Перейти к содержанию
AM_Bot

Обзор средств двухфакторной аутентификации Gemalto

Recommended Posts

AM_Bot
Обзор средств двухфакторной аутентификации Gemalto
Утрата аутентификационной информации может привести к потере не только данных, но и инфраструктуры в целом. Поэтому наличие второго фактора аутентификации носит уже не рекомендательный, а обязательный характер. Решения Gemalto — как контактные, так и бесконтактные — позволяют решить вопрос с аутентификацией пользователей, заменив неприемлемую базовую аутентификацию по логину и паролю на полноценную двухфакторную аутентификацию.   ВведениеКонтактные аутентификаторы2.1. Электронные ключи и смарт-карты eToken2.2. Другие функции контактных аутентификаторов2.3. Что делать, если нет PKI-инфраструктурыБесконтактные аутентификаторы3.1. Аутентификация для облачных сервисов и мобильных пользователей3.2. Двухфакторная аутентификация на одноразовых пароляхВозможности интеграцииВыводы ВведениеРазвитие мобильности, облачных технологий, увеличение пропускной способности каналов связи изменило понятие рабочего места до неузнаваемости. Рабочее место теперь там, где есть интернет. А инструмент работы — устройство, которое есть под рукой: смартфон, планшет, ноутбук. Пользователи получают идеальное рабочее место — доступ к данным в любое время из любой точки. Однако все это приводит к нарушению того самого «контролируемого периметра», где действия пользователя могут стать неконтролируемыми. Так появляется барьер между подразделением информационной безопасности и «идеальным рабочим местом». На что в первую очередь обращают специалисты по безопасности при организации удаленных и рабочих мест — это, конечно же, аутентификация пользователя. Критичность этого показателя защищенности определяется следующими факторами:Аутентификация пользователя присутствует во всех решениях.Аутентификация пользователя — это тот самый «ключ от квартиры, где деньги лежат».Ежегодные отчеты по угрозам информационной безопасности показывают, что аутентификация по-прежнему остается самым слабым звеном — стикеры на экранах, файлы на рабочих столах с паролями, мастер-пароли, кейлогеры и другие вредоносные программы — все это осталось, и в будущем также будет существовать в информационных системах.Для решения вопросов, связанных с аутентификацией, специалисты по информационной безопасности уже давно пришли к выводу об обязательном применении многофакторной аутентификации. В разных изданиях этот термин трактуют по-разному, но в данной статье мы будем придерживаться следующего определения: под многофакторной аутентификацией понимается выполнение минимум двух из трех факторов аутентификации:Фактор знания (например, пароль или парольная фраза)Фактор владения (например, токен или смарт-карта)Фактор свойства (например, биометрические данные)При этом необходимо сделать очень важное замечание (которое некоторые специалисты ошибочно игнорируют) — использование одного фактора дважды (например, два отдельных пароля) не подпадает под понятие многофакторной аутентификации.Теперь, после того как мы разобрались с понятием многофакторной аутентификации, стоит поговорить о том, какая она бывает и какие плюсы и минусы есть у каждого из варианта исполнения. Но чтобы не рассказывать об абстрактных вещах, в качестве представителей разных типов многофакторной аутентификации мы возьмем конкретные решения. В качестве вендора мы возьмем компанию Gemalto, а в качестве экземпляров для примеров следующие продукты:Электронный ключ SafeNet eTokenРешение SafeNet Network Logon.Решение SafeNet Authentication Service Контактные аутентификаторыЭлектронные ключи и смарт-карты eTokenНачнем с классического варианта двухфакторной аутентификации, который за многие годы в России во многих компаниях стал стандартом информационной безопасности — это электронные ключи eToken. Электронный ключ eToken представляет собой устройство в форм-факторе USB-ключа или смарт-карты, на борту которого располагается чип. На чипе установлена некая платформа, в которой функционирует апплет (приложение). Апплет представляет собой реализацию необходимой функциональности для интеграции устройства с инфраструктурой открытых ключей (инфраструктурой PKI). Дополнительно апплет позволяет реализовать хранение критической информации внутри устройства, а также реализовывать криптографические операции, связанные с электронно-цифровой подписью. Этот класс решений принято называть контактными аутентификаторами на основе цифровых сертификатов. Линейка электронных ключей eToken постоянно развивается. Для российского рынка наиболее известными являются модели eToken Pro (Java) в форм-факторе USB-ключей и смарт-карт. На сегодняшний день на замену им пришло следующее поколение ключей — электронный ключ 5110 и смарт-карта 5110. Они наследуют функциональность eToken Pro, однако расширяют свои возможности, адаптируясь к современным стандартам по криптографии (одним из значимых нововведений является поддержка эллиптических кривых).Основные классы решения задач с использованием электронных ключей eToken — это обеспечение двухфакторной аутентификации пользователей при организации удаленного доступа с использованием технологии VPN, при организации входа на порталы или облачные ресурсы, а также на рабочую станцию. Здесь также стоит отметить важную функциональность, которую можно реализовать с использованием контактного аутентификатора — это реакция на удаление устройства из системы. Как только USB-токен или смарт-карта будут удалены из USB-разъема или карт-ридера, пользовательская сессия будет заблокирована. Если говорить про USB-токен, то здесь необходимо требовать от пользователя делать это самостоятельно, а вот со смарт-картами это может стать обязательной необходимостью для сотрудника. И дело здесь вот в чем. Смарт-карта по требованию заказчика может быть кастомизирована путем добавления в нее RFID-метки. Тем самым карта превратится не только в средство аутентификации, но и в пропуск, который будет использован совместно с системой контроля управления дверьми. А это означает, что каждый раз, когда сотрудник будет покидать свое рабочее место, он обязан будет вытащить карту и тем самым заблокировать свою пользовательскую сессию.Другие функции контактных аутентификаторовДополнительная функциональность, которая может быть реализована с использованием электронных ключей и смарт-карт, — это безопасное хранение ключевой информации и организация электронно-цифровой подписи. Все чаще и чаще компании прибегают к защите данных путем их шифрования. При этом необходимо помнить, что, какой бы стойкий криптоалгоритм ни использовался, компрометация ключа шифрования может привести к несанкционированному доступу к данным. По этой причине особое внимание уделяется хранилищу ключевой информации, в роли которого может выступать электронный ключ или смарт-карта eToken. В этом случае для доступа к ключу потребуется иметь как само устройство хранения, так и знать PIN-код для доступа к этому хранилищу. А архитектура ключа Security By Design позволит защитить ключевую информацию в случае потери носителя (архитектура позволяет защитить хранилище от различных типов атак, включая даже такие как послойное считывание информации с чипа).Сегодня все больше компаний переходят на электронный документооборот. Это означает, что рукописная подпись субъекта должна быть заменена на электронно-цифровую. В этом случае также не обойтись без хранилища ключевой информации. Более того, стоит отметить, что в случае использования зарубежных криптоалгоритмов, генерация и подпись происходит непосредственно на ключе или смарт-карте. В случае же необходимости применения российских криптоалгоритмов можно говорить о подтвержденной интеграции с российскими производителя внешних криптопровайдеров (таких, как «КриптоПро», «ИнфоТеКС», «Сигнал-КОМ»).Таким образом, электронный ключ или смарт-карта могут совмещать в себе не только функции, усиливающие аутентификацию по логину и паролю, но и элементы, которые все чаще приходится использовать в повседневной жизни — карту допуска, шифрование и электронно-цифровую подпись.Что делать, если нет PKI-инфраструктурыКонтактные аутентификаторы для обеспечения двухфакторной аутентификации с применением электронных ключей и смарт-карт — решение, проверенное временем. Однако оно требует обязательного наличия PKI-инфраструктуры. Целесообразно применять PKI-инфраструктуру крупным компаниям, где есть выделенные специалисты, которые обеспечат как управление самой инфраструктурой, так и жизненным циклом электронных ключей и смарт-карт (для решения второго вопроса компания Gemalto предлагает специальное программное обеспечение SafeNet Authentication Manager, которое позволяет снизить нагрузку по работам, связанным с управлением электронных ключей и смарт-карт). В совокупности все компоненты, описанные ранее, позволяют внедрить в компанию двухфакторную аутентификацию на базе контактных аутентификаторов. Однако сложность возникает тогда, когда требуется обеспечить двухфакторную аутентификацию для рабочей станции, которая изолирована от PKI-инфраструктуры. Например, рабочее место для обработки конфиденциальной информации или ноутбук руководителя. Что делать в этом случае при условии, что функциональность операционной системы без инфраструктуры PKI данную задачу решить самостоятельно не сможет. Подобные решения есть — например, SafeNet Network Logon. Оно представляет собой программный продукт, который при инсталляции заменяет GINA (в случае ранних версий операционных систем Microsoft, например, Windows XP) и Credential Provider в случае современных систем вплоть до Windows Server 2016 и Windows 10. Эти модули операционной системы представляют собой набор библиотек, которые обеспечивают интерактивный вход пользователя на рабочую станцию по логину или паролю. SafeNet Network Logon расширяет функциональность операционной системы, добавляя возможность входа в систему по токену или смарт-карте, где хранится некий профиль пользователя, который в процессе входа сопоставляется с данными, хранящимися в операционной системе. В этом случае возможно применение процедуры двухфакторной аутентификации (для входа в систему пользователю необходимо иметь аутентификатор с профилем и знать PIN-код для доступа к защищенной области памяти ключа или смарт-карты). При этом для формирования профиля и сохранения его на аутентификаторе не требуется наличие PKI-инфраструктуры. То есть даже на изолированном домашнем компьютере пользователь сможет настроить себе двухфакторную аутентификацию, не уступающую по функциональности той, что используется в крупных организациях. Бесконтактные аутентификаторыАутентификация для облачных сервисов и мобильных пользователейВремя не стоит на месте, и нашу жизнь уже нельзя представить без смартфонов, планшетов и облачных сервисов. И в этом векторе развития применение контактных аутентификаторов создает трудности как при использовании мобильных устройств (в устройстве просто нет USB-разъема и встроенного карт-ридера), так и при интеграции с внешними сервисами. В этом случае на помощь приходят решения, которые называются бесконтактными аутентификаторами, или генераторы одноразовых паролей. В качестве сервера аутентификации, который умеет проверять одноразовые пароли, мы рассмотрим решение SafeNet Authentication Service. Суть его проста — устройство формирует некую случайную последовательность, которая выступает в качестве динамического пароля. Этот динамический пароль проверяется на сервере аутентификации и при условии совпадения пользователь успешно аутентифицируется. При этом необходимо отметить, что при условии использования динамического пароля повторно его использовать уже не получится, так как сервер признает попытку неуспешной. SafeNet Authentication Service доступно клиентам в двух редакциях — первая позволяет устанавливать решение внутри компании, вторая предоставляет функции аутентификации как сервис (облачная редакция). Решение SafeNet Authentication Service поддерживает все типы генераторов одноразовых паролей, к которым относятся:Генераторы паролей с синхронизацией по событию. Генератор формирует одноразовый пароль, который может использоваться только один раз.Генераторы паролей с синхронизацией по времени.  Генератор формирует одноразовый пароль, который можно использовать только один раз и только в течение короткого промежутка времени (30 секунд или минуты). Если вы уже использовали пароль или не уложились во временной интервал, то пароль будет признан не валидным.Генератор, функционирующий по технологии «запрос» — «ответ». Для пользователя это выглядит следующим образом: он заходит на ресурс, где требуется аутентифицироваться. На основании идентификатора, предоставленного перед аутентификацией, сервер аутентификации формирует некую последовательность. Пользователь вводит эту последовательность («запрос») в генераторе одноразовых паролей, который, в свою очередь, формирует некий «ответ», который и будет выступать динамическим паролем для аутентификации пользователя.Подобные типы устройств реализованы в следующих классах одноразовых паролей:Аппаратные генераторы одноразовых паролей. К преимуществам таких устройств относится тот факт, что генерация одноразовых паролей осуществляется в изолированной среде. При использовании таких устройств каждый пользователь может выбрать себе такой форм-фактор, который будет максимально удобным для него, — брелок, карта с дисплеем. Дополнительно часть аппаратных генераторов поддерживают защиту токена путем установки PIN-кода на него.  К недостаткам устройств относится то, что это именно устройство, которое необходимо передать пользователю (а иногда это достаточно сложно при условии удаленности), носить с собой и которое может быть подвержено физическому воздействию. Рисунок 1. Аппаратные генераторы одноразовых паролей Программные генераторы одноразовых паролей — это приложения, которые могут быть установлены на мобильный телефон или компьютер. Большую популярность, конечно, имеют мобильные приложения, которые поддерживают все современные мобильные платформы. Удобство состоит в том, что не требуется иметь дополнительное устройство, которое необходимо носить с собой, а мобильный телефон — всегда с пользователем. Да и использование мобильного устройства исключает дополнительные затраты на приобретение генератора одноразовых паролей. Мобильные приложения также добавляют дополнительную функциональность, которая как усиливает безопасность, так и позволяет комфортно работать пользователю (что в общем случае противоречит правилам, так как усиление функциональности безопасности чаще всего приводит к снижению комфорта для пользователя). Первая из интересных особенностей — это защита мобильного приложения не только PIN-кодом (сформировать одноразовый пароль можно только в случае знания PIN-кода), но биометрией для защиты доступа к приложению (разблокировать приложение можно просто приложив палец к биометрическому считывателю телефона). Второй особенностью является поддержка технологии PUSH OTP. Она доступна пока только для облачной редакции (однако в конце этого года будет доступна и для локальной инсталляции) и для мобильных платформ iOS и Android. Принцип работы механизма прост — пользователь заходит в сервис, где требуется выполнить аутентификацию, указывает свой идентификатор и отправляет его на сервис аутентификации SafeNet Authentication Service. В свою очередь сервис аутентификации отправляет push-уведомление на телефон клиента. Клиент делает разблокировку приложения (с использованием PIN-кода или биометрии) и видит две кнопки — Deny (Запретить) и Approve (Разрешить). Для аутентификации нажимает кнопку Approve, и приложение самостоятельно отправляет одноразовый пароль на сервер аутентификации, верифицирует его на нем и предоставляет доступ к требуемому сервису. Демонстрация PUSH OTP доступна здесь. Рисунок 2. Программный генератор одноразового пароля с технологией PUSH OTP Приложение также адаптировано и на случай, если интернет не доступен. Пользователь привычным для него образом выполняет разблокировку приложения, формирует динамический пароль и использует его для аутентификации.Из минусов программного аутентификатора можно отметить только одно свойство — пользователь должен уметь установить приложение на свое мобильное устройство.Доставка одноразовых паролей через SMS или почтовое сообщение. Такая технология давно используется в мобильном банкинге. Из плюсов здесь стоит отметить простоту эксплуатации для пользователя. Из минусов — это использование уязвимого протокола SS7, который позволяет перехватывать SMS-сообщения пользователей, а также большие задержки при доставке SMS в роуминге.Графический аутентификатор, который выступает в качестве генератора одноразового пароля. Принцип работы его состоит в том, что при активации пароля пользователь самостоятельно определяет траекторию в матрице и запоминает ее. В следующий раз, когда потребуется аутентифицироваться в сервисе, пользователю будет предоставлена матрица с цифрами (цифры будут повторяться). На основании траектории, который знает только сам пользователь, он самостоятельно будет формировать значение динамического пароля. При каждой новой аутентификации цифры в матрице будут меняться. Из плюсов стоит отметить, что данный аутентификатор нельзя повредить, его не требуется доставлять пользователю (устанавливать на устройство), он всегда возникает там, где требуется процедура аутентификации. Из минусов можно отметить, что этот «экзотичный» аутентификатор не является полноценной двухфакторной аутентификацией в соответствии с определением.  Рисунок 3. Графический аутентификатор  Демонстрацию различных бесконтактных аутентификаторов на примере сервисов Microsoft SharePoint и Outlook Web Access можно посмотреть здесь.Двухфакторная аутентификация на одноразовых пароляхПосле рассмотрения всех типов аутентификации возникает вопрос — а где же здесь двухфакторная аутентификация? Двухфакторная (многофакторная) аутентификация может быть реализована совместно с базовой аутентификацией сервиса, куда пользователь пытается получить доступ. Например, рассмотрим вход на рабочую станцию Windows c использованием программного аутентификатора. Для входа пользователь должен выполнить следующие действия — указать логин и Windows-пароль для выполнения аутентификации самой средой Windows. Далее пользователь должен разблокировать мобильное приложение (например, путем применения биометрии), сформировать динамический пароль и использовать его как дополнительный фактор аутентификации. У читателя может возникнуть вопрос — а что будет, если пользователь решит аутентифицироваться на рабочем ноутбуке в самолете? Доступа к серверу аутентификации нет. Решение SafeNet Authentication Service позволяет аутентифицироваться пользователю и в офлайне. Единственным условием работы этого режима является лишь требование хотя бы один раз аутентифицироваться через сервер аутентификации.Далее рассмотрим вариант двухфакторной аутентификации без использования базовой аутентификации самого сервиса. Для примера возьмем веб-портал, где есть два поля — логин и пароль, и аппаратный аутентификатор. Решение SafeNet Authentication Service позволяет выставить такую политику для аутентификатора как PIN-код. В этом случае динамический пароль будет выглядеть как конкатенация PIN-кода (который знает только пользователь) и динамического значения одноразового пароля (который может быть сформирован только при наличии генератора и который имеется только у пользователя). В этом случае мы видим полноценную двухфакторную аутентификацию. Возможности интеграцииПосле того как мы осветили все типы аутентификаторов, логичным вопросом будет, как выполнять интеграцию SafeNet Authentication Service с сервисом, где требуется настроить двухфакторную аутентификацию. SafeNet Authentication Service предлагает три способа интеграции:С использованием готовых агентовС использованием протокола RADIUSС использованием протокола SAML 2.0 и SSOНа текущий момент SafeNet Authentication Service предоставляет готовые агенты для следующих сервисов:Вход на рабочую станцию Microsoft Windows (с поддержкой режима работы без доступа к серверу аутентификации)Outlook Web AccessMicrosoft AD FSMicrosoft IISMicrosoft Remote Desktop WebПри условии, что сервис отличается от программной платформы Microsoft, в большинстве случаев интеграцию можно выполнить через стандартный протокол RADIUS, реализация которого может быть произведена через службу Microsoft Network Policy Service или приложение для платформы Linux — FreeRADIUS сервер. Данный протокол поддерживается практически всеми, кто предоставляет удаленный доступ: производители устройств для организации VPN-соединения, разработчики VDI-решений. Для продуктов собственной разработки можно использовать готовые классы, реализующие RADIUS-протокол, тем самым добавив двухфакторную аутентификацию в продукт собственной разработки.Сегодня много компаний смотрят в сторону технологии SaaS (Software As A Service). Сервис-провайдеры, понимая необходимость применения двухфакторной аутентификации, предоставляют в своих сервисах поддержку протокола SAML и технологии Single Sign On (SSO). Данный механизм позволяет выполнить интеграцию сервиса с решением SafeNet Authentication Service, используя стандартный протокол. Для пользователя это выглядит следующим образом: на странице сервиса он вводит свой идентификатор и перенаправляется на портал SafeNet Authentication Service. Выполнив процедуру аутентификации на портале, пользователь возвращается на страницу сервиса и начинает работать.Основные вопросы, связанные с внедрением бесконтактной аутентификации, мы уже рассмотрели. Для каждого пользователя SafeNet Authentication Service предлагает такие аутентификаторы, которые в зависимости от условий эксплуатации позволяют как усилить функциональность аутентификации, так и сохранить удобство и простоту использования для пользователя. Администраторам SafeNet Authentication Service предлагает механизмы интеграции, которые позволят выполнить ее более чем в 90% случаев прямо из коробки. Остается один немаловажный вопрос — это ввод в эксплуатацию и поддержка сервера аутентификации.Для снижения нагрузки на отдел технической поддержки и ускорения решения вопросов, связанных с аутентификаторами пользователей, решение SafeNet Authentication Service предоставляет портал самообслуживания. Там пользователь может самостоятельно, без привлечения сил IT-специалистов, решить такие задачи, как запрос аутентификатора, синхронизация аутентификатора в случае рассинхронизации токена, изменение значения PIN-кода, траектории для графического аутентификатора или личных параметров пользователя. Дополнительно портал может быть кастомизирован (оставлены только те функции, которые действительно нужны для пользователя), брендирован (на портале можно разместить логотип, использовать стили и цвета графического интерфейса, принятые в компании), локализован (все записи могут быть переведены на русский язык и переименованы для упрощения взаимодействия пользователей с порталом самообслуживания).Отдельно стоит отметить процедуру назначения аутентификаторов пользователям. Этот процесс происходит «по воздуху», то есть пользователь самостоятельно может выполнить процедуру активации токена и сразу же приступить к работе. Для клиента SafeNet Authentication Service все выглядит не сложнее регистрации в социальных сетях. Администратор SafeNet Authentication Service или же сама система SafeNet Authentication Service в случае выполнения правил автоматического назначения аутентификатора отправляет пользователю почтовое сообщение со ссылкой на активацию токена. Ему необходимо перейти по ссылке и в случае аппаратного токена ввести его серийный номер и значение одноразового пароля для синхронизации с сервером, а в случае с графическим токеном — задать траекторию, во всех остальных случаях система все сделает сама. С учетом времени развертывания сервера SafeNet Authentication Service и данной процедуры активации аутентификаторов настроить механизм двухфакторной аутентификации для 20000 пользователей займет не более 15 минут. ВыводыРешения Gemalto позволяют организовать аутентификацию пользователей, заменив устаревшую и неэффективную базовую аутентификацию по логину и паролю на полноценную двухфакторную аутентификацию. Для определенных отраслей применение двухфакторной аутентификацией является обязательным в соответствии с требованиями регуляторов (например, в соответствии с методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах» или банковским стандартом PCI DSS 3.2). При этом необходимо отметить, что все рассмотренные в статье решения сертифицированы в системе сертификации ФСТЭК России.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • AM_Bot
      Компания «АВ Софт» является российским производителем средств обеспечения информационной безопасности, которые вендор разрабатывает с 2010 г. Портфель продуктов включает в себя систему защиты от целевых атак ATHENA, программный комплекс для имитации корпоративной инфраструктуры LOKI, антивирусный мультисканер OCTOPUS, корпоративный мессенджер BOND и другие продукты, уже зарекомендовавшие себя у российских заказчиков.    ВведениеПозиционирование вендора на рынкеСектор рынкаATHENALOKIOCTOPUSBONDCRIMLABNFIКатегории заказчиковНовые продуктыЗарубежные проектыГибкость и адаптация решенийПартнёрская сетьСертификацияПодведение итоговВыводыВведениеБренд «АВ Софт» придумал Антон Чухнов, основатель компании, имея скромное желание изменить индустрию информационной безопасности в России. Сердце потребителей планировалось пронзить стрелой чего-то нового и оригинального.В 2010 году системы на базе технологии «песочницы» обладали слабой гравитацией на рынке, многим идея казалась неперспективной и странной. Антон пришел от неё в восторг и объединил в первом прототипе системы ATHENA возможность анализировать поведение программного обеспечения с антивирусным мультисканером. Единство технологий принесло первый коммерческий успех, который стал отправной точкой для набора команды и развития продукта.В 2016–2019 гг. палитра предложений компании существенно увеличилась. В ней появились классы решений по маскировке операционных систем, защите мобильных устройств и мониторингу компрометации сетевых устройств. Каждое разработанное решение имеет свой стиль и концептуальное преподнесение. Система ATHENA стала флагманским продуктом и гибко адаптировалась под различные инфраструктурные пожелания заказчиков. Компания стала участником ассоциации АРПП «Отечественный софт», резидентом инновационного центра «Сколково», выиграла несколько конкурсов по инновациям в сфере ИТ и безопасности.В 2020 г. компания «АВ Софт» стала лауреатом гранта российского фонда РФРИТ по разработке системы ложных распределённых целей на базе технологии «deception». Новое решение позволит имитировать ИТ-инфраструктуру организации и заманивать злоумышленников в «ловушки», оберегая реальные устройства от кибератак. Система ATHENA была выбрана для участия в отечественном мультисканере (аналоге VirusTotal), который уже активно проходит тестирование. Также компании удалось развить партнёрскую сеть и реализовать ряд научно-технологических проектов.В команде есть всё необходимое для развития и роста: концентрация идей, потенциал для создания новых продуктов и самый важный бриллиант для любого вендора — доверие заказчиков.Позиционирование вендора на рынкеОбъективная оценка вендора на рынке играет важную роль для потребителей продуктов и услуг в области информационной безопасности. Управление рисками при выборе поставщика решений для защиты ИТ-инфраструктуры требует высоких профессиональных компетенций. Базовая оценка контрагента, выполняемая финансовым отделом, может упустить важные аспекты этой весьма наукоёмкой сферы.Можно выделить следующие направления анализа организаций, специализирующихся на разработке программного обеспечения и оказании услуг в области информационной безопасности:сектор рынка,категории заказчиков,создание новых продуктов,зарубежные проекты,гибкость и адаптация решений,партнёрская сеть,сертификация.Оценка всегда предполагает градацию её уровней, поэтому была разработана шкала присвоения веса по каждому параметру оценки. Таблица 1. Параметры оценки вендора№Параметр1 балл2 балла3 балла1.Сектор рынкаНаправление продуктов всего одноЕсть 2–3 направления продуктовЕсть больше 3-х направлений продуктов2.Категории заказчиковТолько государственные организацииПрисутствуют государственные и коммерческие организацииПрисутствуют государственные, коммерческие и зарубежные заказчики3.Новые продуктыНовые продукты создаются реже чем раз в 5 летНовые продукты создаются раз в 2–3 годаНовые продукты создаются каждый год4.Зарубежные проектыЕсть 1 зарубежный проектЕсть 2–5 зарубежных проектовЕсть более 5-ти зарубежных проектов5.Гибкость и адаптация решенийРешения очень редко допускают индивидуализациюДопускается частичная индивидуализацияВсе решения могут гибко адаптироваться под нужды заказчика6.Партнёрская сетьЕсть 1–2 партнёраПартнёрская сеть невелика и находится в развитииРазвитая партнёрская сеть (более 10-ти партнёров)7.СертификацияКомпания имеет 1 сертификатЧасть продуктов компании имеет сертификациюВсе продукты компании имеют сертификацию Сектор рынкаЗдесь важно учесть возможность не только начитаться маркетинговых материалов на сайте, но и получить пробную версию или возможность организации «пилота», который не потерпит крушение, что достоверно подтвердит наличие самих продуктов.У компании «АВ Софт» есть следующие направления решений:антивирусный мультисканер,песочница (sandbox),ловушки (deception),контроль сетевого взаимодействия устройств,криминалистический анализ,безопасная коммуникация.Разнообразие направлений продуктов в компании даёт представление о системном охвате рынка, развитии смежных компетенций у специалистов и потенциальной возможности построения сложных конструкций в ИТ-инфраструктуре.Пробные версии показывают возможности продуктов компании, о которых будет рассказано далее.ATHENAФлагманский продукт по защите от целенаправленных атак AVSOFT ATHENA SANDBOX с помощью методов поведенческого анализа и искусственного интеллекта способен проверять всю входящую в компанию информацию на наличие опасного и вредоносного содержимого.Внутри системы ATHENA присутствует множество инструментов проверки, которые можно разделить на два больших блока анализа: статический и динамический. Рисунок 1. Интерфейс системы ATHENA При прохождении файлом или веб-ссылкой статического вида анализа выполняется проверка контента на наличие известных сигнатур множеством локальных антивирусных ядер, синтаксическими анализаторами (парсерами) и искусственным интеллектом, а также осуществляется сбор информации по исследуемому объекту во внешних репутационных базах данных.При динамической проверке осуществляется анализ поведения файла в имитационной среде — «песочнице» (она может быть как виртуальной, так и физической), которая соответствует реальному рабочему месту пользователя или серверу компании. В ней происходят запуск файла, провоцирование его на вредоносные действия, сбор событий о его поведении и вынесение вердикта на основе результатов аналитического блока и поведенческих сигнатур, которые разработаны командой аналитиков «АВ Софт».Стоит отметить, что в системе ATHENA присутствует широкая линейка поддерживаемых в песочницах операционных систем, включающая отечественные ОС:Microsoft Windows;Linux:Astra Linux,RedOS,Alt Linux,Red Hat Enterprise Linux,Debian,Ubuntu,openSUSE,CentOS;Android.После завершения всех видов анализа система ATHENA отображает подробный отчёт. Рисунок 2. Отчёт по проверке в системе ATHENA Рисунок 3. Отчёт по проверке сетевого трафика в системе ATHENA Важно обращать внимание на современность и удобство интерфейсов систем, которые вы берёте попробовать. Сейчас уже вполне устойчиво сформировались общепризнанные требования и правила по эргономике, грамотному использованию цветовых палитр, а также интерактивным возможностям современного программного обеспечения. Если вы осознаёте, что интерфейс часто вводит вас в заблуждение или недоумение, т. е. вы не понимаете, куда нужно двигаться и что делать, и вместо службы доставки вкусного ужина пытаетесь дозвониться до службы поддержки вендора, то что-то идёт не так. Любое нарушение графическими интерфейсами устоявшихся сценариев поведения пользователей тормозит бизнес-процессы компании.LOKIПрограммный комплекс AVSOFT LOKI DECEPTION имитирует корпоративную инфраструктуру на базе технологии «deception» и позволяет виртуально моделировать на различном уровне любое устройство в организации, включая оборудование IoT и IIoT (контроллеры АСУ ТП). Рисунок 4. Интерфейс системы LOKI Имитация устройств осуществляется с помощью ловушек (honeypot) и песочниц (sandbox). На рабочих местах сотрудников и серверах разворачиваются приманки, которые ведут в ловушки и песочницы, уводя вектор атаки от реальных устройств.Использовать систему LOKI несложно, достаточно сделать 4 шага:Просканировать подсети для определения состава активных устройств.Система сама предложит ловушки к ним, можно будет просто согласиться с её выбором.Развернуть ловушки в выбранной подсети одной кнопкой.Скачать приманки на рабочие места и установить их. Рисунок 5. Панель статистики системы LOKI Сейчас линейка имитируемых устройств в системе LOKI уже включает в себя большой список типов и моделей, который активно пополняется: рабочие станции, серверы, маршрутизаторы, межсетевые экраны, IP-телефоны, IP-камеры, принтеры и сканеры, PoS-терминалы, ЧПУ-станки. Рисунок 6. Карта сети ловушек и реальных устройств в системе LOKI При работе с программным продуктом не стоит забывать о простоте его использования, чтобы любой шаг был естественен и логично следовал из предыдущего. В системе LOKI есть эта особенность, хотя изначально концепция идеи может сформировать представление о чём-то громоздком и сложном. Конечно, комплексы, автоматизирующие процессы в информационной безопасности, имеют большие функциональные возможности, но продукт должен стараться исключать людей из процесса, выполняя по максимуму всё самостоятельно, т. к. человеческий фактор — это всегда риск.OCTOPUSСистема AVSOFT OCTOPUS MULTISCANNER — это антивирусный мультисканер, который может быстро обрабатывать большие объёмы трафика и подходит в том числе для небольших компаний за счёт невысокой стоимости.Внутри системы — больше 20-ти локальных антивирусных ядер, при желании можно добавить и больше. Помимо этого есть модули статического анализа файлов, модели на базе машинного обучения, интеграция с внешними репутационными сервисами.Можно отправить на проверку самые разнообразные типы файлов: исполняемые, офисные, скрипты, мобильные приложения, архивы, включая многотомные и закрытые паролем, и др. Рисунок 7. Страница проверки файлов в системе OCTOPUS При оценке любой современной системы важно учитывать скорость обработки данных; если вендор предлагает решить её только за счёт «железа», то это — порочная практика, т. к. она всегда ставит перед заказчиком вопрос о дополнительных затратах. Важно уточнять у вендора, как происходит обработка очередей и больших объёмов задач, чтобы подстраховать себя от незапланированных финансовых потоков во внешний мир.BONDAVSOFT BOND MESSENGER — мессенджер для безопасного корпоративного общения. Он позволяет управлять всей коммуникацией в компании через собственный сервер. После развёртывания мессенджера в инфраструктуре никто кроме уполномоченных администраторов из персонала заказчика не имеет доступа к серверу, включая самих разработчиков программы. Рисунок 8. Интерфейс мессенджера BOND Получение быстрого доступа к продукту, как в случае с мессенджером, который можно просто скачать и поставить, даёт возможность сразу оценить его характеристики и принять решение. Если приходится пройти сражение с драконом или спасти принцессу, чтобы получить «пилот» или пробный доступ, то стоит задуматься, стоит ли ввязываться в этот бой, поскольку так же сложно могут быть выстроены и другие процессы, связанные с поддержкой или инсталляцией в инфраструктуру.CRIMLABКриминалистическая лаборатория AVSOFT CRIMLAB ANALYTICS предоставляет инструменты для детального анализа файлов и разнообразной агрегации собранных данных: сравнение исследований, создание коллекций, формирование базы знаний и др. Решение актуально для центров мониторинга информационной безопасности (SOC) и компаний, которые хотят развить компетенции своих специалистов в данной области. Рисунок 9. Схема работы CRIMLAB Решение позволяет проводить детальный анализ содержимого любого типа файлов, изучать его поведение в виртуальных и физических песочницах, тонко индивидуализировать параметры среды исследования и добавлять инструменты исследований, а также осуществлять ретроспективный анализ. Рисунок 10. Подробный отчёт по файлу Возможность тонкой индивидуализации внутренних функций и настроек системы всегда говорит о её гибкости и адаптивности, это уже стало базовым качеством многих современных программных продуктов. Не стоит забывать, что осуществление индивидуализации не должно быть сложным или запутанным, т. к. это повышает риск ошибок, система должна запрещать пользователю выполнять заведомо некорректные настройки.NFIНебольшой программно-аппаратный комплекс AVSOFT NFI контролирует взаимодействие сетевых устройств с внешней сетью (интернетом). NFI представляет собой устройство, которое берёт в кольцо сетевые пакеты, работая на 3-м уровне модели OSI. Инспектор способен оперативно выявить и заблокировать компрометацию любого сетевого устройства и оповестить об этом службу безопасности. Рисунок 11. Схема работы AVSOFT NFI NFI имеет графический интерфейс, в котором можно задавать правила фильтрации и управлять устройством. Рисунок 12. Интерфейс программно-аппаратного устройства NFI Итак, компанией охвачены востребованные направления на рынке информационной безопасности и этих направлений больше 5-ти, что даёт основание присвоить ей 3 балла по принятой методике оценки.