Перейти к содержанию
AM_Bot

Обзор рынка сервисов повышения осведомленности по ИБ (Security Awareness)

Recommended Posts

AM_Bot
Обзор рынка сервисов повышения осведомленности по ИБ (Security Awareness)
Знаменитое изречение «Предупрежден — значит вооружен» в современном мире информационных технологий можно перефразировать в «Осведомлен — значит защищен». Рассмотрим рынок услуг повышения осведомленности в вопросах информационной безопасности, или Security Awareness, разберемся в проблемах осведомленности в зарубежном и отечественном законодательстве и примерах мировой и отечественной практике по сервисам Security Awareness.  ВведениеЧто такое Security AwarenessМировая практика по Security Awareness3.1. Вопросы осведомленности в международных стандартах3.2. Вопросы осведомленности в Евросоюзе3.3. Вопросы осведомленности в СШАРоссийская практика по Security AwarenessКраткий обзор сервисов Security Awareness в России5.1. Kaspersky Security Awareness5.2. Phishman Awareness Center5.3. «Антифишинг» — система обучения и контроля защищенности сотрудников5.4. UBS Security Awareness Platform5.5. Syssoft Security Awareness5.6. Deteact AwarenessВыводы ВведениеВ современном мире телекоммуникационных технологий работники во всех сферах деятельности должны обладать знаниями не только в рамках своих производственных процессов, но и обязательно обладать знаниями и умениями, связанными с обеспечением ИБ. Это обусловлено как требованиями законодательства Российской Федерации, нормативными правовыми актами, международными и отечественными стандартами и внутренними документами организации, так и просто одним из негласных правил безопасности — обеспечить безопасность важной для организации информации.Однако ситуация уже много лет не меняется — основной причиной большинства инцидентов ИБ остается рядовой пользователь. Чаще всего причиной возникновения их является халатность, невнимательность и простое незнание основных принципов обеспечения ИБ.Даже если вы внедрите самые современные и самые дорогие подсистемы обеспечения информационной безопасности, а ваш персонал по-прежнему не знает и не выполняет основные правила обеспечения ИБ, организация будет подвержена угрозам.Для решения такой проблемы необходимо повышать осведомленность, обучать и формировать навыки в области обеспечения ИБ. И начинать все это необходимо с руководства организации.В рамках статьи мы постараемся рассмотреть, что же представляет собой процесс осведомленности в области безопасности, или Security Awareness, зачем это нужно, а также какова ситуация на мировом и отечественном рынке в данной сфере. Что такое Security AwarenessСамо словосочетание Security Awareness, или повышение осведомленности в вопросах безопасности, вошло в обиход совсем недавно. Все начиналось с простого и понятного обучения персонала и его тестирования. Потом появились тренинги, которые вошли в систему обучения. И лишь после этого появилось понятие осведомленности.Осведомленность является компонентом системы образования организации, которая направлена на изменение поведения и понимания персонала организации в вопросах использования технологий, интернета и выполнения обязанностей. Повышение осведомленности является отдельным элементом обучения персонала и выполняется на постоянной основе с использованием различных методов предоставления информации персоналу.Самое раннее упоминание «осведомленности», которое удалось найти, определено в специальной публикации NIST 800-16-1998 Information Technology Security Training Requirements: A Role- and Performance-Based Model. В данном документе отмечается, что осведомленность не является обучением. Целью презентаций по повышению осведомленности является просто сосредоточить внимание на вопросах, связанных с безопасностью. Презентации по повышению осведомленности предназначены для того, чтобы показать проблемы безопасности ИТ и как необходимо на них реагировать. В деятельности по повышению осведомленности учащийся является получателем информации, в то время как учащийся на тренинге играет более активную роль.Повышение осведомленности носит формальный характер, имея целью формирование знаний и навыков, чтобы облегчить выполнение работы. Рисунок 1. Учебный процесс согласно NIST 800-16 Где-то в 2003 году уже в документе NIST SP 800-50-2003 Building an Information Technology Security Awareness and Training Program, который построен на базе NIST 800-16, появляется понятие Security Awareness. Таким образом, понятие зародилось в Америке.В данном документе отмечается, что учебный процесс является непрерывным. Он начинается с осведомленности, укрепляется на тренингах и формируется в рамках обучения.Взаимосвязь видов учебного процесса, согласно NIST SP 800-50, показана на рисунке 2. Рисунок 2. Взаимосвязь видов учебного процесса согласно NIST SP 800-50 Итак, повышение осведомленности в вопросах ИБ — это часть системы обучения персонала, а значит, часть менеджмента ИБ. При этом повышение осведомленности в вопросах ИБ в организации должно начинаться с руководства. Если руководство организации понимает важность обеспечения ИБ и необходимость построения постоянно развивающейся системы обеспечения безопасности организации, то вопросы, связанные с необходимостью обучения и повышения осведомленности персонала, будут решаться без проблем. Ведь как мы с вами знаем, информационная безопасность — это не просто установленный антивирус на компьютере пользователя! А ведь до сих пор много людей считают, что после установки антивируса их организация полностью защищена от всех киберугроз.Процесс повышения осведомленности в вопросах ИБ как часть системы обучения персонала подразумевает использование определенных форм, видов и методов обучения. На то, как и чему обучать персонал организации, влияют различные факторы, начиная от размеров организации, понимания руководства организации, знаний обучаемых и заканчивая выделенным бюджетом на обучение.По данным «Лаборатории Касперского», исследования и опросы показывают, что большинство существующих программ повышения осведомленности в сфере ИБ недостаточно эффективны. Причин такого положения дел несколько:пользователям скучно читать описания политик и техническую документацию, термины не всегда понятны, а описания атак вызывают скепсис. Упор делается на запреты, а не на примеры того, как нужно поступать;у сотрудников отсутствует мотивация к обучению (они не допускают, что могут стать мишенями злоумышленников, либо, напротив, думают, что с хакерами бороться бесполезно и предпринимать что-либо для своей защиты бессмысленно);пользователи видят в отделе ИБ помеху в работе, а не защитников, и постоянно пытаются обойти установленные меры безопасности;кроме того, сложно оценить результат тренинга по осведомленности. Обычно учитывается только число пользователей, прошедших обучение, но даже если есть результаты неких тестов — обычно все равно не очень понятно, стоили ли усилия результатов. Мировая практика по Security AwarenessМировую практику в части законодательства мы уже начали рассматривать ранее. В этом разделе продолжим и рассмотрим международное, европейское и американское законодательство, а также какие сервисы Security Awareness представлены за рубежом.Вопросы осведомленности в международных стандартахЕсли рассматривать мировую практику по осведомленности в вопросах информационной безопасности, то мы видим, что за рубежом на законодательном уровне этим вопросом озаботились в конце девяностых — начале нулевых, еще в международном стандарте ISO/IEC 17799:2000 Information technology – Code of Practice for Information Security Management, который в 2005 году был принят в России как ГОСТ Р ИСО/МЭК 17799–2005 «Информационная технология. Практические правила управления информационной безопасностью», предъявляются требования по обучению персонала организации вопросам информационной безопасности. ISO/IEC 17799 в дальнейшем стал ISO/IEC 27002.Согласно международному стандарту ISO/IEC 27000:2016 Information Technology — Security Techniques — Information Security Management Systems — Overview and Vocabulary («Информационная технология — Методы и средства обеспечения безопасности — Системы менеджмента информационной безопасности — Общий обзор и терминология») (в РФ известен как ГОСТ Р ИСО/МЭК 27000–2012, идентичный ISO/IEC 27000:2009), для успешной реализации системы менеджмента информационной безопасности (СМИБ), позволяющей организации достигать своих бизнес-целей, имеет значение большое количество факторов. Одним из них является эффективная программа повышения осведомленности, обучения и подготовки по информационной безопасности, доводящая до сведения всех сотрудников их обязанности по обеспечению информационной безопасности, сформулированные в политиках и стандартах информационной безопасности, и побуждающая их к соответственным действиям.Вопросам осведомленности ИБ в международном стандарте ISO/IEC 27001:2013 Information Technology — Security Techniques — Information Security Management Systems — Requirements («Информационная технология — Методы и средства обеспечения безопасности — Системы менеджмента информационной безопасности — Требования») (в РФ был известен как ГОСТ Р ИСО/МЭК 27001-2006, но уже выведенный к настоящему времени из действия, идентичный ISO/IEC 27001:2005) посвящен подраздел 7.3. «Осведомленность» (Awareness). В нем приведены требования, что лица, осуществляющие работу под контролем организации, должны быть осведомлены о:политике информационной безопасности;своем вкладе в обеспечение эффективности системы менеджмента информационной безопасности, включая выгоды от улучшения функционирования информационной безопасности;последствиях несоблюдения требований системы менеджмента информационной безопасности.В международном стандарте ISO/IEC 27002:2013 Information Technology — Security Techniques — Code of Practice for Information Security Controls («Информационная технология. Методы и средства обеспечения безопасности. Свод правил по мерам и средствам контроля и управления информационной безопасностью») (в РФ — ГОСТ Р ИСО/МЭК 27002-2012, идентичный ISO/IEC 27002:2005) в разделе 7.2. «В течение занятости» отмечается, что в организации необходимо обеспечить уверенность в том, что сотрудники и пользователи сторонних организаций осведомлены о своих обязанностях в отношении информационной безопасности и выполняют их.Пункт 7.2.2 «Осведомленность, обучение и подготовка в области информационной безопасности» (Information Security Awareness, Education and Training)Мера и средство контроля и управленияВсе сотрудники организации и при необходимости пользователи сторонних организаций должны проходить соответствующую программу информирования, обучение и подготовку и получать на регулярной основе обновленные варианты политик и процедур организации, необходимых для выполнения их рабочих функций.Также в ISO/IEC 27002 приведены конкретные рекомендации по разработке программы осведомленности, обучения и подготовке в области ИБ.В стандарте организации PCI DSS 3.2 «Стандарт безопасности данных индустрии платежных карт. Требования и процедура аудита безопасности» 2016 г. вопросам обучения и повышения осведомленности персонала посвящены несколько требований из раздела «Требование 12. Поддерживать политику информационной безопасности для всех работников», а именно:«12.6 Внедрить официальную программу повышения осведомленности работников по вопросам безопасности, чтобы они знали политику и процедуры защиты данных держателей карт.12.6.1 Обучать работников при приеме на работу, а также не реже одного раза в год.Примечание: методы обучения могут зависеть от роли работника и уровня его доступа к данным о держателях карт.12.6.2 Требовать, чтобы работники подтверждали не реже раза в год, что они прочли и поняли политику и процедуры информационной безопасности».А в проверочных процедурах к требованиям PCI DSS 3.2 даны четкие рекомендации по проверке программ повышения осведомленности вопросам информационной безопасности. При этом не раз отмечается, что пересмотр такой программы должен осуществляться не реже одного раза в год.Вопросы осведомленности в ЕвросоюзеВ Европе действует Европейское агентство по сетевой и информационной безопасности (European Network and Information Security Agency — ENISA) — это организация Евросоюза, созданная для содействия функционированию внутреннего рынка. ENISA — это центр передовых знаний по сетевой и информационной безопасности для государств — членов Евросоюза и европейских организаций, дающий советы и рекомендации и выполняющий функции каталога информации об удачных практических приемах. Кроме того, агентство способствует контактам между европейскими организациями, организациями — членами Евросоюза и частными субъектами в сфере бизнеса и индустрии.В рамках своей деятельности ENISA проводит исследования и разрабатывает документы, способствующие эффективному обеспечению сетевой и информационной безопасности в рамках ЕС.Стоит отметить, что теме Security Awareness в ENISA уделяется немалое внимание. Например, в 2008 году выпущен документ Information Security Awareness in Financial Organisations, в котором приведены конкретные рекомендации по повышению осведомленности по вопросам ИБ в финансовых организациях. В 2010 году выпущен документ The new users guide: How to raise information security awareness, он распространяется на все сферы деятельности. Стоит отметить, что это не стандарт, не закон, а документ, в котором даются конкретные рекомендации.Что еще стоит отметить про ENISA — на официальном сайте организации приведены видеоклипы, плакаты, иллюстрации и заставки на экран компьютера, способствующие повышению осведомленности по ИБ сотрудников организации. Рисунок 3. Плакат ENISA: «Не делайте конфиденциальную информацию вашей организации доступной для всех!»Вопросы осведомленности в СШАПро законодательство США: мы начинали рассматривать основные документы по Security Awareness, разработанные NIST. Основным из них является NIST SP 800-50.Итак, мы уже говорили, что в NIST SP 800-50-2003 Building an Information Technology Security Awareness and Training Program отмечается, что учебный процесс является непрерывным. Он начинается с осведомленности, укрепляется на тренингах и формируется в рамках обучения.Также в документе приведены рекомендации относительно того, что в программу повышения осведомленности необходимо включать. Список значительный, например, рекомендуется включать освещать основные темы:использование паролей (создание, частота смены, сложность и безопасность);антивирусная защита;появление электронных писем от незнакомых людей и открытие вложений;использование интернета;спам;вопросы социальной инженерии;реагирование на инциденты;работа из дома и использование корпоративных систем для личных целей;защита конфиденциальной информации и т. д.