Согласно исследованию «Лаборатории Касперского», более трети россиян готовы вместо пароля использовать альтернативные способы авторизации. В корпоративном сегменте такой готовности пока не наблюдается, о чём свидетельствуют результаты исследования Avanpost.

В рамках исследования специалисты Avanpost рассмотрели самые востребованные классы решений корпоративной инфраструктуры: VPN, VDI, Wi-Fi и сеть; корпоративные коммуникации (почта, ВКС); ERP/ЭДО; Service Desk; АРМы и серверы, а также средства разработки (например, GitLab). По каждому из них оценивалась доля использования пяти методов аутентификации: «обычные» пароли, доменная аутентификация, RADIUS, SAML и OpenID Connect.

В исследовании отмечено, что в современных корпоративных системах по-прежнему широко используется аутентификация на основе паролей и LDAP. Основная причина заключается в том, что заказчиками зачастую не предъявляются требования по поддержке коробочными корпоративными решениями современных механизмов аутентификации, говорит компания.

Это связано с отсутствием в корпоративных инфраструктурах централизованных современных сервисов Identity Provider (IDP), а также с длительным жизненным циклом (5–10 лет) ранее внедрённых систем. К тому же множество широко распространённых продуктов и платформ проектировались и развивались с учётом архитектуры, заложенной десятки лет назад.

Источник изображения: Bruno Brito / Unsplash

В корпоративных системах по-прежнему остаются самым распространённым методом аутентификации традиционные «обычные» пароли, несмотря на агитацию Google, Apple и Microsoft за отказ от них. Во всех проанализированных в исследовании категориях их использование близко к 100 %, несмотря на наличие современных решений. На втором место по распространённости в корпоративном сегменте находится доменная LDAP-аутентификация, хотя это общепризнанный антипаттерн, говорит компания. Особенно широко она используется в инфраструктурном сегменте (АРМы и серверы), а также в корпоративных решениях для VPN, VDI и Wi-Fi-средах с долей до 90–100 %. Это объясняется высокой совместимостью с внутренними сетями и политиками безопасности Microsoft Active Directory и другими решениями экосистемы Microsoft.

Протокол SAML (Security Assertion Markup Language) используется в 50–60 % системах ERP и службах поддержки, особенно — в SaaS/PaaS, интегрируемых с корпоративными провайдерами удостоверений, размещёнными во внутренней инфраструктуре, преимущественно за счёт возможности взаимодействия через пользователей. «Особенно удивляет сохраняющаяся тенденция реализовывать поддержку SAML в новых продуктах вместо поддержки более современного протокола OpenID Connect», — сообщили исследователи. OpenID Connect больше всего используют в средствах разработки — до 60 % случаев, тогда как в остальных категориях его доля составляет менее 30 %. При этом использование OpenID Connect в других классах корпоративных решений остаётся на достаточно низком уровне.

Источник изображения: Avanpost

По итогам исследования в Avanpost пришли к выводу, что корпоративные IT-инфраструктуры по-прежнему находятся в стадии трансформации в вопросах аутентификации. На фоне широкого распространения встроенной парольной и LDAP-аутентификации всё же заметен рост интереса к современным IdP-протоколам OpenID Connect и SAML. Вместе с тем уровень готовности большинства коробочных продуктов к использованию современных протоколов аутентификации оставляет желать. RADIUS по-прежнему широко используются при интеграции с внутренними системами из-за высокой совместимости с ранее закупленным сетевым оборудованием.

Хотя большинство корпоративного ПО продолжает полагаться на традиционные схемы аутентификации с паролями и LDAP, и лишь незначительная часть приложений (примерно 5–10 %) из коробки поддерживает OpenID Connect, грамотная стратегия миграции позволит организациям постепенно повысить уровень безопасности и удобства для пользователей без чрезмерных рисков и затрат, отметили исследователи. «Фокус на централизованной платформе IAM и в целом на Identity-центричном подходе к аутентификации и развитие культуры безопасности поможет сделать переход последовательным и контролируемым, не остановив, при этом, текущие бизнес-процессы», — сообщили в Avanpost.