Категории заказчиковДля вендора большую роль играет получение опыта с разными категориями заказчиков. Все осознают, что государственные и коммерческие организации — это два больших разных «королевства» со своими требованиями и правилами. Непрерывная реконструкция и анализ многогранных кейсов с клиентами может помочь пересмотреть процесс реализации новых проектов. Заказы от коммерческих компаний преимущественно ориентированы на скорость и оптимизацию затрат, от государственных структур — на соблюдение требований регуляторов, а качество, конечно, интересует всех.Компания «АВ Софт» работает как с государственными, так и с коммерческими заказчиками. Веер направлений деятельности клиентов включает в себя промышленность, транспорт, оказание услуг по безопасности и задачи связанные с обороной. Не присутствуют пока зарубежные заказчики, что позволяет поставить по методике оценки 2 балла.Новые продуктыОриентация на создание новых продуктов — обязательный талисман для всех, кто планирует расти. Сфера кибератак развивается со скоростью гепарда, поэтому вендорам важно не упускать шанса моделировать инструменты охоты, которых ни у кого нет или которым есть куда стремиться по уровню качества. Конкуренты всегда помогают в развитии, никогда не сидят спокойно и ждут возможности забрать себе кусочек того, что кто-то потерял, потому что отстал в развитии. Если компания постоянно генерирует новые идеи и не жалеет ресурсов на развитие новых продуктов, то это выделяет её с точки зрения планирования долгосрочной стратегии.Команда «АВ Софт» почти каждый год выпускает новый продукт, и основная концепция компании как таковая базируется на непрерывном выпуске новых продуктов. По методике можно присвоить ей 3 балла.Зарубежные проектыКогда вендор вращается только в своей домашней зоне, это не даёт ему возможности развиться до уровня международных конкурентов, и тем самым он обрекает себя на стагнацию, которая наступит рано или поздно. Очень важно стремиться расширять круг заказов за границами комфортного «стеклянного шара», адаптируя свои решения под требования заказчиков из других стран.Опыта зарубежных проектов компания «АВ Софт» пока не имела шанса получить, поэтому по методике ей ставим 0 баллов.Гибкость и адаптация решенийСпособность продуктов гибко трансформироваться не всегда удобна вендорам, потому что это влечёт за собой дополнительные ресурсы на поддержку и сопровождение. Но желания заказчиков никто не отменял, и пока они не удовлетворены — это всегда отличный повод для действия. Клиентоориентированный подход уже пронизывает все сферы рынка и требует покориться ему в том числе и от поставщиков решений по информационной безопасности.Индивидуализация продуктов компании «АВ Софт» возможна и является одним из обязательных условий работы с заказчиками, взятых на себя командой. Высокая адаптивность продуктов — это всегда отчасти и риск, но при должной оптимизации этого процесса он даёт гораздо больше, чем ограничения клиентов. Формируется совершенно иной уровень доверия, появляется возможность реализовать действительно полезные проекты. По методике мы можем поставить в данной категории 3 балла.Партнёрская сетьРазвитая партнёрская сеть свидетельствует о доверии и устойчивой позиции вендора на рынке. Если среди партнёров есть крупные интеграторы и дистрибьюторы, то это показывает, что компания получила признание у сильных игроков.У компании «АВ Софт» — больше 15-ти партнёров, что даёт основание выставить ей по методике ещё 3 балла.СертификацияПолучение сертификации — ювелирная работа, которая требует в первую очередь стабильности продуктов и чёткого их соответствия заявленным требованиям. При наличии лицензий можно сделать вывод о том, что присутствует баланс между разработкой новых функций и их устойчивым состоянием.Часть продуктов компании «АВ Софт» имеет сертификацию, остальные находятся в процессе её получения, поэтому в нашей финальной метрике мы можем выставить 2 балла.Подведение итоговВ итоговой таблице компания «АВ Софт» получает 16 баллов, что вполне неплохо, но значит, что есть куда стремиться. Цветом выделены баллы, которые компания получила в результате прохождения оценки в рамках настоящего материала. Таблица 2. Методика оценки вендора№Параметр1 балл2 балла3 балла1.Сектор рынкаНаправление продуктов всего одноЕсть 2–3 направления продуктовЕсть больше 3-х направлений продуктов2.Категории заказчиковТолько государственные организацииПрисутствуют государственные и коммерческие организацииПрисутствуют государственные, коммерческие и зарубежные заказчики3.Новые продуктыНовые продукты создаются реже чем раз в 5 летНовые продукты создаются раз в 2–3 годаНовые продукты создаются каждый год4.Зарубежные проектыЕсть 1 зарубежный проектЕсть 2–5 зарубежных проектовЕсть более 5-ти зарубежных проектов5.Гибкость и адаптация решенийРешения очень редко допускают индивидуализациюДопускается частичная индивидуализацияВсе решения могут гибко адаптироваться под нужды заказчика6.Партнёрская сетьЕсть 1–2 партнёраПартнёрская сеть невелика и находится в развитииРазвитая партнёрская сеть (более 10-ти партнёров)7.СертификацияКомпания имеет 1 сертификатЧасть продуктов компании имеет сертификациюВсе продукты компании имеют сертификацию ВыводыОценка вендора может быть адаптирована под потребности конкретной организации и особенности защиты её ИТ-инфраструктуры. Рекомендуется также выстраивать управление рисками в части поставки решений по информационной безопасности и методику оценки качества продуктов и услуг вендора. Читать далее
    • mirkosmetik
      Спасибо, полезно.  
    • andery777
    • Guffy
    • andery777
      Только для 10? Как думаете с 7 совместима?
×