Стоит также отметить, что исследованиями в области Security Awareness занимается один из известных в мире институтов — SANS Institute, деятельность которого связана с исследованиями и образовательными программами в области информационной безопасности, системного администрирования, аудита. SANS является самым надежным и, безусловно, крупнейшим источником для обучения информационной безопасности и сертификации безопасности в мире. Он также разрабатывает, поддерживает и бесплатно предоставляет самую большую коллекцию исследовательских документов по различным аспектам информационной безопасности.SANS Institute еще в 2011 году разработал «Модель зрелости осведомленности по вопросам безопасности» (Security Awareness Maturity Model). Модель зрелости от SANS позволяет организациям определить, на каком этапе находится их программа повышения осведомленности безопасности в настоящее время и в каком направлении в дальнейшем должна двигаться организация по данному направлению.Модель зрелости определяет пять основных этапов, под которые подпадает программа повышения осведомленности. Рисунок 4. Модель зрелости осведомленности по вопросам безопасности (Security Awareness Maturity Model) от SANS Отсутствует: программа не существует. Сотрудники не имеют представления о том, что они являются мишенью, что их действия оказывают непосредственное влияние на безопасность организации, не знают и не понимают политики организации и легко становятся жертвами атак.Соответствие требованиям: программа предназначена в первую очередь для удовлетворения соответствия конкретным требованиям или для оценки в рамках аудита. Обучение ограничено ежегодной или специальной базой. Сотрудники не уверены в политике организации и их роли в защите информационных ресурсов организации.Повышение осведомленности и изменение поведения: программа определяет темы обучения, которые оказывают наибольшее влияние на реализацию целей организации, и фокусируется на этих ключевых темах. Программа выходит за рамки только ежегодного обучения и включает в себя постоянное укрепление в течение всего года. Контент передается в привлекательной и позитивной форме, которая способствует изменению поведения на работе и дома. В результате люди понимают и следуют политике организации и активно распознают, предотвращают и сообщают об инцидентах.Долгосрочная поддержка и изменение культуры: программа имеет процессы, ресурсы и поддержку руководства для долгосрочного жизненного цикла включая как минимум ежегодный обзор и обновление программы. Таким образом, программа и кибербезопасность являются неотъемлемой частью культуры организации.Надежная система показателей: программа имеет надежную систему показателей для отслеживания прогресса и измерения воздействия. Следовательно, программа постоянно совершенствуется и способна продемонстрировать рентабельность инвестиций. Важно отметить, что система показателей не является последней стадией модели. Система показателей являются важной частью каждого этапа. Этот этап просто подтверждает, что для того чтобы действительно иметь зрелую программу, необходимо не только изменять поведение и культуру, но и иметь систему показателей для определения этих изменение.На рисунке 5 приведены результаты исследования SANS Institute, проведенного в 2017 году, насколько среднестатистическая программа осведомленности безопасности является зрелой. Рисунок 5. Результаты исследования SANS Institute по вопросу, насколько среднестатистическая программа осведомленности безопасности является зрелой Еще одной интересной инициативой зарубежных коллег является проведение месячников по повышению осведомленности в области ИБ. Например, в США проходят National Cyber Security Awareness Month (NCSAM) (Национальный месяц осведомленности о кибербезопасности) под эгидой Департамента национальной безопасности США, в рамках которых рассматриваются такие темы, как:простые шаги к онлайн-безопасности;кибербезопасность на рабочем месте — дело каждого;сегодняшние прогнозы для завтрашнего интернета;защита критической инфраструктуры от киберугроз.На официальном сайте Департамента национальной безопасности США отмечается, что «NCSAM предназначен для привлечения и обучения партнеров из государственного и частного секторов посредством мероприятий и инициатив по повышению осведомленности о важности кибербезопасности, предоставления им инструментов и ресурсов, необходимых для обеспечения безопасности в интернете и повышения устойчивости страны в случае киберинцидента».В Европе под эгидой ENISA тоже проходят подобные мероприятия под названием European Cyber Security Month (ECSM). ECSM — это кампания по повышению осведомленности в ЕС, которая способствует кибербезопасности среди граждан и организаций в отношении важности информационной безопасности и подчеркивает простые шаги, которые могут быть предприняты для защиты данных, будь то личные, финансовые или профессиональные. Основная цель заключается в повышении осведомленности, изменении поведения и предоставлении ресурсов для всех о том, как защитить себя в интернете. ECSM стартовал в 2012 году и с тех пор проводится ежегодно.Цели ECSM:генерировать общую осведомленность о кибербезопасности, которая является одним из приоритетов, определенных в Стратегии кибербезопасности ЕС;генерировать конкретную информацию о сетевой и информационной безопасности, которая рассматривается в предлагаемой Директиве NIS;содействовать более безопасному использованию интернета для всех пользователей;создать сильную базу для повышения осведомленности через ECSM;привлекать соответствующие заинтересованные стороны.При этом стоит отметить, что месячники по осведомленности в области кибербезопасности распространяются на всех, начиная от госорганов и корпораций и заканчивая простыми гражданами. Регулируется все это правительством.Подводя итог тому, как вопросы Security Awareness освещены в международном и зарубежном законодательстве, стоит отметить, что осведомленность — это короткие курсы направленные на формирование общего представления, знаний и навыков, в основном предлагаемых в виде презентаций, коротких видеороликов, плакатов и прочего, соответственно разработчики в области обучения вопросам ИБ и подсистем безопасности начали предлагать сервисы по Security Awareness.Они представляют собой презентационные материалы по различным темам, связанным с ИБ, с последующим прохождением тестирования. Чаще всего это онлайн-сервисы. Но есть и офлайн-версии, которые встраиваются в инфраструктуру организации, а некоторые даже умеют взаимодействовать с DLP-системами. Если DLP выявляет неумышленные факты нарушения, она передает эти данные системе по повышению осведомленности по вопросам ИБ, которая анализирует нарушение и направляет пользователю обучающий курс в соответствии с нарушенным им требованием.По статистике Gartner, рынок сервисов по повышению осведомленности в области ИБ (Security Awareness Computer-Based Training) является растущим и востребованность таких сервисов увеличивается с каждым годом. Рисунок 6. Магический квандрант Gartner Magic Quadrant Security Awareness Computer-Based Training 2017 Итак, по статистике Gartner самыми крупными мировыми провайдерами платформ Security Awareness являются:PhishMeKnowbe4Wombat SecurityMediaProInspired eLearning Российская практика по Security AwarenessРассмотрим ситуацию в России относительно вопросов осведомленности в области ИБ. Скажем сразу, что законодательство значительно скуднее в этой части. Конечно, нельзя сказать, что его совсем нет, оно, в отличие от зарубежной практики, представлено в виде требований — без конкретики, как и что делать.Первым документом, где приведены требования по осведомленности в области ИБ, является Федеральный закон Российской Федерации № 152-ФЗ от 27 июля 2006 года «О персональных данных». В статье 18.1 пункт 1 подпункт 6: «Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников».На практике это ознакомление и обучение заканчивается росписью в акте ознакомления с документами в организации.Также стоит отметить, что в Приказах ФСТЭК России приводятся требования по обучению и осведомленности. Например,Требования к АСУ ТП — Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», в котором обучению персонала вопросам безопасности информации отведен отдельный блок требований – «XVIII. Информирование и обучение персонала (ИПО)». Этот блок требований включает разработку правил и процедур (политик) информирования и обучения персонала, а также требования по проведению обучения и информирования персонала по вопросам защиты информации.В Приказе ФСТЭК России от 31 мая 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» приведены требования по информированию пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации, а также их обучение.В недавно принятом приказе по КИИ — Приказе ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» приводится блок требований «XVII. Информирование и обучение персонала (ИПО)», как и в Приказе №31, отличием является лишь включение нового требования по контролю осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы.Но учитывая тот факт, что ФСТЭК опирался на документы специальных публикаций NIST, включение таких требований не видится странным.Также требования по осведомленности установлены в гармонизированных стандартах ГОСТ Р 27-й серии, про которые мы говорили ранее.В финансовой сфере вопросы осведомленности в области ИБ представлены в следующих документах ЦБ РФ:СТО БР ИББС–1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», в основе которого лежит ISO/IEC 27001:2005;ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»:Положение Центрального Банка Российской Федерации от 24.08.2016 г. № 552-П «О требованиях к защите информации в платежной системе Банка России».В данных документах отмечается, что в рамках системы менеджмента информационной безопасности должно проводиться повышение осведомленности и обучение работников в области защиты информации/информационной безопасности.В отличие от зарубежного законодательства, отечественные требования по осведомленности в области ИБ представляют общие требования. Нет документов, детализирующих процесс осведомленности и обучения.Соответственно, в большинстве случаев повышение осведомленности и обучение заканчивается тем, что при приеме на работу сотрудник расписывается в акте, что ознакомлен с кучей документов, и на этом все. А в некоторых случаях не делают даже и этого. И это касается всех сфер деятельности.Таким образом, в России рынок услуг по повышению осведомленности в области ИБ находится в зачаточном состоянии. В основном у нас предлагаются курсы по обучению и повышению осведомленности, например:АИС: «Повышение осведомленности сотрудников организации в вопросах информационной безопасности»;УЦ «Информзащита»: «Повышение осведомленности персонала в области информационной безопасности»;Центр инновационных и дистанционных технологий: «Повышение осведомленности сотрудников компании в вопросах информационной безопасности»;Микротест: «Повышение осведомленности по вопросам информационной безопасности». При этом Микротест предлагает и услугу «Проверка осведомленности сотрудников»;KPMG: «Осведомленность сотрудников о вопросах ИБ». Проводят как обучение, так и проверку осведомленности;и другие.Возможно, что в ближайшее время подобные курсы перерастут в сервисы, которые будут предлагаться организациям для повышения осведомленности персонала, проходить которые можно будет на рабочем месте. А пока это старые добрые курсы по обучению, на которые нужно ездить в обучающие центры.Подводя итог, стоит отметить, что вопросы повышения осведомленности в области ИБ в России пока находятся на этапе становления, зарождения:законодательно процесс не описан;имеющиеся услуги по осведомленности в России направлены на крупные компании;как таковая осведомленность простых граждан в части кибербезопаности —отсутствует. Краткий обзор сервисов Security Awareness в РоссииВ России рынок сервисов Security Awareness только начал формироваться, и вендоров в данном направлении представлено не много. Среди них такие компании, как:«Лаборатория Касперского»Компания PhishmanКомпания «Антифишинг»Компания UBSКомпания «Системный софт»Компания DeteActСтоит также сказать, что один из крупных поставщиков услуг связи в России — «Ростелеком» — анонсировал в 2017 году новые виды услуг, в которые входит сервис повышения осведомленности в области информационной безопасности — Security Awareness.Рассмотрим, что предлагают отечественные производители.Kaspersky Security Awareness«Лаборатория Касперского» в рамках решений для крупного бизнеса запустила новый проект под названием Kaspersky Security Awareness(программа повышения осведомленности), который включает в себя несколько игровых тренингов для повышения осведомленности по информационной безопасности для сотрудников всех уровней, а также предполагает проверку полученных знаний.По заявлениям «Лаборатории Касперского», более 80% всех киберинцидентов связаны с человеческим фактором. Предприятия тратят огромные средства на восстановление ресурсов после инцидентов безопасности, вызванных в том числе действиями сотрудников. Однако традиционные программы обучения, призванные предотвращать такие нарушения, недостаточно эффективны. Они информируют, но не мотивируют. Программы повышения осведомленности «Лаборатории Касперского» не только дают знания, но и формируют правильное поведение.Первое, что хочется отметить, при обучении используются игровой подход, практические занятия, организуется имитация атак. Это в свою очередь позволяет формировать устойчивые привычки и укреплять кибербезопасность в долгосрочной перспективе.Второе — тренинги направлены на сотрудников всех уровней, начиная с руководителей и заканчивая младшим персоналом. При этом подход к повышению осведомленности на каждом из уровней различен. Рисунок 7. Иерархия модулей Kaspersky Security Awareness Для разных категорий сотрудников формируются разные навыки. Высшее руководство, линейные руководители/менеджеры среднего звена, IT-специалисты и рядовые специалисты — все эти группы сотрудников обучаются разным навыкам с учетом их должностных обязанностей.Kaspersky Security Awareness включает в себя несколько модулей:Kaspersky Interactive Protection Simulation (KIPS) для высшего руководства;Kaspersky CyberSafety Games для линейных руководителей и (или) менеджеров среднего звена;Онлайн-платформа обучения навыкам для всех сотрудников компании;Cybersecurity for IT Online для обучения ИТ-специалистов навыкам поддержания кибербезопасности.