ПАК MFASOFT Secure Authentication Server получил сертификат ФСТЭК России

Екатерина Быстрова 23 Сентября 2024 - 21:52

Корпорации

МСофт

Системы аутентификации

Токены и устройства аутентификации

Карты доступа

Биометрические системы аутентификации

Системы управления аутентификацией

...

ПАК MFASOFT Secure Authentication Server получил сертификат ФСТЭК России

Компания MFASOFT (ООО «СИС разработка») сообщает о получении сертификата ФСТЭК России на программный комплекс Secure Authentication Server для двухфакторной аутентификации в корпоративной среде.

Продукт получил сертификат на соответствие требованиям безопасности информации по 4 уровню доверия и техническим условиям. Это первый отечественный продукт такого класса, реализующий принцип многоуровневой мультиарендности (multi-tier multi-tenant).

Secure Authentication Server (SAS) — это программный комплекс для аутентификации по одноразовым паролям, которые формируются на стороне пользователя генераторами (токенами) различных типов (аппаратными и программными) или передаются ему по отдельным каналам (электронной почте, корпоративным мессенджерам и т. д.).

Главное назначение продукта — внедрение централизованного корпоративного решения для двухфакторной аутентификации пользователей в различных приложениях, включая настольные операционные системы, веб-приложения, виртуальные частные сети, серверы виртуальных рабочих столов.

Многоуровневая мультиарендная (multi-tier multi-tenant) архитектура Secure Authentication Server позволяет определять на одном экземпляре решения автономные виртуальные серверы аутентификации и распределять между ними пользователей и токены в соответствии с организационной структурой предприятия и его внешними связями. Для каждого из этих виртуальных серверов можно задать свой набор целевых ресурсов и свои политики безопасности. Полные права управления виртуальными серверами (в том числе возможность создавать новые виртуальные серверы) можно делегировать сотрудникам своей и внешних организаций.

«Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» утверждены приказом ФСТЭК России от 2 июня 2020 г. № 76. Они предусматривают функциональное тестирование, испытания по выявлению уязвимостей и недекларированных возможностей, а также проведение анализа скрытых каналов в средствах защиты информации. С 1 января 2021 года ФСТЭК России требует применять только их при сертификации объектов оценки.

Продукт получил сертификат ФСТЭК России на соответствие требованиям, установленным в документе «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» по 4 уровню доверия и требованиям технических условий. Secure Authentication Server стал первым в своем классе продуктом с поддержкой многоуровневой мультиарендности, сертифицированным по этим требованиям.

Сертификат ФСТЭК России № 4851 действителен до 20 сентября 2029 года. Это означает, что владельцы государственных информационных систем, систем обработки персональных данных и значимых объектов критической информационной инфраструктуры смогут включать этот программный продукт в проекты с длительным циклом внедрения и сопровождения для построения информационных систем до 1 класса включительно.

«Защита учетных записей — основа информационной безопасности. Поэтому мы уверены, что сертифицированная версия нашего продукта найдет свое применение в федеральных органах государственной власти, частных компаниях и ведущих облачных провайдерах, аттестующих свои системы в соответствии с требованиями регулятора. Успешное завершение сертификации Secure Authentication Server — это важное достижение, плод совместных усилий всех участников этого процесса и, конечно, признание компетенций MFASOFT», — пояснил генеральный директор компании MFASOFT Сергей Груданов.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Яков Шпунт 23 Января 2026 - 10:53

Уязвимости программ Домашние пользователи

В 100 приложениях для знакомств оказалось около 2000 уязвимостей

Исследование ста приложений для знакомств — как российских, так и зарубежных — показало тревожную картину: в них обнаружено почти 2000 уязвимостей, причём 17% из них относятся к критическим. Анализ провела компания AppSec Solutions.

Результаты исследования приводят «Ведомости». Как пояснил изданию руководитель отдела анализа защищённости AppSec Solutions Никита Пинаев, ещё 23% выявленных уязвимостей имеют средний уровень критичности, а 14% — низкий.

Оставшиеся проблемы относятся к категории Info либо представляют собой организационные, сетевые, логические и другие ошибки.

Наиболее распространённой критической проблемой, по словам Никиты Пинаева, стало хранение чувствительных данных непосредственно в исходном коде — такую ошибку выявили в 22 приложениях.

В ещё 46 случаях идентификационные данные, включая логины, пароли и токены, передавались в открытом виде. В 12 приложениях уязвимости были связаны с ошибками аутентификации и управления сессиями, а в 40 — с некорректной настройкой или работой облачных сервисов.

Мобильный разработчик компании EvApps Андрей Соболевский отметил в комментарии для «Ведомостей», что в среднем в одном мобильном приложении насчитывается от 20 до 30 уязвимостей. Чаще всего они связаны с небезопасным хранением данных, слабыми механизмами идентификации и аутентификации пользователей, а также с SQL-инъекциями.

По словам руководителя отдела операционной поддержки платформы Solar appScreener ГК «Солар» Антона Прокофьева, уязвимости мобильных приложений носят типовой характер и практически не зависят от отрасли. Основные причины — отсутствие проверок на этапе разработки и использование непроверенных компонентов с открытым исходным кодом.

Руководитель разработки PT Maze в Positive Technologies Николай Анисеня добавил, что применение средств, затрудняющих реверс-инжиниринг, позволило бы сократить количество выявляемых уязвимостей примерно на 40%, а в отдельных категориях приложений — даже вдвое.

Антон Прокофьев также отметил, что в приложениях массовых сервисов — к которым, помимо дейтинга, относятся доставка еды, онлайн-магазины и аптечные сервисы — чаще всего встречаются пять категорий уязвимостей:

Обращение к DNS, позволяющее злоумышленникам перенаправлять запросы на сторонние ресурсы.
Небезопасная рефлексия, создающая возможность запуска произвольного кода.
Ошибки в реализации протоколов шифрования.
Использование слабых алгоритмов хеширования.
Применение незащищённых протоколов обмена данными.

Подобные уязвимости встречаются в трёх из четырёх приложений и открывают возможности для атак типа MITM («человек посередине»), при которых злоумышленник внедряется в канал связи. Это, в свою очередь, чревато утечками пользовательских данных.

Архитектор информационной безопасности UserGate uFactor Дмитрий Овчинников отметил, что одна из главных опасностей таких атак — их незаметность для пользователей. При этом злоумышленники могут не только похищать данные, но и получать доступ к скрытому функционалу приложений, а затем использовать эту информацию в других, в том числе таргетированных атаках. Инженер ИБ компании «Спикател» Владимир Иванов также предупредил, что, например, сталкеры могут использовать функции дейтинговых приложений для слежки за пользователями.

Всего, по данным AppSec Solutions, уязвимости присутствуют в 70% мобильных приложений. Злоумышленники активно используют их для монетизации доступа — через фишинг, масштабирование массовых атак, выманивание денег за несуществующие услуги, а также злоупотребление чужими счетами и платными подписками.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »