Pular para o conteúdo principal

Introdução

O GuardianKey Auth Bastion Enterprise é uma solução inovadora e robusta voltada à proteção avançada de acessos a sistemas web, especialmente projetada para ambientes corporativos, instituições governamentais e infraestruturas críticas, onde a segurança da autenticação é um fator essencial.

Sua principal proposta é fornecer uma camada de segurança adicional, baseada em autenticação multifator (MFA), sem a necessidade de realizar alterações no código-fonte do sistema protegido. Isso é viabilizado por meio de um bastião de autenticação, que atua como um proxy reverso inteligente entre o usuário e o sistema alvo.

A Problemática da Autenticação Tradicional

A autenticação baseada apenas em identificadores estáticos (como e-mail, CPF ou nome de usuário) e senhas tem se mostrado altamente vulnerável diante das ameaças cibernéticas modernas. Entre os principais riscos, destacam-se:

  • Phishing: ataque de engenharia social usado para enganar usuários e capturar credenciais.
  • Vazamento de credenciais: dados obtidos por invasores em incidentes anteriores são reutilizados para comprometer novos sistemas.
  • Ataques de força bruta e dicionário: automação de tentativas de login com diferentes combinações de senhas.
  • Man-in-the-Middle (MitM): interceptação das comunicações entre cliente e servidor.
  • Ataques de negação de serviço por autenticação: tentativas em massa de login sobrecarregam servidores, provocando indisponibilidade.
  • Sistemas legados: frequentemente utilizam autenticação em texto simples, hashing fraco ou padrões obsoletos, tornando-se alvos fáceis.

Segundo o relatório DBIR 2023 (Verizon Data Breach Investigations Report), 36% dos ataques bem-sucedidos envolveram técnicas de phishing. Isso evidencia a fragilidade dos modelos de autenticação tradicionais diante de ataques cada vez mais sofisticados.

Desafios na Adoção de MFA em Sistemas Legados

A autenticação multifator (MFA) tem sido fortemente recomendada por entidades como:

  • CTIR Gov/GSI
  • CIS Controls (TCU)
  • PCI DSS
  • MGI - Guia de Segurança da Informação

Entretanto, sua implementação enfrenta diversos obstáculos, especialmente em sistemas legados ou críticos, tais como:

  • Indisponibilidade do código-fonte para modificação.
  • Arquiteturas antigas e incompatibilidades com bibliotecas modernas.
  • Alto custo de adaptação, tanto técnico quanto financeiro.
  • Exigências regulatórias que impedem alterações no sistema original.
  • Experiência do usuário (UX) prejudicada, gerando resistência.
  • Gestão complexa de chaves MFA e armazenamento inseguro em bancos de dados de sistemas que já possuem vulnerabilidades.

Esses desafios criam barreiras significativas à adoção de mecanismos seguros de autenticação, especialmente em ambientes de missão crítica.

Principais Funcionalidades do GuardianKey Auth Bastion Enterprise

  • Implementação de MFA sem alteração de código, permite a implementação de segundo fator de autenticação em sistemas legados sem necessidade de reengenharia.
  • Integração com sistema OAuth2/OIDC de sistemas legados, permite a implementação de autenticação em sistema OAuth2/OIDC de sistemas legados, como o GovBR, sem a necessidade de reengenharia no sistema legado.

O Que o GuardianKey Auth Bastion Enterprise Resolve

O GuardianKey Auth Bastion Enterprise foi desenvolvido com o objetivo de superar as limitações mencionadas anteriormente. Sua arquitetura baseada em proxy reverso permite que ele atue como um "bastião de segurança", realizando a validação do segundo fator antes que o sistema original seja acessado. Dessa forma, o sistema protegido permanece inalterado.

Problemas que a solução resolve:

  • Implementação de MFA sem necessidade de alteração de código no sistema legado.
  • Validação do segundo fator antes da autenticação original, protegendo até mesmo contra ataques que visem o formulário de login.
  • Compatibilidade com sistemas legados e modernos.
  • Isolamento e gerenciamento externo das credenciais do segundo fator, evitando que a aplicação original tenha acesso ou armazene esses dados.
  • Flexibilidade no método de segundo fator, incluindo:
    • TOTP (Time-based One-Time Password)
    • Tokens por e-mail
    • Tokens por SMS
    • Integração com serviços externos de notificação
  • Redução dos riscos de phishing e ataques de força bruta.
  • Facilidade de integração com APIs de sistemas protegidos, para obtenção de e-mails ou identificadores.
  • Mecanismo de observação inteligente, que analisa a resposta de autenticação do sistema original, permitindo cadastrar o segundo fator dinamicamente.
  • Implementação de autenticação via OAuth2/OIDC em sistemas legados, permitindo a integração com o GovBR e outros sistemas que utilizam esses protocolos, sem necessidade de reengenharia.

Benefícios da Solução

  • 🔐 Segurança elevada com autenticação multifator antes do sistema original.
  • 🛠️ Sem necessidade de modificar código-fonte do sistema protegido.
  • ⚙️ Facilidade de implantação, ideal para ambientes críticos.
  • 🧩 Compatibilidade com sistemas heterogêneos e arquiteturas variadas.
  • 📉 Redução significativa do custo operacional na adoção de MFA.
  • 👤 Melhoria na experiência do usuário final, com interface clara e suporte a vários canais de autenticação.
  • 🌐 Escalabilidade corporativa, com possibilidade de uso em múltiplos sistemas a partir de uma mesma instância do bastião.

Conclusão

Diante da crescente complexidade e volume dos ataques cibernéticos, somada à dificuldade de adaptar sistemas antigos a padrões modernos de segurança, o GuardianKey Auth Bastion Enterprise se posiciona como uma solução estratégica, segura, eficiente e economicamente viável para garantir a integridade do processo de autenticação em qualquer ambiente.

A proposta de um bastião externo de autenticação, totalmente desacoplado da aplicação protegida, representa um avanço significativo na forma de aplicar o segundo fator em sistemas legados, permitindo sua adoção sem reengenharia e com máxima proteção.