Большинство курсов проходят в онлайн-формате, что позволяет и отделу ИБ, и отделу кадров легко отслеживать успеваемость пользователей и контролировать ход обучения.В основе курсов — богатый опыт «Лаборатории Касперского» в области кибербезопасности и разработки защитных решений.По данным на июнь 2017 г., платформа Kaspersky Security Awareness доступна на 30 языках. С помощью платформы онлайн-обучения можно создать и внедрить эффективный, долгосрочный и контролируемый план обучения в области ИБ с постепенным переходом от простых задач к более сложным. Широкий тематический охват курса позволяет обучать пользователей в соответствии с ландшафтом угроз и их исходными навыками.Игра Kaspersky Interactive Protection Simulation (KIPS) предназначена для руководителей компаний, корпоративных экспертов по кибербезопасности и сотрудников IT-отделов.Цель курса повышения осведомленности:популярно рассказать о рисках и проблемах безопасности, связанных с использованием современных технологий;продемонстрировать влияние киберугроз на результаты бизнеса.В KIPS предусмотрено шесть сценариев, каждый со своими типами атак, возможных для прохождения как онлайн, так и в офлайн-режиме:Корпорация — защита предприятия от программ-вымогателей, целевых атак и нарушений безопасности автоматизации.Банк — защита финансовых учреждений от специализированных целевых атак, направленных на банкоматы, управляющие серверы и бизнес-системы.Нефтяная компания — защита добывающей компании от серии атак — от программ-вымогателей и взлома сайта до инсайдеров и высокоуровневых целевых атак.Электронные госуслуги — защита государственных электронных ресурсов от атак и эксплойтов.Транспортная организация — защита логистической компании от серии кибератак, включая целевую атаку, проникновение инсайдера, ошибку Heartbleed.Электростанция — защита АСУ ТП и критически важной инфраструктуры.Водоочистное сооружение — защита АСУ ТП и критически важной инфраструктуры.В 2017 году «Лабораторией Касперского» были даже организованы весенние игры KIPS — региональный чемпионат по отражению киберугруз, в рамках которого соревновались команды из различных организаций.Kaspersky CyberSafety Games — это интерактивный мастер-класс (игровой тренинг), который включает компьютерные занятия и уроки под руководством инструктора. Тренинг показывает линейным руководителям всю важность кибербезопасности на их уровне ответственности. Помимо создания необходимых знаний и компетенций, игровой курс помогает выработать правильное отношение к поддержанию безопасной рабочей среды во всем подразделении. Рисунок 8. CyberSafety Management Games Что получают менеджеры по итогам тренинга:Понимание. Внутреннее принятие методов кибербезопасности как важного и одновременно не слишком сложного набора действий.Новое отношение к кибербезопасности. Взгляд на повседневные рабочие процессы через призму кибербезопасности.Принятие решений с учетом кибербезопасности. Отношение к кибербезопасности как к неотъемлемой составляющей бизнес-процессов.Мотивация к применению полученных знаний. Умение влиять на сотрудников, отвечать на их вопросы по ИБ и давать полезные советы.Платформа обучения навыкамДля обеспечения кибербезопасности важно не только расширять знания сотрудников, но и формировать у них нужные навыки. Онлайн-платформа обучения навыкам — ключевой компонент программы повышения осведомленности. Она помогает пользователям освоить разные сценарии и ситуации, получить больше знаний и понять, как определять и реагировать на распространенные киберугрозы. Онлайн-обучение позволяет практиковаться и учиться на интерактивном портале. Рисунок 9. Платформа обучения навыкам «Лаборатории Касперского» Интерактивные обучающие модули:короткие и увлекательные;упражнения с немедленной обратной связью;закрепление навыков с помощью автоматической корректировки процесса обучения в соответствии с результатами выполнения предыдущих заданий;более 25 модулей, охватывающих все области ИТ-безопасности.Оценка знаний:включает выбранные заранее или случайные тесты, причем сам заказчик может назначать тематику вопросов и длину теста;охватывает разные сферы IT-безопасности;обширная библиотека вопросов и механизм рандомизации исключают списывание.Имитация фишинговых атак:три типа фишинговых атак разной сложности, основанные на реальных событиях;при каждом открытии фишингового сообщения игрок получает возможность обучиться новым навыкам и закрепить их;настраиваемые шаблоны;автоматическое назначение обучающих модулей для тех, кто не справился с имитированной атакой.Отчеты и анализ:Платформа предоставляет статистику для всей организации сразу, а также для каждого подразделения, должности и сотрудника индивидуально.Платформа контролирует навыки и скорость обучения каждого сотрудника.Кроме того, она поддерживает экспорт данных в разных форматах, а также может интегрироваться в систему дистанционного обучения (LMS) клиента.Всесторонняя оценка:При оценке культура безопасности рассматривается с разных точек зрения.Организационный уровень (уровень руководства).Персональный уровень (уровень сотрудников).Знания в области ИБ.Система кибербезопасности как непрерывно действующий процесс.Cybersecurity for IT OnlineЭта программа повышения осведомленности предназначена специально для IT-специалистов, учитывает их высокий уровень технической осведомленности и специфику их рабочих обязанностей.Формат обученияОбучение проходит онлайн: нужны только доступ в интернет или к корпоративной СДО (LMS) и браузер Chrome. Все модули состоят из короткой теоретической части, практических советов и 7-10 упражнений: каждое позволяет отработать определенный практический навык и учит использовать инструменты и защитное программное обеспечение в повседневной работе.Рекомендуемый темп: модуль в неделю, то есть около 45 минут. Таким образом, курс будет успешно завершен через 1,5 месяца, причем каждый сотрудник потратит на него 4-5 часов.Курс рекомендован для обучения всех IT-специалистов в организации, в первую очередь работников службы IT-поддержки и системных администраторов, но также он будет полезен и специалистам других отделов — в частности, всем, кто имеет права локального администратора на своей рабочей станции.Курс состоит из шести модулей:основные практические сведения о киберугрозах;вредоносные программы;потенциально нежелательные программы и файлы;основы расследования инцидентов;реагирование на фишинг и разведка в открытых источниках;корпоративная безопасность: контроль уязвимостей и защита серверов.Этот курс дает IT-специалистам практические навыки по распознаванию возможной атаки при изучении безобидного на первый взгляд инцидента, а также навыки по сбору данных для передачи службе IT-безопасности.Оценка культуры кибербезопасностиВ ходе оценки анализируется поведение сотрудников всех уровней с точки зрения разных аспектов кибербезопасности и показывается их отношение к этим аспектам.Полученный отчет показывает выявленные проблемные области. Рисунок 10. Результирующая диаграмма в рамках оценки культуры кибербезопасности Стоит отметить, что оценка культуры кибербезопасности не равнозначна оценке уровня защищенности компании (это не аудит ИБ). Отчет о культуре кибербезопасности показывает, как обычный сотрудник воспринимает кибербезопасность, что он думает о культуре, привычках, ежедневных процедурах и других аспектах, связанных с кибербезопасностью, каковы его индивидуальные взгляды на принципы защиты компании от киберугроз.Оценка проводится в виде онлайн-опроса на базе облачной платформы. Опрос одного сотрудника занимает около 15 минут. Клиент получает обобщающий отчет по результатам опроса.Варианты обучения по программам осведомленности «Лаборатории Касперского»:Профессиональные тренеры с сертификатами «Лаборатории Касперского».Корпоративное лицензирование (обучение тренеров) для отделов ИБ и персонала, которые затем могут проводить тренинги для всей компании.Лицензирование центров обучения.Онлайн-тренинги (Платформа обучения навыкам и Cybersecurity for IT Online) не требуют участия тренеров и поставляются из расчета на число сотрудников и срок обучения (1, 2 или 3 года).Phishman Awareness CenterКомпании Phishman в области осведомленности вопросам безопасности предлагает продукт Awareness Center (Система управления осведомленностью пользователей), предназначенный для автоматизации процессов, позволяющих выявлять недочеты знаний и навыков сотрудников в области информационной безопасности, выстраивать процесс обучения и исследовать закрепленные профессиональные навыки пользователей. Принцип работы системы заключается в следующем.Система Awareness Center осуществляет:Проверку пользователей:Притворяясь нарушителем, отправляет электронные письма с различными ловушками и оценивает действия пользователя по факту получения таких писем.Если пользователь «попался», то система фиксирует его действия и подбирает для него индивидуальную обучающую программу.Обучение пользователей:Пользователю предлагается пройти обучающую программу — презентационный материал по выявленной проблеме, построенный на принципах интерактивности (включая элементы игры). Обязательна проверка усвоенного материала после его прохождения (тестирование пользователя).Обучение пользователей без предварительного сбора информации об их уровне осведомленности (например, обучение новых пользователей или обучение персонала при выходе потенциально опасных вредоносных программ).Контроль пользователя:Периодически осуществляется повторная рассылка электронных писем с ловушкой. Таким образом, система оперативно отслеживает проблемы с уровнем знаний пользователей, обучает их, тестирует и осуществляет периодический контроль.Система Awareness Center предлагает более 20 готовых курсов по тематике информационной безопасности, в планах создание более 200 курсов, разбитых по темам ИБ, ИТ, HR.Стоит также отметить пару интересных решений, применяемых в системе Awareness Center:Возможность оценки уязвимостей браузера и автоматическое предложение мер по их устранению.Возможность использования специальных флешек в качестве ловушек. Схема следующая: в организации оставляются специальные флешки, и если сотрудник ее находит и пытается вставить в компьютер, происходит фиксация в системе. Дальнейшие действия аналогичны открытию фишингового письма, а именно назначение сотрудника на обучение. Рисунок 11. Интерфейс Awareness Center. Просмотр статистики по уязвимостям браузера Рисунок 12. Интерфейс Awareness Center. Просмотр статистики по USB-флеш- накопителям Рисунок 13. Интерфейс Awareness Center. Просмотр общей статистики по уязвимостям Awareness Center логически представлено двумя основными модулями:Модуль обучения, содержит в себе 20 обучающих курсов с обязательной проверкой усвоенного материала по факту его прохождения (тестирования) и включает такие курсы, как, например: «Антивирусная защита», «Защита мобильных устройств», «Как защититься от фишинга».Модуль контроля. Основу этого модуля составляет сервис Phishman, отвечающий за проведение учебных атак и анализ поведения пользователя во время атаки. Модуль контроля также анализирует поведение сотрудника согласно поступающим данным по событиям и инцидентам от DLP, SIEM, Web-filtering, СКУД, AD, кадровых систем и др. По результатам проведенного анализа для сотрудника готовится соответствующая программа обучения. Она составляется из индивидуального набора курсов, которые предварительно утверждаются заказчиком.Система Awareness Center может работать как на облачной инфраструктуре, так и разворачиваться у заказчика.Стоит отметить, что в 2017 году InfoWatch и компания Phishman объявили о завершении интеграции DLP-системы InfoWatch Traffic Monitor и системы Phishman Awareness Center. DLP-система InfoWatch Traffic Monitor фиксирует все события на рабочих станциях и корпоративных мобильных устройствах организации, анализирует их, выявляет факты нарушения политик безопасности и при необходимости блокирует передачу данных. Перехваченные DLP-системой события, попавшие в категорию неумышленных нарушений, затем передаются в систему Phishman Awareness Center, которая, в свою очередь, подбирает релевантные обучающие правила и курсы под каждый инцидент и назначает сотруднику, нарушившему политику информационной безопасности, соответствующее обучение. Рисунок 14. Учебный курс, предлагаемый модулем Phishman сотруднику для прохождения обучения Детально с продуктом можно ознакомиться в нашем обзоре Phishman Awareness Center.«Антифишинг» — система обучения и контроля защищенности сотрудниковКомпания «Антифишинг» предлагает одноименную систему обучения и контроля защищенности сотрудников.Система «Антифишинг» поддерживает два режима работы:как сервис из собственного облака «Антифишинга»;встраивается в информационную инфраструктуру заказчика. Обучение сотрудников и проверка навыков объединяются в единый процесс с измеримыми показателями эффективности. В качестве примера такие показатели проиллюстрированы на рисунке 15. Рисунок 15. Интерфейс «Антифишинга». Управление защищенностью сотрудников в одной панели В рамках обучения сотрудников система «Антифишинг» включает в себя обучающие курсы и дайджесты. Курсы содержат минимум теории, в основном составлены из реальных примеров, рабочих ситуаций и простых правил, которые нужно знать обычному сотруднику, а именно:работа с информацией, в электронном и бумажном виде;безопасная передача файлов;безопасная работа в интернете, на сайтах и в социальных сетях;безопасная работа с электронной почтой;выбор паролей и способы их хранения;проверка и обеспечение безопасности личного компьютера, смартфона, планшета;правила работы в офисе и в командировках;реагирование на инциденты информационной безопасности;и другие.Каждый курс адаптируется под политики информационной безопасности и оформляется в соответствии с фирменным стилем организации заказчика.Кроме курсов, заказчику доступны приватные ежемесячные дайджесты, с углубленным обзором новостей, инцидентов и разбором правил безопасности для разных категорий сотрудников. Рисунок 16. Фрагмент курса «Антифишинга» о безопасной работе интернете В рамках проверки навыков сотрудников система «Антифишинг» позволяет проверить самые важные навыки сотрудников, которые зачастую используются реальными мошенниками в цифровых атаках на организации.Компания «Антифишинг» ежемесячно проектирует несколько сценариев целевых атак для каждого заказчика. После согласования заказчику передаются рабочие шаблоны имитированных атак.На рисунке 17 приведен пример сценария атаки, который передается заказчику для согласования. Рисунок 17. Формат сценария атаки, передаваемый заказчику для согласования После этого заказчик загружает их в систему «Антифишинг» и использует для выполнения атак и проверки навыков своих сотрудников. В результате будет видно, кто, когда и с каких систем открывал электронные письма, переходил по ссылкам, открывал вложенные файлы, открывал фишинговые сайты и вводил свои данные на них и др.