_spaces: true banned_lists:
- top100k_common
- organization_keywords breach_check: enabled  # k-anonymity lookup rotation: on_compromise_only

13. 2 MFA-enforsment

yaml mfa:
required_roles:
- admin
- payments
- aml
- kyc required_factors:
- webauthn fallback:
- totp disallowed:
- sms

13. 3 Re-auth զգայուն գործողությունների համար

yaml reauth:
actions:
- change_payout_details
- approve_withdrawal
- change_email
- manage_mfa ttl_minutes: 5

14) Փոխկապակցվածությունը այլ վերահսկողության հետ

RBAC/ABAC/SoD: MFA-ը պարտադիր է դերերի, JIT վերելակների և «APROVE _» գործողությունների ժամանակ։

Ամսագրերը և լոգոները. Տե՛ ս «Լսարանի ամսագրերը և մուտքի հետքերը», «Լոգարանների պահպանման քաղաքականությունը»։

Միջադեպերը 'փոխզիջման կասկածելիս' չարտոնված password + token reset, նստաշրջանների վերանայումը, ֆորենզիկան (տե՛ ս «Տվյալների արտահոսքի ընթացակարգերը»)։

15) Չեկ թերթերը

Նախքան ֆորումը

  • Authn-ն ներառված է, TOTP-ն որպես պահուստ, backup-2019-ը արտադրվում է։
  • Գաղտնաբառերի և լեքսիկական ցուցակների ստուգում։
  • Rate-limits-ը և պաշտպանությունը credential stuffing-ից։
  • Re-auth զգայուն վիրահատությունների համար։
  • Լոգա/աուդիտ և ալտերտեր SIEM-ում։

Եժեքվարտալ

  • MFA-ընդունման վերլուծաբան; A/B մոտիվատորներ խաղացողների համար։
  • Push հոգնածության քաղաքական գործիչը։
  • Ծառայողական ինստիտուտների լուծարումը, պղպեղի ստուգումը/KFC։
  • Ուսմունքներ ՝ FIDO2 ստեղնաշարի կորուստ, TOTP, break-glass։

16) Իրականացման ճանապարհային քարտեզը

Շաբաթները 1-2 'կոդավորման աուդիտ, միացրեք DirecTauthn և TOTP-ը, տեղադրեք breach-4k-ը, նորարարեք գաղտնաբառերի քաղաքականությունը (պասֆազներ)։

Շաբաթներ 3-4 'ներդնել re-auth high-risk, number-matching push, SIEM-alerts; FIDO2 բաժանել աշխատողների բանալիները։

Մեկ ամիս 2: հարմարվողական MFA (ռիսկի ազդանշաններ), գաղտնաբառերի ամբողջական կառավարիչ, wwww.f-wwww.ru, backup-2019 պորտալը։

Մեկ ամիս 3 +: A/B առաջխաղացումը MFA խաղացողներին, պարբերական ուսուցումները, UX-ի օպտիմիզացումը և MFA-fatigue նվազումը, KPI հաշվետվությունների ավտոմատիզացումը։

TL; DR

Ուժեղ վավերացում = SysteAuthn (պարտադիր) + TOTP (պահուստային) + re-auth ռիսկային գործողությունների համար, պաշտպանություն stuffing/brant, հուսալի hashing (Argon2id), գաղտնաբառերի մենեջեր և յուրաքանչյուր հաճախորդի աուդիտ։ Սա նվազեցնում է հաշիվների փոխզիջումը, պարզեցնում է պահանջների համապատասխանությունը և գրեթե UX-ի հետքը, եթե ճիշտ անենք։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Telegram
@Gamble_GC
Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։