Российская компания Avanpost, специализирующаяся на решениях в области безопасности идентификационных данных, анонсировала систему управления привилегированным доступом SmartPAM. Продукт ориентирован на администраторов доменов, сетевых инженеров, разработчиков информационных платформ, специалистов технической поддержки, внешних сотрудников (аудиторов, вендоров, аутсорсеров), а также специалистов служб информационной безопасности и комплаенс.

SmartPAM, как утверждает Avanpost, обеспечивает полный контроль действий привилегированных пользователей и минимизирует риски, связанные с их доступом. Решение способствует быстрому обнаружению и предотвращению угроз при одновременном соблюдении прозрачности и ответственности при работе с критически важными ресурсами.

Новый продукт предоставляет ИИ-инструменты для контроля привилегированного доступа. Реализован сигнатурный анализ событий, происходящих в привилегированных сессиях. SmartPAM может записывать графические и текстовые сессии, а также фиксировать метаинформацию о действиях пользователей. Собранные данные могут быть использованы для анализа и расследования инцидентов.

Источник изображения: Avanpost

Весь поток событий обрабатывается при помощи наборов сигнатур — правил, позволяющих выявлять опасные операции. При этом задействована двухуровневая система нейросетей. Первый уровень выявляет общие паттерны и создаёт поведенческие профили групп, тогда как второй осуществляет непрерывный мониторинг поведенческих моделей. Такой подход даёт возможность оперативно выявлять любые отклонения от стандартных шаблонов поведения.

Среди преимуществ SmartPAM компания Avanpost выделяет простоту развёртывания и использования, наличие готовой обновляемой библиотеки сигнатур, кастомизированные политики безопасности на основе статистики использования, гибкий набор настроек, редактор для самостоятельного создания пользовательских сигнатур и возможность интеграции с другими решениями экосистемы Avanpost. Применяемый в продукте комплексный подход, как утверждается, обеспечивает высокую точность и минимизацию ложных срабатываний. Для каждой категории пользователей предусмотрены уникальные сценарии работы, такие как управление доступом в критических ситуациях, временный доступ к тестовым или производственным средам, а также безопасный удалённый доступ для внешних специалистов.

Компания Avanpost, российский вендор в области безопасности идентификационных данных, выпустила новую версию службы каталогов Avanpost Directory Service (DS) 1.6.

Avanpost DS представляет собой решение для централизованного управления рабочими станциями и учётными записями, а также аутентификации пользователей по протоколам LDAP(S) и Kerberos. Система предназначена для управления Linux-инфраструктурами, может применяться в паре с Microsoft Active Directory и использоваться в качестве альтернативы зарубежной службе каталогов в рамках импортозамещения ПО. Отечественный продукт обеспечивает бесшовную миграцию с MS AD, управление ресурсами в период сосуществования двух платформ в корпоративной сети, а также привычные сценарии для IT-администраторов. Avanpost DS представлена в двух версиях — бесплатной Public и коммерческой Pro, полностью совместима с российскими дистрибутивами Linux (Astra Linux, «Ред ОС», «Альт» и другими) и подходит для организаций, переходящих на Linux-инфраструктуру.

Источник изображения: avanpost.ru

Главное нововведение релиза Avanpost DS 1.6 — поддержка односторонних и двусторонних доверительных отношений между Microsoft Active Directory и Avanpost DS, которая позволяет обеспечить прозрачный доступ к ресурсам в период одновременного использования двух служб в IT-инфраструктуре предприятия. Также в системе были расширены возможности управления парольными политиками. Для удобства администрирования добавлена функциональность корзины службы каталогов по аналогии с Microsoft Active Directory, обеспечивающая восстановление удалённых объектов и оснащённая графическим интерфейсом для доменного клиента.

Помимо новых функций, в версии службы каталогов Avanpost DS 1.6 исправлены ошибки отображения групповых политик и отображения событий журнала.