Сценарии и шаблоны атак готовятся в соответствии с классификацией цифровых атак, формируемой «Антифишингом». Рисунок 18. Фрагмент классификации цифровых атак на сотрудников По результатам проверки навыков и реагированию сотрудника на имитируемые атаки у него накапливается рейтинг — число, означающее одновременно его опыт и общий уровень защищенности. Рисунок 19. Интерфейс «Антифишинга». Рейтинг сотрудников по результатам реагирования на имитируемые атаки Отрицательный рейтинг означает, что в большинстве имитированных атак сотрудник совершал небезопасные действия. Степень в рейтинге и комментарий означают последние изменения: насколько ухудшилось или улучшилось поведение сотрудника и что именно он сделал в последней имитированной атаке.Система «Антифишинг» также позволяет отслеживать историю действий сотрудника или группы сотрудников на протяжении времени и представлять эти данные в графическом виде. Рисунок 20. Пример истории действий по группе сотрудников и статистика их действий в одной из имитированных атак Помимо обучения и проверки навыков сотрудников система «Антифишинг» позволяет контролировать программные уязвимости на рабочих местах и мобильных устройствах сотрудников.Система «Антифишинг» позволяет выявить программные уязвимости в операционных системах, браузерах, почтовых клиентах и офисных программах, с которыми работают сотрудники. Рисунок 21. Интерфейс «Антифишинга». Обнаруженные уязвимые браузеры по результатам имитированных атак Система «Антифишинг» оказывает содействие в работе таких подразделений организации, как:Служба безопасности — помогает выявить слабые звенья в системе безопасности организации.Департамент (отдел) информационных технологий — помогает снизить риски нарушения доступности ИТ-сервисов.Служба информационной безопасности — помогает определить навыки сотрудников по вопросам информационной безопасности, снизить эффективность фишинга и других цифровых атак на организацию.HR-отдел — позволяет автоматизировать процесс обучения по вопросам безопасности и не только.Еще несколько особенностей системы «Антифишинг»:встроенная система электронного обучения. Кроме курсов «Антифишинга», заказчик может загружать собственные курсы и обучать людей по темам, не связанным с безопасностью;интеграция с Active Directory для импорта и синхронизации сотрудников;встроенный планировщик для автоматизации всех процессов обучения и контроля навыков;программный интерфейс REST API для управления всеми функциями системы «Антифишинг» из любой внешней системы: например, из системы R-Vision (мы не так давно обозревали R-Vision IRP 3.1).Каждый новый сотрудник проходит обязательное обучение. Действующие сотрудники проходят проверку еженедельно.UBS Security Awareness PlatformUBS предлагает платформу для повышения осведомленности персонала в области информационной безопасности. Также с недавнего времени UBS совместно с KnowBe4, одним из мировых лидеров, предлагает платформу повышения осведомленности KnowBe4.Пакет предложений компании UBS по направлению повышения осведомленности в области информационной безопасности включает в себя следующее:Облачная платформа повышения осведомленности UBSОблачная платформа повышения осведомленности KnowBe4Комплекс заказных услуг повышения осведомленностиРассмотрим более подробно каждое из предложений UBS.Облачная платформа повышения осведомленности UBSвключает в себя 15 интерактивных мультимедийных курсов по всем основным темам информационной безопасности, более 650 тестовых вопросов и кейсов, наглядная агитация (заставки, плакаты и постеры по информационной безопасности), публикации для рассылки персоналу и развитая система отчетности о результатах обучения и тестирования. Также доступны сервисы санкционированных фишинговых рассылок и других пентестов методами социальной инженерии. Рисунок 22. Облачная платформа повышения осведомленности UBS Рисунок 23. Примеры постеров по осведомленности в области ИБ от UBS Security Awareness Platform Доступ к учебному контенту платформы осуществляется посредством любого браузера и с любого устройства, в том числе с мобильных.Облачная платформа повышения осведомленности KnowBe4UBS является первым и единственным на территории России и СНГ партнером американской компании KnowBe4 — одного из лидеров Gartner Magic Quadrant в сегменте Security Awareness Computer-Based Training 2017.UBS предоставляют российским заказчикам облачную платформу, которая включает в себя как материалы и сервисы, разработанные KnowBe4, так и материалы на русском языке, адаптированные UBS для российской аудитории. Эта платформа повышения осведомленности включает в себя:63 учебных курса по ИБ;100 обучающих видеороликов;33 игры по ИБ разного жанра;120 постеров и плакатов;антифишинговые рассылки, проверка паролей, USB-пентест, симулятор шифровальщиков и др;авторский видеотренинг Кевина Митника по повышению осведомленности. Рисунок 24. Пример интерфейса облачной платформы повышения осведомленности KnowBe4 Комплекс заказных услуг повышения осведомленностиКомпания UBS также оказывает услуги повышения осведомленности, адаптированные под требования и специфику конкретного заказчика.При этом UBS предлагает заказчику разработку материалов для повышения осведомленности, включая разработку методологической базы и организационно-распорядительной документации, регламентирующей повышение осведомленности в области обеспечения корпоративной безопасности и соответствия нормативным требованиям.Вышеупомянутые услуги, предлагаемые компанией UBS, оказываются в несколько этапов:Этап 1: Планирование проекта и разработка организационно-распорядительной и методологической документации на систему обучения и повышения осведомленности в области информационной безопасности.Этап 2: Реализация программы повышения осведомленности персонала в области информационной безопасности включает следующие услуги:разработка тематических информационно-обучающих анимационных интерактивных материалов в соответствии с политиками по информационной безопасности, корпоративным стилем и иными требованиями;разработка тематических информационно-обучающих графических материалов (плакатов и заставок, памяток, скринсейверов, листовок, календарей, канцелярской продукции и т. п.);разработка инструктажей по информационной безопасности для новых и действующих сотрудников;разработка курсов по информационной безопасности (MS PowerPoint, SCORM, видеокурсы);проведение обучения и тестирования персонала;разработка информационно-аналитических дайджестов по информационной безопасности;разработка дополнительных тематических графических и информационно-обучающих материалов (видеоролики, игры, промо-сайты и т. п.);выполнение пентестов методами социальной инженерии.Этап 3: Оценка эффективности программы повышения осведомленности, разработка рекомендаций по корректирующим мерам, а также плана их реализации.Syssoft Security AwarenessКомпания «Системный софт» предлагает облачный сервис Syssoft Security Awareness для обучения сотрудников основам кибербезопасности.Syssoft Security Awareness включает более 20 курсов по информационной безопасности, учебный портал и сервис рассылок. Сервис развернут в облачной инфраструктуре, но при этом, по заявлениям разработчика, может быть интегрирован с DLP-системой и системой контроля рабочего времени.Syssoft Security Awareness работает следующим образом:осуществляется рассылка писем с завлекающим контентом, таким образом выявляются уязвимые к социальной инженерии сотрудники;проводится них обучение с тестированием после окончания;через некоторое время проводится повторная рассылка.При использовании сервиса выполняются следующие действия:1 этап — Импорт списка сотрудников из Active Directory в сервис2 этап — Автоматическое или ручное разделение сотрудников на фокус-группы3 этап — Запуск серии писем с ловушками (счет на оплату, штраф ГИБДД и т. д.)4 этап — Определение числа переходов по ссылкам и открытия вложений5 этап — Формирование групп для обучения основам информационной безопасности6 этап — Регулярное тестирование сотрудников на новых шаблонахSyssoft Security Awareness осуществляет проверку сотрудников на подверженность атакам с использованием фишинговых писем. Если сотрудник переходит по ссылке в письме, ему автоматически предлагается пройти обучение. Также предлагается проходить регулярные обучения сотрудников основам кибербезопасности. Syssoft Security Awareness предлагает более 20 курсов по тематике информационной безопасности.Система позволяет выявлять слабые места сотрудников с последующим обучением по выявленным темам. Осуществляется это с помощью интеграции с DLP-решениями и системами контроля рабочего времени.В Syssoft Security Awareness существует возможность создания шаблонов электронных писем для рассылки сотрудникам. При этом с системой поставляется несколько десятков шаблонов фишинговых писем, и их база постоянно пополняется.Syssoft Security Awareness легко интегрируется с Active Directory, что значительно облегчает формирование базы сотрудников.Предусмотрена возможность брендирования учебного портала и курсов под фирменный стиль, а также настройка расписания обучения.Стоит отметить, что сервис Syssoft Security Awareness в основном направлен на осведомленность персонала в вопросах защиты от фишинга и шифровальщиков.Deteact AwarenessЕще один сервис на отечественном рынке представляет компания Deteact — сервис Deteact Awareness предназначен для повышения устойчивости компании к атакам с использованием методов социальной инженерии. При этом проводится обучение и тестирование сотрудников, а также контроль технических мер защиты.Услуга состоит из нескольких компонентов:регулярные рассылки фишинговых писем и исполняемых файлов для тестирования сотрудников;автоматизированный аудит механизмов противодействия атакам на уровне почтового сервера (антиспам, антивирус) и на уровне рабочей станции (endpoint-защита);мониторинг доменных имен, выявление фишинговых веб-сайтов, направленных на конкретную компанию;сбор и предоставление индикаторов компрометации (IOC), включающих доменные имена, IP-адреса, email-адреса, хеш-суммы файлов.Одним из компонентов сервиса Deteact Awareness является платформа обучения сотрудников. Сервис настраивается под каждого конкретного заказчика:согласовываются стандартные сценарии атаки, актуальные для заказчика;разрабатываются специализированные сценарии, учитывающие особенности инфраструктуры, используемых сервисов, кадровой структуры, названия и дизайна бренда;согласовываются актуальные темы для обучения и оформления буклетов.Таким образом, сначала проходят «атаки» на компанию по заранее согласованным сценариям для выявления уязвимых к социальной инженерии сотрудников и определения уровня знаний сотрудников для составления программы дальнейшего повышения осведомленности сотрудников.Из особенностей сервиса Deteact Awareness можно выделить:наличие набора собственных инструментов для создания невидимых для антивирусных программ исполняемых файлов с полезной нагрузкой для демонстрации запуска. Применяются методы, аналогичные тем, что используются при вирусной атаке, но демонстрационные файлы не осуществляют закрепление в системе и передачу конфиденциальных данных, а лишь фиксируют факт запуска на конкретной рабочей станции, также может быть сделан скриншот или вывод системной информации. Это нечто вроде «доброго вируса», который ничего не ломает и не крадет;продвинутые сценарии атак для интернет-компаний, использующих облачные сервисы;инструкции по безопасному использованию и настройке различных популярных почтовых сервисов и мобильных устройств с учетом различных моделей угроз, включая физические и специальные.В рамках цикла повышения осведомленности по вопросам ИБ Deteact предоставляет дополнительные услуги:лекции по «информационной гигиене», личной и корпоративной безопасности для сотрудников;составление внутренней базы по повышению осведомленности по вопросам информационной безопасности для инструктажа новых сотрудников;тестирование с физическим взаимодействием (социальная инженерия) — обзвон, распространение USB-накопителей;обучение и круглосуточная поддержка для топ-менеджмента и владельцев бизнеса.Deteact анонсирует, что в следующей версии сервиса будут реализованы:рассылка обучающих материалов по результатам атак;рассылка тестов для закрепления обучения;контрольные и серийные рассылки;интеграция с Active Directory и инфраструктурой заказчика;расширение количества сценариев;расширение количества обучающих материалов на различных языках. ВыводыВ статье мы разобрались, что собой представляет Security Awareness в принципе. Security Awareness, или повышение осведомленности в области безопасности — это ряд обучающих мер, которые освещают основные моменты обеспечения безопасности как на рабочем месте, так и в обычной жизни. Короткие презентационные материалы, видеоролики, и прочие материалы, как правило, разрабатываются отдельными модулями для руководителей, звена управления и для персонала. После ознакомления с материалами обучающийся проходит тестирование.Если рассматривать сервисы по Security Awareness, то практически все вендоры предлагают помимо курсов по повышению осведомленности еще и антифишинговые рассылки для проверки знаний персонала и выявления «двоечников».Также мы рассмотрели законодательство в этом сегменте. С сожалением приходится резюмировать, что отечественное законодательство существенно отстает от зарубежного. Возможно, это связано с непониманием важности данного процесса для обеспечения безопасности не только частного сектора экономики, но и безопасности страны в целом. Как обычно, надеемся на авось.Говоря про отечественную и мировую практику по услугам осведомленности в вопросах информационной безопасности, стоит отметить, что отечественный рынок сервисов и систем Security Awareness находится в начале своего становления. Причем тенденции и перспективы развития, на наш взгляд, достаточно радужные.Из сервисов повышения осведомленности в вопросах ИБ, предлагаемых на отечественном рынке, наиболее продвинутыми являются сервис «Лаборатории Касперского» и сервис компании Phishman. Сервис «Лаборатории Касперского» содержит программы повышения осведомленности как для руководства, что является большим плюсом, так и для рядовых сотрудников. Сервис Phishman неплохо развивается, интеграция его с DLP-системами и значительный набор программ повышения осведомленности под различные категории сотрудников являются его плюсом.Остальные сервисы предлагают базовый курс по безопасной работе с электронной почтой и «интернет-гигиене».А теперь хотелось бы порассуждать на тему осведомленности в вопросах информационной безопасности и возможных перспектив развития в России. Все мы знаем, что нашу жизнь сейчас заполонили различные гаджеты, умные вещи, техника и т. д. Половину своего дня, а то и больше мы проводим в виртуальном мире. И что хочется отметить: дети с раннего возраста (5-7 лет) уже пользуются смартфонами, сидят за компьютерами. Кто им расскажет о фишинге, вирусах и киберугрозах? Кто обучит их родителей безопасной работе за компьютером?Немного порассуждав на эту тему, становится понятно, что решение здесь достаточно простое. Повышать осведомленность в вопросах информационной безопасности подрастающего поколения необходимо уже со школьной скамьи. Здесь необязательно вводить специализированные уроки, достаточно хотя бы раз в полгода проводить небольшое обучающее занятие, в конце которого делать тестирование. Обучать детей нужно именно основам кибербезопасности без углубления в специфику. То же самое необходимо делать и в средних специальных и высших учебных заведениях. При этом можно было бы в школах проводить занятия с родителями, раздавать им брошюры и различные постеры. Это позволит вырастить человека и специалиста, который знает основы безопасности — как придумывать пароль, что нельзя открывать непонятные письма, что по телефону нельзя передавать персональные данные кому-либо и т. д. Повышение осведомленности населения позволит в итоге значительно снизить расходы на обучение специалистов и повысит безопасность компании, в которую он устраивается, а также повысит безопасность страны в информационной сфере.Еще одним решением повышения осведомленности граждан могло бы стать размещение на основных поисковых сайтах и в социальных сетях постеров по безопасной работе в интернете — вместо навязчивой рекламы была бы полезная информация.Однако подобные вопросы необходимо решать на правительственном уровне, но когда власти придут к подобным решениям — неизвестно.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • AM_Bot
