Top.Mail.Ru
#ИНТЕГРАЦИЯ #КЕЙСЫ

Многофакторная аутентификация в компании: как внедрить MFA без сбоев для сотрудников

Компания-клиент (название компании-клиента скрыто по соглашению о неразглашении, отрасль: финансовый лизинг, 350 сотрудников) зафиксировала 12 атак на учётные записи за год. Аудит показал 60% слабых паролей. Внедрение многофакторной аутентификации Multifactor требовалось без сбоев для персонала.

Зачем компании потребовалась многофакторная аутентификация

Парольная защита исчерпала себя. За год – два брутфорса RDP и одна утечка хешей. Компания обязана соблюдать 152-ФЗ и требования ФСТЭК для ИСПДН категории 2. Аттестация выявила отсутствие второго фактора при удалённом доступе к VPN и внутренним приложениям. Многофакторная аутентификация снижает риск доступа на 99,9% (Verizon DBIR 2024). Для компании это защита данных – стоимость утечки 500 записей составляет 4 млн рублей.

Требовался контроль 15 администраторов с правами на критические серверы. Инфраструктура: AD 2019, Cisco ASA 5520, Exchange 2016. Multifactor выбран за сертификат ФСТЭК и поддержку RADIUS, LDAP, SAML 2.0. Цена лицензии – 3900 руб./год на пользователя, вдвое дешевле импорта. Подготовка: тестовый стенд на VMware ESXi 7.0 (4 vCPU, 8 ГБ RAM), PostgreSQL 13. 100 запросов RADIUS дали отклик 42 мс, отказов нет. Дополнительно проведен анализ уязвимостей существующей инфраструктуры, который подтвердил необходимость внедрения MFA на всех точках входа.

Риски паролей и требования к защите данных

Три главных риска: повтор паролей (45% сотрудников используют те же комбинации, что и на сторонних сайтах), перехват по Wi-Fi (атаки MITM), бумажки с паролями. Для ИС с персональными данными и банковскими реквизитами это неприемлемо. Требования к защите данных: двухфакторная проверка всех удалённых подключений, TOTP-код на 30 секунд (RFC 6238), отзыв сессии, логирование IP и времени.

Без MFA компания не продлила бы лицензию ФСТЭК. Частота атак на парольные шлюзы – 3 попытки в минуту на публичный IP. Multifactor закрывает риски через push, TOTP, SMS и аппаратные токены eToken 3500 (ресурс 5 лет). Система позволяет настроить доверенные сети и fallback. Политика безопасности компании также потребовала шифрования всех логов аутентификации по ГОСТ 28147-89.

Задача: внедрить MFA без сбоев для сотрудников

Нулевой downtime – императив. Любой сбой >2 минут остановил бы фронт-офис (70 человек в CRM). Требовалось сохранить время входа ≤15 секунд на шаг. Multifactor обеспечивает резервные методы: push-уведомления, TOTP, SMS, eToken. Сотрудники – максимум 2 минуты инструктажа. 80 удалённых сотрудников через VPN с ноутбуков не в домене – нужна аутентификация на Cisco ASA до входа в AD.

Кластер из двух серверов Multifactor с PostgreSQL: переключение за 3 секунды. Пилотная группа (50 чел.) не должна дать >5% обращений в техподдержку. Результат пилота: 4% ошиблись при вводе, сбоев нет, 7 обращений за 10 дней. Для минимизации отказов был настроен автоматический сбор метрик времени отклика через Zabbix. Ниже таблица параметров безопасности до и после MFA в компании:

Параметр

До MFA (только пароль)

После внедрения Multifactor

Время взлома учётной записи (брутфорс)

4 минуты

>100 лет (6-значный код)

Успешность фишинга (симуляция)

34%

0,2% (реальные данные)

Восстановление при утере пароля

15 минут (звонок админу)

2 минуты (резервные коды)

Обращений в ИТ-поддержку на 100 чел./мес

12

3

Выбор Multifactor и подготовка к внедрению

Из пяти вендоров (Dionis, SecretNet, AxoTech, Cisco DUO, Okta) выбрали Multifactor — российское решение класса MFA. Внедрение выполнено командой Zerobit — официальным дистрибьютором и партнёром решения в России с использованием сертифицированного продукта. Причины: сертификат ФСТЭК до 2 класса, работа без интернета, полная замена импорта. Подготовка: два виртуальных сервера (VMware ESXi 7.0, 4 vCPU, 8 ГБ RAM), PostgreSQL 13. Тест 100 одновременных RADIUS-запросов: 42 мс средний, 89 мс максимум, отказов нет. На реальном Cisco ASA 5520 с 350 пользователями подтверждена совместимость.

Fallback-режим: при недоступности сервера Multifactor (три потерянных пинга) шлюз пропускает только по паролю с критическим логом. Также настроена синхронизация групп AD через LDAPS (обновление каждые 15 минут). Доверенные сети: офисная подсеть 192.168.0.0/23 – MFA раз в 12 часов, извне – при каждом входе. Лицензирование выбрали по модели Subscription на 3 года с возможностью ежегодной пролонгации.

Критерии выбора: интеграция с рабочей инфраструктурой

Ключевые критерии: бесшовная интеграция без замены оборудования. Multifactor обеспечила прозрачную подмену RADIUS-сервера – на Cisco ASA изменён только IP вторичного сервера. Поддержка LDAPS для синхронизации групп безопасности. Плагин для Microsoft RD Web Access. Логирование в SIEM (ArcSight) через Syslog (порт 514).

Три роли администраторов: аудитор (просмотр логов), оператор (изменение политик), суперадмин (полный доступ). Интеграция с Exchange 2016 для отправки одноразовых кодов на почту – время доставки ≤5 секунд. Восстановление доступа — через резервные коды или смену второго фактора администратором Zerobit. Multifactor также поддерживает аппаратные токены eToken 3500 (TOTP/HOTP) и мобильные приложения для iOS/Android. Настройка политик доступа по времени суток, геолокации, группе AD. В качестве резервного канала использовали SMS-шлюз через локального оператора связи.

Пилотная группа и настройка политик доступа

Пилот – 50 человек (ИТ, безопасность, бухгалтерия, удалённые менеджеры), 10 рабочих дней. Через веб-консоль Multifactor созданы три профиля: «Офис» (push, повтор через 24 часа), «Удалёнка» (TOTP при каждой аутентификации), «Администраторы» (пароль + eToken + отпечаток). Параметры: код на 30 секунд, 3 попытки, блокировка на 15 минут.

Для пользователей без смартфонов – eToken 3500. Результаты пилота: время входа выросло с 8 до 11 секунд, 4% ошиблись в коде, сбоев нет. Техподдержка получила 7 обращений (установка приложения на Android 8). В пилотной группе дополнительно протестировали режим офлайн-аутентификации при разрыве связи с корпоративным сервером. После пилота была скорректирована инструкция: скриншоты для iOS/Android, резервные коды в личном кабинете.

Внедрение MFA и итоги проекта

Поэтапное развёртывание на 350 пользователей: неделя 1 – ИТ (20), неделя 2 – бухгалтерия и HR (60), неделя 3 – продажи (120), неделя 4 – производство и склад (150). На каждом этапе fallback-режим 48 часов: при проблемах с MFA вход по паролю с уведомлением админа. Зафиксировано 2 кратковременных сбоя сети (потеря пакетов 30%), но сервер Multifactor в ЦОД оставался доступен. Зарегистрированы 100% сотрудников.

Пиковая нагрузка: понедельник 9 утра, 280 одновременных запросов, отклик 0,3 секунды, отказов нет. Трое курьеров без смартфонов получили токены, 12 Linux-пользователей использовали oathtool. Проект завершён с экономией 1,2 млн рублей по сравнению с закупкой импортного решения Cisco DUO.

Поэтапный запуск для всех сотрудников

Четыре шага запуска. Первый: регистрация устройств – ссылка на почту, установка Multifactor Authenticator, привязка по QR-коду. Второй: интеграция с VPN – на Cisco ASA добавлен RADIUS-сервер Multifactor как основной (приоритет 1), параметр authentication-server-group MFA для туннельной группы. Третий: распространение политик через GPO для RD Web и Outlook Anywhere.
Четвёртый: финализация – отключение fallback, обязательная MFA для всех внешних подключений.

За месяц – 100% регистрация. Процесс занял 4 недели без сбоев. Время аутентификации в пике не превысило 12 секунд. Ни одного отказа в доступе из-за перегрузки сервера. На этапе финализации дополнительно настроена автоматическая отправка push-уведомлений при подозрительном входе с нового устройства.

Отсутствие сбоев и адаптация персонала

За три месяца эксплуатации – ноль сбоев сервера Multifactor. Дважды задержка push (до 15 секунд) из-за оператора – сотрудники перешли на ручной ввод TOTP. Адаптация: 96% пользователей оценили процесс как удобный. ИТ-поддержка: 3 обращения в день на первой неделе, к концу месяца – 0,5.

Самый частый вопрос – генерация резервных кодов. Отражена попытка взлома учётной записи финдиректора: пароль подобран по словарю, но без одноразового кода доступ заблокирован после трёх попыток. Без MFA – утечка конфиденциальных данных. Для новых сотрудников процесс регистрации в MFA теперь встроен в стандартный онбординг и занимает не более 3 минут.
Компания внедрила многофакторную аутентификацию Multifactor без сбоев, используя пилот, fallback и аппаратные токены. Уровень защиты вырос на 99,9%, время доступа – плюс 3 секунды. Так, Zerobit проведёт ваш проект от пилота до полного развёртывания.
Закажите консультацию по BI-аналитике прямо сейчас!
Оставьте свои контакты, и мы оперативно свяжемся с вами!
Нажимая на кнопку "Отправить", вы соглашаетесь c Политикой обработки персональных данных.
НОВОЕ В НАШЕМ БЛОГЕ