      В чём заключаются основные преимущества и недостатки биометрии? Какие биометрические системы являются наиболее точными? В чём состоит отличие поведенческих систем от статических? Попробуем разобраться в принципах работы и областях применения биометрии.      ВведениеОсобенности систем биометрической идентификацииТипы систем биометрической идентификации3.1. Статические системы3.1.1. Отпечатки пальцев3.1.1.1. Sherlock (Integrated Biometrics)3.1.1.2. Сканеры отпечатков пальцев СОП1 и СОП2 («Интек»)3.1.2. Рисунок вен на пальцах / руках3.1.2.1. Bio-Plugin: Биометрическая система СКУД (M2SYS)3.1.2.2. Palm Jet (BioSmart)3.1.3. Геометрия ладоней3.1.3.1. HandKey II (Schlage Recognition Systems)3.1.4. Радужная оболочка глаза3.1.4.1. Iris Access (Iris ID)3.1.4.2. Системы ВЗОР3.1.5. Сетчатка глаза3.1.5.1. HBOX (EyeLock)3.1.6. Лицо3.1.6.1. Blink Identity3.1.6.2. Face-Интеллект (ITV Group: Axxon Soft)3.1.6.3. PERCo-Web (PERCo)3.1.6.4. ПАК «Визирь» — СКУД на базе технологий компьютерного зрения3.1.7. Форма ушной раковины3.1.8. Голос3.1.8.1. ArmorVox (Auraya)3.1.8.2. IDVoice (ID R&D)3.1.9. Термограмма3.1.9.1. ESTONE FSAC-80 (Estone Technology)3.1.10. ДНК3.2. Поведенческие системы3.2.1. Походка3.2.1.1. SFootBD (University of Manchester)3.2.1.2. Watrix3.2.2. Движение губ3.2.2.1. Lip password (Hong Kong Baptist University, HKBU)3.2.3. Подпись3.2.3.1. SIGNificant Biometric Server (Namirial GmbH)3.2.4. Нажатие клавиш3.2.4.1. TypingDNA3.3. Мультимодальные биометрические системы3.3.1. Smart Authentications (CPqD)3.3.2. VoiceKey.PLATFORM (Группа компаний ЦРТ)3.3.3. Единая биометрическая система (Ростелеком)ПрименениеВыводы ВведениеНа сегодняшний день биометрические системы уже привычны каждому и активно участвуют в нашей жизни. Сканеры отпечатков пальцев, встроенные в смартфоны, технологии распознавания лиц и прочие инструменты постепенно приходят на замену традиционным методам идентификации и всё чаще проникают в крупные бизнесы, такие как банковское обслуживание и розничная торговля (ритейл). Биометрические системы имеют ряд преимуществ в сравнении с традиционными методами, так как приспособлены под идентификацию личности без возможности передачи ключа и во многом являются более удобными с точки зрения пользователя. Однако чем более активно ведётся внедрение такого вида систем, тем более остро встаёт вопрос обеспечения информационной безопасности.В данной статье рассмотрены основные виды биометрических систем, их принципы работы, преимущества и недостатки. Также приведён обзор компаний-производителей и конкретных продуктов, которые используются на коммерческом рынке на сегодняшний день. Особенности систем биометрической идентификацииБиометрическая идентификация — это процесс сравнения и определения сходства между данными человека и его биометрическим «шаблоном». Биометрия позволяет идентифицировать и провести верификацию человека на основе набора специфических и уникальных черт, присущих ему от рождения. Этот метод распознавания принято считать одним из самых надёжных, так как в отличие от стандартных логина и пароля биометрическими данными гораздо сложнее несанкционированно воспользоваться. Давайте рассмотрим механизм действия биометрических систем.Сначала в базе данных или на защищённом переносном элементе, таком как смарт-карта, сохраняется эталонная модель, основанная на биометрических характеристиках человека. Для этого могут использоваться один или несколько биометрических образцов.Сохранённые данные преобразуются в математический код; таким образом формируется база данных, представляющая собой набор кодов до 1000 бит, фиксирующих уникальные биометрические характеристики пользователей.При считывании отпечатка пальцев или радужки глаза сканер не распознаёт само изображение, а преобразовывает его в цифровой код, который затем сравнивает с загруженной ранее эталонной моделью. Типы систем биометрической идентификацииЧаще всего при мысли о биометрических системах нам на ум приходят сканеры отпечатков пальцев или системы распознавания лиц. Возможно, эти типы систем получили наибольшую известность благодаря кинофильмам и телесериалам. В любом случае наука не стоит на месте, и в последние годы границы биометрии стали намного шире. На данный момент существуют и активно применяются в безопасности, системах контроля доступа и предотвращения краж уже 14 типов биометрических устройств. Статические системыВ данном разделе мы расскажем о тех методах и инструментах, которые оценивают биометрические параметры в статике — без развития во времени. Отпечатки пальцевРаспознавание отпечатков пальцев является одним из первых биометрических методов. Он основан на определении структуры линий на подушечках пальцев рук, иначе — папиллярных узоров. После считывания сканером уникальный рисунок трансформируется в цифровой биометрический шаблон, при помощи которого система определяет, кто перед ней находится.Такие сканеры разделяются на два основных типа: оптические и кремниевые (тепловые и ёмкостные). Каждый из типов имеет свои преимущества и недостатки. Например, оптические сканеры являются наиболее точными с точки зрения определения узора, однако их можно обмануть с помощью силиконовых или латексных накладок и других нехитрых приёмов. Также они быстро загрязняются, в отличие от линейных тепловых, и для исключения погрешностей их приходится очищать после каждого применения. Для пользователя отличие состоит лишь в том, как взаимодействовать со сканером— прикасаться либо проводить по нему.Сейчас благодаря встроенным в смартфоны сканерам можно разблокировать таким образом мобильное устройство, оплатить покупки в интернете. В ближайшем будущем планируется внедрить подобные технологии и в другие устройства общего пользования, например в банкоматы (как это сделали Сбербанк и «Тинькофф»), и даже в метрополитене для замены билетов (такой проект собираются реализовать в Британии, чтобы сократить нагрузку на турникеты).  Sherlock (Integrated Biometrics)Компания Integrated Biometrics со штаб-квартирой в Спартанбурге, Южная Каролина, была основана в 2002 году. Integrated Biometrics продолжает расти как глобальный поставщик биометрических решений.Компания занимается разработкой датчиков регистрации и проверки отпечатков пальцев. В продуктах Integrated Biometrics используется плёнка LES (светоизлучающий датчик), обеспечивающая скорость, простоту использования и долговечность мобильных устройств биометрической верификации. Интегрированные биометрические датчики отпечатков пальцев Sherlock, единственные сертифицированные ФБР, работают под прямыми солнечными лучами на сухих или влажных пальцах, устойчивы к стиранию и на 90—95 процентов меньше и легче традиционных оптических сканеров. Они больше подходят для мобильных устройств, чем кремниевые или традиционные оптические датчики. Сканеры отпечатков пальцев СОП1 и СОП2 («Интек»)Устройства позволяют получить дактилоскопические отпечатки в различных режимах. Имеют встроенный алгоритм проверки качества отпечатка и подсветку для контроля состояния сканирования. Запуск сканирования выполняется автоматически при прикладывании пальца. После получения изображения сканер самостоятельно проводит проверку качества. Кодирование и декодирование изображения осуществляются с использованием алгоритма WSQ (вейвлет-скалярное квантование). Рисунок вен на пальцах / рукахДанный тип является усовершенствованной версией предыдущего. Взломать алгоритм его работы значительно труднее, чем при другом биометрическом сканировании, поскольку вены находятся глубоко под кожей. Инфракрасные лучи проходят через поверхность кожи, где они поглощаются венозной кровью. Специальная камера фиксирует изображение, оцифровывает данные, а затем либо сохраняет их, либо использует для подтверждения личности.Не так давно технология, получившая название FingoPay, была протестирована в одном из лондонских баров. Система идентифицирует уникальный рисунок вен пальцев рук и, по заявлению производителей, является почти совершенным устройством благодаря тому факту, что совпадение структуры рисунка вен у двух разных людей равно 1 к 3,4 млрд.Также аналогичная система производителя Hitachi была использована производителями японских банкоматов.  Bio-Plugin: Биометрическая система СКУД (M2SYS)Разработка M2SYS Bio-Plugin может распознавать как отпечатки пальцев, так и рисунок вен на пальцах и позволяет предприятиям любого масштаба и любой отрасли быстро интегрировать в работу систему биометрического программного обеспечения. Bio-plugin может проводить сопоставление 100 миллионов отпечатков пальцев в секунду на одном сервере и поддерживает совместимость с Windows и веб-приложениями. Преимуществами системы являются возможность быстрой интеграции (несколько часов), отсутствие необходимости компиляции ПО и глобальная инфраструктура поддержки. Система была интегрирована в комплексное биометрическое решение производителя — Гибридную биометрическую платформу, мультимодальную систему, которая поддерживает несколько форм биометрии, включая отпечатки пальцев, вены пальца и распознавание лиц.  Palm Jet (BioSmart)Одной из новейших разработок компании BioSmart является бесконтактный сканер Palm Jet. Это — комплексная биометрическая система, которая избавляет сотрудников от необходимости прикасаться к одним и тем же поверхностям. В данный момент используется некоторыми предприятиями в качестве мер для профилактики COVID-19.Palm Jet сканирует сеть подкожных вен и сравнивает результат с шаблоном в базе данных. Контрастный рисунок вен ладони формируется за счёт различных коэффициентов поглощения излучения венами и тканями ладони. Устройство отлично защищено от подлога — его невозможно обмануть с помощью силиконового муляжа или фотографии. Расстояние сканирования составляет 40—100 мм, при этом скорость распознавания — менее секунды.Прочие устройства вендора:BioSmart PV-WTC — терминал для организации пропускного режима и учёта рабочего времени;BioSmart PV-WM и BioSmart DCR-PV — считыватели вен ладони. Геометрия ладонейОпределение геометрии руки относится к измерению таких характеристик, как длина и ширина пальцев, их кривизна и относительное расположение. На данный момент этот метод является устаревшим и уже почти не используется, хотя когда-то был доминирующим вариантом биометрической идентификации. Современные достижения в области программного обеспечения для распознавания отпечатков пальцев и лиц затмили его актуальность.Существует также тип биометрических методов распознавания рисунка ладони, получивший название «дактилоскопия». Впервые он был применён в Лондоне 18 апреля 1902 г. при установлении личности преступника и на протяжении 20 века использовался в области криминалистики во многих странах. Однако на текущий момент этот метод также используется крайне редко в силу своей неточности и наличия более современных биометрических технологий.  HandKey II (Schlage Recognition Systems)Считыватели HandKey II разработки компании Schlage Recognition Systems фиксируют форму и размер руки, делая более 90 различных измерений. Затем они преобразуют и сохраняют эти измерения в виде 9-байтового цифрового шаблона идентификации, полностью уникального для каждого человека, который делает руку ключом.HandKey II функционирует как автономное устройство или легко интегрируется в существующую систему контроля доступа. В качестве контроллера доступа сканер обеспечивает управление механизмом блокировки с отслеживанием запросов на выход и сигналов тревоги. Аварийные оповещения предупреждают об отказе в доступе, чрезмерном количестве попыток сканирования, сбое питания и прочих событиях. Радужная оболочка глазаРадужная оболочка, или цветная часть глаза, состоит из толстых нитевидных мышц. Эти мышцы помогают формировать зрачок, чтобы контролировать количество света, попадающего в глаз. Измеряя уникальные складки и характеристики этих мышц, инструменты биометрической верификации могут подтвердить личность с невероятной точностью. Технологии динамического сканирования (например, сканирование того, как человек моргает) добавляют дополнительный уровень точности и безопасности. Iris Access (Iris ID)Iris ID с 1997 года является одним из крупнейших разработчиков технологий распознавания радужной оболочки глаза. IrisAccess — известная в мире платформа такого рода, которая уже была выпущена в четырёх версиях. По сведениям производителя, в данный момент система IrisAccess используется на 6 континентах и является более востребованной, чем все аналогичные продукты для распознавания радужной оболочки глаза вместе взятые.Одной из самых популярных серий является iCAM 7000. Новое поколение устройств способно осуществлять бесконтактную идентификацию человека по радужной оболочке глаза с расстояния около 30 см. Устройство имеет интуитивно понятный интерфейс с визуальным и звуковым оповещением, что позволяет быстро зарегистрировать человека в системе, а затем распознать его. Автоматическая подстройка угла наклона считывателя даёт возможность ускорить процесс распознавания при использовании устройства как отдельно, так и в комбинации с картами доступа или PIN-клавиатурой.  Системы ВЗОРКомпания является одним из наиболее востребованных производителей биометрических систем данного типа в России. Ниже представлены несколько самых популярных разработок.ВЗОР-Регистратор / ВЗОР-Мини: сканеры для записи биометрических шаблонов в базу (ВЗОР-Регистратор) и для идентификации (ВЗОР-Мини) с дистанцией захвата около 40 см. Пропускная способность — до 20 человек в минуту.ВЗОР-Пилон: сканер биометрической идентификации человека по радужной оболочке глаза с дистанцией захвата 0,9—1,1 м при движении человека со скоростью до 1 м/с. Обеспечивает скорость прохода через турникетную группу до 40 человек в минуту.ВЗОР-Портал: сканер биометрической идентификации по радужке глаза с дистанцией захвата до 1,6 метров и обеспечивающий захват радужки глаза при движении человека со скоростью до 2 м/с. Пропускная способность — до 80—90 человек в минуту. Сетчатка глазаПроверка сетчатки позволяет отсканировать капилляры глубоко внутри глаза с помощью камер ближнего инфракрасного диапазона. Получившееся изображение сначала предварительно обрабатывается для улучшения его качества, а затем преобразовывается в биометрический шаблон для регистрации нового пользователя и для последующей сверки с эталоном во время попыток распознавания пользователя. Высокая стоимость и необходимость помещать глаз близко к камере мешает более широкому использованию подобных сканеров.  HBOX (EyeLock)HBOX является устройством идентификации и верификации личности в наборе решений от компании-производителя Eyelock, которое осуществляет в режиме реального времени считывание и анализ сетчатки глаза на расстоянии и в движении. Гибкая конструкция предполагает несколько вариантов размещения — на мобильных стендах-воротах, фиксированных рамках и настенных креплениях — для максимальной гибкости в условиях нового строительства или модификации существующей конфигурации помещения.Пропускная способность HBOX обеспечивает прохождение до 50 человек в минуту и подходит для таких объектов, как аэропорты, вокзалы, стадионы. Сканер имеет возможности интеграции со всеми доступными стандартными системами и платформами управления доступом. ЛицоТехнология распознавания лиц, безусловно, является одной из первых форм биометрических систем идентификации. Программное обеспечение такого рода измеряет геометрию лица, включая расстояние между глазами и от подбородка до лба (и это — лишь некоторые из параметров). После сбора данных усовершенствованный алгоритм преобразует их в зашифрованный код, иначе — подпись (сигнатуру) лица.Согласно отчёту Computer Sciences Corporation (CSC), многие магазины уже внедрили системы распознавания лиц для отслеживания определённых групп покупателей. Принцип работы такого вида систем можно сравнить с таргетированной рекламой, цель которой — изучить предпочтения и предлагать наиболее релевантные товары.Недавно технология стала очень популярной среди пользователей смартфонов благодаря различным приложениям (например, для определения возраста) или встроенным сканерам лица, позволяющим снимать блокировку с устройства. Благодаря масштабному распространению среди пользователей и относительной простоте метода стало появляться всё больше приложений, использующих эту технологию.В 2019 году произошло несколько скандалов из-за утечки данных из приложения Zao для создания поддельных изображений (дипфейков). В ответ 16 марта 2020 года стало известно, что Китай ввёл обновлённые стандарты для приложений, собирающих биометрические данные, в том числе — для систем распознавания лиц.  Blink IdentityКомпания Blink Identity использует собственную технологию распознавания лиц для идентификации людей во время движения на полной скорости, которая позволяет опознавать более 60 человек в минуту. Система может быть использована для улучшения взаимодействия с гостями и безопасного контроля доступа на «живых» мероприятиях. Для регистрации человеку нужно пройти мимо датчика, который сфотографирует его и внесёт в базу данных.По словам представителей Blink Identity, технология позволит обнаружить лицо пользователя среди 50 тысяч человек и сопоставить его с фотографией из базы данных за полсекунды.  Face-Интеллект (ITV Group: Axxon Soft)Система «Face-Интеллект» позволяет проводить идентификацию по лицу в местах массового скопления людей — на вокзалах и стадионах, в аэропортах и метрополитене, а также в магазинах, ресторанах, барах и т. д. Преимущество системы состоит в том, что она способна сравнивать лица с базами данных госучреждений и правоохранительных органов, поддерживает протокол обмена данными с КАРС. «Face-Интеллект» позволяет осуществлять поиск видеозаписей с лицами, интересующими службу безопасности или правоохранительные органы, по фотографии, фотороботу или видеокадру. Система сравнивает лицо, захваченное камерой, с фотографией из базы данных СКУД. Доступ предоставляется автоматически; при низкой степени сходства решение принимает оператор.  PERCo-Web (PERCo)Производитель оборудования для обеспечения безопасности PERCo разработал веб-систему контроля доступа PERCo-Web, которая поддерживает работу с терминалами распознавания лиц Suprema и ZKTeco. Алгоритмы глубинного обучения терминалов позволяют собирать метаданные объекта и проводить более точную идентификацию, постоянно увеличивая скорость распознавания путём накопления характеристик объекта. Терминалы подключаются по интерфейсу Ethernet. Данные сотрудников могут быть оперативно добавлены в систему как основной или дополнительный идентификатор. Все события проходов через терминалы сохраняются в системе PERCo-Web. При необходимости в системе можно настроить алгоритм реакций, например уведомление при входе сотрудника, поступающее оператору. Для усиления мер безопасности на критически важных объектах система может быть использована совместно с другими методами идентификации.  ПАК «Визирь» — СКУД на базе технологий компьютерного зренияКомплексное решение для заказчиков любого масштаба, поставляется «под ключ», с наличием всех необходимых сертификатов. Построено на базе российского алгоритма распознавания лиц, зарекомендовавшего себя в десятках проектов по всей России. Исключает возможность мошенничества с помощью обмена пропусками, передачи пропуска лицам, не являющимся сотрудниками компании. Предотвращает проникновение на объект нежелательных лиц (сопоставление с «чёрным списком»), лиц с подозрением на инфекционное заболевание (измерение температуры). Решение обеспечивает бесконтактный проход на объект для снижения рисков заражений в условиях неблагоприятной эпидемиологической ситуации, выявляет факты нарушения трудовой дисциплины (контроль времени прихода / ухода сотрудников). В ПАК «Визирь» включена технология антиспуфинга — Liveness Detection (предотвращает атаки и попытки взлома). Продукт имеет хорошо документированный API с поддержкой большого количества методов (более 60) для решения любых задач, имеет готовые интеграционные модули для СКУД и билетно-кассовых систем ведущих вендоров. Форма ушной раковиныВ отличие от многих других биометрических методов, для которых требуются специальные камеры, эти биометрические системы измеряют акустику уха с помощью специальных наушников и неслышимых звуковых волн. Микрофон внутри каждого наушника измеряет то, каким образом звуковые волны отражаются от ушной раковины и расходятся в разных направлениях в зависимости от изгибов слухового прохода. Цифровая копия формы уха преобразуется в биометрический шаблон для дальнейшего использования.На текущий момент коммерческие аналоги пока ещё недоступны, однако ведутся многочисленные исследования в этой области. Весной 2015 года в Yahoo Labs предложили идентифицировать владельца смартфона по его ушным раковинам. В том же году патент на подобное изобретение получила компания Amazon. ГолосТехнология распознавания голоса попадает в сферы и физиологических, и поведенческих биометрических данных. С физиологической точки зрения такие системы распознают форму голосового тракта человека, включая нос, рот и гортань, определяют производимый звук. С поведенческой точки зрения они фиксируют то, как человек что-то говорит — вариации движений, тон, темп, акцент и т. д., что также является уникальным для каждого человека. Объединение данных физической и поведенческой биометрии создаёт точную голосовую подпись, хотя могут возникать некоторые несоответствия (например, в случае болезни или действия других факторов).  ArmorVox (Auraya)Омниканальный голосовой биометрический процессор от компании Auraya представляет собой запатентованную технологию голосовой биометрии, разработанную с использованием алгоритмов машинного обучения. Система позволяет проводить идентификацию и проверку голоса в цифровых приложениях, браузерах, роботах AI, голосовых помощниках, чате, контакт-центре, IVR и других цифровых каналах.Клиенты могут варьировать параметры безопасности — например, установить базовый уровень защиты для всех или повышенный её уровень для отдельных пользователей. ArmorVox может сопоставлять образцы на одном сервере в режиме реального времени со скоростью более 125 млн голосов в час.EVA на базе ArmorVox используется облачным сервисом Amazon Connect. Система представляет собой простое в использовании облачное голосовое биометрическое расширение для цифровых каналов, обеспечивающее идентификацию и проверку голоса, а также предоставляющее возможности по обнаружению мошенничества.  IDVoice (ID R&D)IDVoice от ID R&D — это управляемое при помощи искусственного интеллекта голосовое биометрическое ядро, которое осуществляет распознавание по голосу. Продукт построен на свёрточной нейронной сети и усовершенствованной технологии извлечения характеристик голоса, занимая первое место в рейтинге ведущих тестов отрасли.В данный момент IDVoice уже интегрирован в приложения для мобильного банкинга и программное обеспечение колл-центров для упрощения распознавания и предотвращения мошенничества.Чтобы обеспечить более быстрое внедрение и интеграцию корпоративными разработчиками, IDVoice может быть реализован на C ++, Python и Java и поставляется в виде образа Docker для гибких облачных развёртываний. IDVoice поддерживается платформами iOS, Android, Linux и Windows, что делает его универсальным для мобильных устройств, серверов, частных облаков и устройств интернета вещей. ТермограммаТермограмма — это представление инфракрасной энергии в виде изображения распределения температуры. Биометрическая термография лица фиксирует тепловые узоры, вызванные движением крови под кожей. Поскольку кровеносные сосуды каждого человека неповторимы, соответствующие термограммы также уникальны даже среди однояйцевых близнецов, что делает этот метод биометрической верификации даже более точным, чем традиционное распознавание лиц.  ESTONE FSAC-80 (Estone Technology)Компания Estone Technology запустила интегрированную систему инфракрасного теплового измерения температуры, распознавания лиц и определения состояния человека для контроля доступа в офисных зданиях, гостиницах, транспорте и других областях.Тепловизор с искусственным интеллектом ESTONE FSAC-80 проводит сегментирование изображения и сканирование сегментов, благодаря чему обеспечивает быстрое и точное определение температуры с точностью до 0,5 °C. Когда камера сканирует температуру тела, на ЖК-экране отображается видимый предупреждающий сигнал (и звуковое оповещение), а операционная система автоматически сохраняет изображение теплограммы человека. В данный момент разработка является особенно востребованной на рынке, так как помимо идентификации она позволяет выявить потенциальных больных COVID-19. ДНКДНК издавна использовалась в качестве метода идентификации. Кроме того, это — единственная форма биометрии, которая может отслеживать семейные связи. Сопоставление ДНК особенно ценно при работе с пропавшими без вести, выявлении жертв катастроф и потенциальной торговли людьми. Кроме того, помимо отпечатков пальцев, ДНК — единственный биометрический объект, который невозможно непреднамеренно «забыть». ДНК, собранная из волос, слюны и т. д., содержит последовательности коротких тандемных повторов (англ. short tandem repeat sequences, STR). С их помощью можно однозначно подтвердить личность, сравнивая их с другими STR в базе данных.В настоящее время технология мало представлена на биометрическом рынке. ДНК считается идеальной биометрической характеристикой, но её недостаток заключается в том, что однояйцевые близнецы будут иметь одну и ту же ДНК. Поведенческие системыПринципы поведенческой биометрии основаны на особенностях движения человека и его поведенческих характеристиках. Ниже перечислены основные виды поведенческой биометрии. Рисунок 1. Типы поведенческих биометрических систем  ПоходкаБиометрия походки фиксирует шаблоны шагов с помощью видеоизображения, а затем преобразует сопоставленные данные в математическое уравнение. Этот тип биометрических данных является ненавязчивым и незаметным, что делает его идеальным для массового наблюдения за толпой. Также преимуществом является то, что эти системы могут быстро идентифицировать людей издалека.Технология может быть очень полезной для использования в магазинах, банках и других организациях — например, для выявления возможных преступников. На данный момент одними из наиболее успешных разработок были названы SFootBD (Манчестерский университет) и технология китайской компании Watrix.  SFootBD (University of Manchester)При помощи нейронных сетей эта система находит особые закономерности в движениях человека при ходьбе, позволяющие распознавать личность. SFootBD, по заявлениям учёных-разработчиков, является в 380 раз более точной по сравнению с предыдущими методами.Во время ходьбы каждого человека можно выделить примерно 24 различных параметра движения. Разрабатывая систему, исследовательская группа собрала базу данных, состоящую из 20 тысяч «сигнальных» шагов от более чем 120 человек. Походка изучалась при помощи камеры высокого разрешения и напольных датчиков, фиксирующих давление при ходьбе. Система ИИ анализировала распределение веса, скорость походки и трёхмерные показатели каждого стиля ходьбы. Результаты показали, что в среднем система выдавала почти стопроцентную точность при идентификации людей. Частота ошибок составила 0,07 процента.  WatrixТехнология распознавания походки Watrix загружает видеоклип с изображением идущего человека, вырезает силуэт и создаёт модель его ходьбы. Компания планирует стать первой в мире, которая начнёт использовать технологию распознавания походки в коммерческих целях. Хотя Watrix утверждает, что её технология обеспечивает точность в 94 %, анализ не проводится в режиме реального времени. Следует отметить, что эти утверждения не были подтверждены независимыми экспертами, а эффективность программного обеспечения всё ещё остается неизвестной. Движение губЭто — одна из новейших форм биометрической верификации. Подобно тому, как глухой человек может отслеживать движение губ, чтобы определить сказанное, биометрические системы фиксируют активность мышц вокруг рта, чтобы сформировать шаблон их движения. Биометрические датчики такого рода часто требуют воспроизведения пользователем пароля, чтобы определить соответствующие движения губ, а затем на основе сравнения с записанным шаблоном предоставить или запретить доступ.На сегодняшний день одним из самых известных подобных решений является разработка учёных из Гонконгского баптистского университета (HKBU), которая пока ещё не вышла на рынок для коммерческого применения.  Lip password (Hong Kong Baptist University, HKBU)Согласно заявлению HKBU, система может подтвердить личность пользователя, сопоставив содержание пароля с «основными поведенческими характеристиками движения губ». Исследователи считают, что этот метод распознавания может иметь преимущество перед классическими биометрическими датчиками. Если пароль, сгенерированный биометрическим датчиком, скомпрометирован, сам метод генерации пароля перестаёт быть безопасным, поскольку отпечаток пальца или форма уха не могут быть изменены. Однако с помощью идентификации движения губ новый функциональный пароль можно создать просто произнеся другую фразу. На данный момент устройство находится на этапе разработки и пока ещё не анонсировано для коммерческого использования. ПодписьРаспознавание подписи — это поведенческая биометрическая система, которая измеряет пространственные координаты, давление пера, его наклон и ход как в автономных, так и в интерактивных приложениях. Цифровой планшет записывает измерения, а затем использует эту информацию в ходе автоматического создания биометрического профиля для будущей верификации.В настоящее время для ввода подписи используются планшеты, которые автоматически фиксируют положение ручки в разные моменты времени, углы наклона и давление, оказываемое на планшет.  SIGNificant Biometric Server (Namirial GmbH)Технология, называемая «SIGNificant Biometric Server», обеспечивает биометрическую проверку подписи в режиме реального времени на платформе SIGNificant путём сравнения биометрических параметров собственноручной подписи с предварительно зарегистрированным профилем. Документы обрабатываются только в том случае, если подписывающие их лица верифицированы.Основная идея SIGNificant Biometric Engine — преобразование движения руки в математическую структуру, называемую личным профилем. Это преобразование — одностороннее, т. е. обратная операция практически невозможна. Движение пера измеряется четырьмя способами (по горизонтали и вертикали, траектории движения, давлению, углу наклона). Для создания личного профиля система потребует примерно 4—6 попыток подписи. Клиентам доступны три типа настроек безопасности. Система также обладает технологией машинного обучения, что позволяет всё более точно проводить распознавание пользователей по мере увеличения количества попыток входа в систему. Нажатие клавишДинамика нажатия клавиш выводит стандартные пароли на новый уровень, отслеживая ритм их ввода. Такие датчики могут реагировать на время, затрачиваемое на нажатие каждой клавиши, задержки между клавишами, количество символов, вводимых за минуту, и так далее. Шаблоны нажатия клавиш работают вместе с паролями и PIN-кодами для повышения уровня безопасности.  TypingDNAРумынский стартап TypingDNA позволит распознавать людей по манере печатания. С помощью собственной технологии компания планирует укрепить онлайн-безопасность без ущерба для удобства работы пользователей. По словам создателей, технология обеспечивает высокую точность сопоставления при работе со всего одним предыдущим образцом набора текста.API верификации TypingDNA регистрирует нажатия клавиш пользователем в стандартизированном формате с открытым исходным кодом, что позволяет легко и просто интегрировать его в любое настольное или мобильное приложение. Разработчики могут реализовать API TypingDNA в качестве варианта пассивной двухфакторной верификации, метода восстановления пароля или просто для обеспечения соответствия входных данных заданному пользователю. SDK разработчика TypingDNA для мобильных устройств в настоящее время также поддерживает последние версии приложений для iOS и Android.TypingDNA соответствует требованиям ACE (Automated Commercial Environment) для онлайн-проверки студентов. Европейское банковское управление подтвердило, что ввод биометрических данных соответствует требованиям SCA (двухфакторная идентификация в банковском деле и платежах в ЕС); как следствие, разработки компании пользуются большим спросом со стороны отрасли. Мультимодальные биометрические системыБиометрию рассматривают и как мультимодальную технологию. Сочетание нескольких типов измерений позволяет повысить и уровень безопасности, и эффективность работы систем идентификации. Поэтому в последнее время всё больше компаний предлагают мультимодальные биометрические системы, а потребители ориентируются на комплексные решения.  Smart Authentications (CPqD)Бразильская компания CPqD запустила продукт Smart Authentications в партнёрстве с IBM. Платформа CPqD сочетает распознавание лица и голоса для аутентификации пользователей в сфере банковского обслуживания и электронной коммерции. Программное обеспечение позволяет осуществлять работу системы почти с любого устройства.  VoiceKey.PLATFORM (Группа компаний ЦРТ)VoiceKey.PLATFORM — мультифункциональная платформа, предназначенная для создания высоконагруженных систем с использованием целого стека AI-технологий: биометрии, распознавания и синтеза речи, акустических событий. Решение позволяет отказаться от PIN-кодов и паролей, а алгоритмы защиты от взлома с помощью аудио- и видеозаписи — liveness detection, «определение живого человека» — дают возможность выявлять мошенников и повышать уровень безопасности.  Единая биометрическая система (Ростелеком)Единая биометрическая система (ЕБС) представляет собой цифровую платформу, которая была разработана компанией «Ростелеком» по инициативе Министерства связи и массовых коммуникаций РФ и Центрального банка РФ. Система позволяет осуществлять идентификацию по голосу и изображению лица. Вместе с логином и паролем от «Госуслуг» система наделяет банки возможностью без личного присутствия гражданина открыть ему счёт или вклад, предоставить кредит. Со временем планируется провести масштабирование системы и в другие отрасли, например телемедицину или дистанционное обучение. ПрименениеДавайте рассмотрим наиболее распространённые области применения биометрических систем идентификации:Правоохранительные органы и общественная безопасность: выявление преступников / подозреваемых.Военная отрасль: идентификация противника / союзника.Финансовый сектор: идентификация и мониторинг пользователей банковского обслуживания / страхования.Государственный сектор: системы электронных документов, содержащие биометрические данные (электронные паспорта и удостоверения, водительские права и т. п.).Пограничный, туристический и миграционный контроль: идентификация путешественников, мигрантов, пассажиров.Здравоохранение и социальное обеспечение: идентификация пациентов и медицинских работников, получателей социальной помощи.Ритейл: идентификация и мониторинг потребителей / покупателей.Конечно, область применения биометрических технологий не ограничивается вышеперечисленными пунктами. Однако стоит отметить, что на данный момент этот вид технологий больше всего используется в военной отрасли и банкинге.По данным специалистов Comparitech, во многих странах, в особенности в Китае, Пакистане, Малайзии, США и Индии, в последние годы очень активно ведётся сбор биометрических данных. К сожалению, говорить о контроле их безопасности со стороны правоохранительных органов можно далеко не везде. В Китае, как упоминалось ранее, уже был ряд случаев утечки биометрических данных.В Ирландии, Португалии, Великобритании, Румынии и на Кипре сбор такой информации ведётся не так активно и скорость распространения биометрических технологий не так высока. Однако благодаря действию «Общего регламента по защите данных» (GDPR) с безопасностью дела там обстоят лучше. Россия на данный момент вместе с Канадой, Японией и Аргентиной занимает позицию «середнячка». ВыводыБиометрические системы распознавания всё больше внедряются в нашу жизнь, во многом облегчая её и упрощая процессы получения доступа. Они также помогают крупному бизнесу автоматизировать процессы поведенческого анализа и обнаруживать потенциальных злоумышленников, оказываясь незаменимыми помощниками в дополнение к традиционным методам защиты.Однако, несмотря на все вышеописанные преимущества, стоит также упомянуть и о недостатках биометрических систем. К сожалению, биометрическая информация, как и любая другая, уязвима. Банки, больницы и любые другие учреждения то и дело подвергаются хакерским атакам, и часть информации попадает в руки злоумышленников. Но одно дело, если это — стандартные логин и пароль, а другое — если речь идёт о биометрических данных. Ведь пароль можно сменить, а палец или радужку глаза — нет. В последнем случае при компрометации данных злоумышленник получает доступ ко всем активам с биометрической верификацией.Также биометрические системы бывают технологически несовершенны. Например, сотрудникам Vkansee удалось обмануть систему Touch ID при помощи пластилина, а Цутому Мацумото, известный японский криптограф и эксперт по безопасности, проделал подобную операцию и вовсе при помощи мишки из мармелада. Вносят свой негативный вклад и штампы из популярных фильмов, где сканеры взламывают буквально посредством пудры и скотча. Неудивительно, что общество смотрит на биометрические системы с определённой степенью недоверия.Вследствие наличия уязвимостей вроде описанных выше, а также из-за отсутствия надёжных систем безопасности большинство компаний — потенциальных заказчиков пока ещё не готово к масштабному переходу на биометрию повсеместно. Очевидно, что широкое применение подобных систем сопряжено с высоким уровнем риска. Остаётся лишь ожидать от их разработчиков, что те усилят меры безопасности для повышения доверия к своим продуктам, и наблюдать за развитием рынка биометрии. Читать далее
    • AM_Bot
      Управление привилегированными учётными записями обычно выходит за рамки проекта и возможностей систем класса IGA (Identity Governance and Administration). C одной стороны, это разумно — в силу специфики привилегированного доступа и потенциальных возможностей его обладателей. С другой стороны, базовые процессы пересмотра (ресертификации), своевременной блокировки доступа, назначения ответственных (владельцев) и др., которые по умолчанию имеются в системе IGA, зачастую отсутствуют в комплексах управления привилегированным доступом. Восполнить этот пробел призван модуль Privileged Account Governance (PAG) от компании One Identity.  ВведениеО привилегированном доступеСистема One Identity SafeguardМодуль интеграции Privileged Account Governance (PAG)4.1. Управление привилегированными учётными записями в One Identity Manager4.1.1. Устройства (Appliances)4.1.2. Учётные записи пользователей (User accounts)4.1.3. Группы пользователей (User groups)4.1.4. Активы (Assets)4.1.5. Группы активов (Asset groups)4.1.6. Учётные записи актива (Asset accounts)4.1.7. Учётные записи каталогов (Directory accounts)4.1.8. Группы учётных записей (Account groups)4.1.9. Полномочия (Entitlements)4.2. Привязка учётной записи пользователя в системе PAM к карточке сотрудника4.3. Запрос привилегированного доступа из портала самообслуживания IT Shop4.4. ОтчётыВыводы ВведениеДанной публикацией мы продолжаем обзор системы управления идентификационными данными и доступом One Identity Manager.В первой части обзора нами были рассмотрены история продукта и его функциональные возможности, детально описан портал самообслуживания как основное рабочее средство для сотрудников компании (рядовых пользователей, их руководителей, а также сотрудников отдела информационной безопасности и аудиторов).Во второй части мы рассказали об архитектуре решения, среде настройки и разработки коннекторов и средствах конфигурирования системы в целом.Третью часть обзора мы посвятили более детальному описанию возможностей One Identity Manager по интеграции с системой SAP R/3, широко используемой на российском и мировом рынке, и функциональности по разделению полномочий (Segregation of Duties).Ниже мы рассмотрим основные возможности модуля Privileged Account Governance (PAG), входящего в состав продукта One Identity Manager. Этот программный модуль предназначен для интеграции с системами управления привилегированным доступом (в IT-индустрии класс таких систем именуют Privileged Access Management — PAM). Наш обзор мы будем вести применительно к собственному PAM-решению компании One Identity — системе Safeguard. О привилегированном доступеПрежде чем начать обзор, необходимо сказать несколько слов об управлении доступом (сотрудников компании к информационным ресурсам организации, в которой они работают) в целом. Доступ сотрудников можно условно разделить на два типа:стандартный (набор учётных записей и полномочий, выданных сотруднику для выполнения должностных обязанностей);привилегированный (набор повышенных прав доступа, вплоть до административных — для настройки и обслуживания информационных систем и оборудования IT-инфраструктуры компании).Для управления доступом первого типа используются решения класса Identity Governance and Administration (IGA). Управление происходит централизованно, при помощи настраиваемой ролевой модели (Role-based Access Control — RBAC), через запросы доступа с последующим согласованием, посредством автоматизированных процессов аттестации / ресертификации — всё это мы подробно рассматривали в первой и второй частях обзора One Identity Manager.Проблема состоит в том, что второй тип доступа — привилегированный — в большинстве случаев не покрывается системой IGA. Для управления привилегированным доступом часто используют отдельные решения (класса Privileged Access Management — PAM), никак не связанные с системой IGA. Таким образом очень важная по своим потенциальным возможностям часть всех доступов хоть и контролируется через PAM, но всё равно выпадает из системы централизованного контроля и управления (IGA). Это происходит в силу того, что в PAM-системе обычно заводятся отдельные учётные записи для администраторов разных уровней и ведутся уникальные индивидуальные наборы доступов для каждой из них; там также присутствует необходимость поведенческого контроля действий администраторов (User Behavior Analytics — UBA), чего нет в системе IGA.Восполнить этот пробел призван механизм интеграции систем IGA и PAM — модуль Privileged Account Governance (PAG), входящий в стандартную поставку решения One Identity Manager. Система One Identity SafeguardНесколько слов также скажем о PAM-решении компании One Identity. В 2018 году One Identity приобрела Balabit — известного и популярного производителя продуктов в сфере информационной безопасности, таких как Session Control Box или syslog-ng, и интегрировала его разработки в своё собственное PAM-решение — Safeguard. В частности, Session Control Box превратился в модуль Safeguard for Privileged Sessions (SPS), а функции аналитики — в Safeguard for Privileged Analytics (SPA). О том и другом будет подробнее сказано ниже.One Identity Safeguard — это решение, сочетающее в себе возможности безопасного хранения паролей привилегированных учётных записей, а также мониторинга и записи «админских» сессий. Оно представлено в виде аппаратного (hardware appliance) или программного (virtual appliance) комплекса и состоит из двух основных независимых, но интегрирующихся между собой модулей:Safeguard for Privileged Passwords (SPP) — автоматизирует процессы запросов и процедуры предоставления привилегированного доступа с использованием ролевой модели и политик безопасности компании. Safeguard for Privileged Passwords позволяет организовать полноценную систему управления жизненным циклом паролей привилегированных учётных записей (включая встроенные, такие как «administrator», «root», «supervisor» и проч.) — запрос, согласование, утверждение, смена, ротация (на регулярной основе), отзыв и т. д. Система имеет свой собственный пользовательский портал для запроса и получения доступа. Также имеется в наличии мобильное приложение для утверждения запросов пользователей.Safeguard for Privileged Sessions (SPS) — с помощью этого модуля можно контролировать, отслеживать и записывать привилегированные сессии администраторов, подрядчиков и других пользователей, представляющих высокий уровень риска. Вся активность в рамках сессии (вплоть до нажатия клавиш, движений мыши и просмотра окон) записывается, индексируется и сохраняется в защищённых от несанкционированного доступа журналах аудита. Сессии можно просматривать как видеоролики и искать по любому слову, которое появлялось на экране пользователя. С помощью Safeguard for Privileged Sessions также можно контролировать вредоносные действия администраторов и блокировать команды, подвергающие опасности инфраструктуру компании.Отдельно опишем ещё один модуль PAM-системы One Identity — Safeguard for Privileged Analytics (SPA). Этот модуль используется совместно с модулем записи «админских» сессий (Safeguard for Privileged Sessions) и позволяет выявлять аномалии в поведении пользователей (UBA), находить и пресекать ранее неизвестные типы внутренних и внешних угроз. Алгоритмы продукта умеют выявлять отклонения от базовой линии поведения конкретного пользователя, исследуя динамику нажатия клавиш и движения мыши, время и место начала сессии, продолжительность сеанса. Эти и другие параметры служат для непрерывной биометрической аутентификации пользователей и помогают выявлять инциденты в области безопасности. Safeguard for Privileged Analytics также оценивает уровень потенциального риска каждого пользователя для принятия превентивных мер в отношении первоочередных угроз. Модульинтеграции Privileged Account Governance (PAG)PAM-решение One Identity Safeguard интегрируется с IGA-системой One Identity Manager при помощи стандартного модуля (PAG), входящего в комплект поставки последней. После активации модуля и настройки подключения к системе Safeguard становятся возможными следующие типовые сценарии:Автоматическое назначение доступа в PAM-систему из системы IGA. Например, для вновь принятого на работу сотрудника (или для уже существующего) в случае его приёма / перевода в «Отдел системного администрирования» можно автоматически создать учётную запись в PAM-системе (локальную или связанную с аккаунтом сотрудника в каталоге Active Directory) и / или добавить его учётную запись в ту или иную группу в той же PAM-системе (с группами могут быть связаны те или иные полномочия и политики привилегированного доступа, определяющие, к каким активам, аккаунтам, сессиям, в какое время и т. п. сотрудник сможет запрашивать привилегированный доступ). При увольнении или переходе в другой отдел учётную запись и весь доступ в PAM-системе можно автоматически заблокировать (удалить).Периодическая аттестация / ресертификация всех сотрудников (и их полномочий), у которых есть доступ в PAM-систему. Про функциональность аттестаций мы рассказывали в первой части обзора One Identity Manager. Здесь же отметим, что для аттестации / ресертификации привилегированного доступа используются тот же самый механизм и те же средства настройки, что и для стандартного доступа сотрудников.Показать всю полноту доступов конкретного сотрудника — как стандартного, так и привилегированного, с подробной информацией о том, откуда тот или иной доступ взялся — в виде отчётов и графических схем.Выявить неиспользуемый привилегированный доступ (например, сотрудник не заходил в PAM-систему в течение 6 месяцев — вероятно, его права нужно пересмотреть / заблокировать), а также учётные записи в PAM-системе, не привязанные ни к какому сотруднику (т. е. не имеющие владельца, «бесхозные»).Автоматическое создание учётных записей в PAM-системе и добавление их в нужные группы можно гибко настроить, используя ролевую модель, которая ведётся в решении IGA (бизнес-роли), и /или организационно-штатную структуру компании.В дополнение рядовые сотрудники могут запрашивать привилегированный доступ к системам (временно или на постоянной основе), используя портал самообслуживания IGA-решения — точно так же, как они запрашивают любой другой, стандартный доступ. При одобрении заявки (через настроенный процесс согласования) создание для них учётных записей в PAM-системе и добавление аккаунтов в те или иные группы доступа произойдёт автоматически.Считаем необходимым также упомянуть возможность системы Safeguard предоставлять доступ при помощи как локальных учётных записей и групп (т. е. когда для сотрудника создаётся локальная учётная запись в PAM-системе, которую он использует для авторизации в ней и запроса паролей привилегированных аккаунтов и сессий), так и взятых из каталога Active Directory. Другими словами, система одновременно поддерживает работу и автономно, и через интеграцию с корпоративным каталогом AD.В свою очередь, модуль Privileged Account Governance (PAG) обеспечивает функционирование в обоих режимах «из коробки». Управление привилегированными учётными записями в One Identity ManagerИнтерфейс системы управления привилегированным доступом One Identity Safeguard на данный момент — англоязычный. Он позволяет проводить настройку типовых объектов (элементов) PAM-системы, таких как пользователи, привилегированные учётные записи, группы пользователей, группы учётных записей, активы, группы активов, полномочия, политики доступа и др. Рисунок 1. Интерфейс PAM-системы One Identity Safeguard  При подключении PAM-системы One Identity Safeguard к IGA-решению One Identity Manager посредством модуля Privileged Account Governance (PAG) объекты PAM-системы отображаются следующим образом (см. иллюстрации ниже). Устройства (Appliances) Рисунок 2. Устройства системы PAM — отображение в административной консоли One Identity Manager  Показывает все виртуальные или «железные» устройства (appliances), составляющие основу системы PAM и её объекты. Учётные записи пользователей (User accounts) Рисунок 3. Локальная учётная запись пользователя в системе PAM — отображение в административной консоли One Identity Manager  Рисунок 4. Свойства локальной учётной записи пользователя в системе PAM — отображение в административной консоли One Identity Manager  Рисунок 5. Права доступа в свойствах локальной учётной записи пользователя в системе PAM — отображение в административной консоли One Identity Manager  Рисунок 6. Учётная запись пользователя в системе PAM, связанная с Active Directory — отображение в административной консоли One Identity Manager  Группы пользователей (User groups) Рисунок 7. Локальная группа в системе PAM — отображение в административной консоли One Identity Manager  Рисунок 8. Свойства локальной группы в системе PAM — отображение в административной консоли One Identity Manager  Рисунок 9. Группа в системе PAM, связанная с Active Directory — отображение в административной консоли One Identity Manager  Рисунок 10. Свойства группы в системе PAM, связанной с Active Directory — отображение в административной консоли One Identity Manager  Активы (Assets) Рисунок 11. Активы, зарегистрированные для управления в системе PAM — отображение в административной консоли One Identity Manager  Показывает все устройства (серверы, сетевое оборудование и пр.), привилегированными учётными записями которых управляет система PAM. Рисунок 12. Свойства активов, зарегистрированных для управления в системе PAM — отображение в административной консоли One Identity Manager  Группы активов (Asset groups) Рисунок 13. Группы активов — отображение в административной консоли One Identity Manager  Рисунок 14. Свойства группы активов — отображение в административной консоли One Identity Manager  Учётные записи актива (Asset accounts) Рисунок 15. Привилегированные учётные записи на активах, зарегистрированные для управления в системе PAM — отображение в административной консоли One Identity Manager  Показывает привилегированные учётные записи на устройствах (серверах, сетевом оборудовании и пр.), которыми управляет система PAM. Рисунок 16. Свойства привилегированных учётных записей на активах, зарегистрированных для управления в системе PAM — отображение в административной консоли One Identity Manager  Учётные записи каталогов (Directory accounts) Рисунок 17. Учётные записи Active Directory, связанные с PAM-системой — отображение в административной консоли One Identity Manager  Показывает все привилегированные учётные записи Active Directory, которыми управляет система PAM. Группы учётных записей (Account groups) Рисунок 18. Группы привилегированных учётных записей на активах — отображение в административной консоли One Identity Manager  Полномочия (Entitlements) Рисунок 19. Объекты полномочий в системе PAM — отображение в административной консоли One Identity Manager  Показывает, какие полномочия выданы каким пользователям (группам) в системе PAM и какие политики доступа связаны с этими правами. Привязка учётной записи пользователя в системе PAM к карточке сотрудникаВся полнота доступа пользователя представлена на одной картинке. Отображается карточка сотрудника с привязкой всех имеющихся у него учётных записей, включая аккаунт в системе PAM. Рисунок 20. Привязка учётной записи пользователя в системе PAM к карточке сотрудника в системе IGA — отображение в административной консоли One Identity Manager  Запрос привилегированного доступа из портала самообслуживания IT ShopИз портала самообслуживания One Identity Manager можно запрашивать:Привилегированные сессии к системам (RDP, SSH, Telnet и др.).Пароли привилегированных учётных записей.Создание новой учётной записи в PAM-системе для сотрудника.Добавление учётной записи в PAM-системе в те или иные группы PAM.Ниже приведено несколько примеров таких запросов. Рисунок 21. Запрос RDP-сессии из портала самообслуживания One Identity Manager  После отправки запроса и прохождения настроенной процедуры согласования запросившее лицо получает уведомление по электронной почте с прямой ссылкой на открытие сессии RDP (без необходимости ввода пароля привилегированной учётной записи). Рисунок 22. Запрос пароля привилегированного аккаунта из портала самообслуживания One Identity Manager  После отправки запроса и прохождения процедуры согласования сотрудник получит уведомление по электронной почте со ссылкой в систему PAM, где он сможет получить текущий пароль запрашиваемой привилегированной учётной записи. Рисунок 23. Запрос пароля привилегированного аккаунта из портала самообслуживания One Identity Manager — продолжение  При запросе указывается дополнительная информация: пароль какой привилегированной учётной записи нужен и на каком активе (сервере, сетевом устройстве и т. п.). Рисунок 24. Запрос создания учётной записи в системе PAM из портала самообслуживания One Identity Manager  После отправки запроса и прохождения процедуры согласования для сотрудника автоматически будет создана учётная запись в системе PAM. Вся история запроса и его согласования будет бессрочно храниться в системе IGA. Рисунок 25. Запрос членства в группе PAM из портала самообслуживания One Identity Manager  После отправки запроса и прохождения процедуры согласования учётная запись пользователя (которая принадлежит сотруднику, запросившему доступ) в системе PAM будет добавлена в запрошенную группу; таким образом сотрудник получит доступ к тем или иным активам / привилегированным учётным записям. Отчёты Рисунок 26. Пример отчёта «Неиспользуемые учётные записи» — показывает сотрудников, которые не заходили в систему PAM в течение последних N месяцев  Рисунок 27. Пример отчёта «Неиспользуемые учётные записи» — продолжение  Рисунок 28. Пример отчёта «Висячие учётные записи» — показывает аккаунты в системе PAM, не связанные ни с какой карточкой сотрудника в системе IGA  Рисунок 29. Пример отчёта «Висячие учётные записи» — продолжение  ВыводыМодуль Privileged Account Governance (PAG) помимо управления стандартным доступом сотрудников компании позволяет также «взять под зонтик» и администрирование расширенных полномочий. Таким образом система управления доступом и контроля над ним (IGA) действительно становится центральной точкой, отвечающей за всю полноту доступа сотрудников к информационным ресурсам предприятия — что и является её истинным предназначением.Видео, которое наглядно демонстрирует данный тезис, вы можете посмотреть на официальном канале One Identity в YouTube. Читать далее
    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.9.200.
    • Ego Dekker
      Антивирусы были обновлены до версии 13.2.18.
    • Ego Dekker
×