Журнал "Information Security/ Информационная безопасность" #2, 2024

На старте необходимо выработать определенные и четкие требования, которые вы будете предъявлять к системе, а потом провести анализ рынка на предмет наличия вендоров, которые предлагают и поддерживают такие решения. Обязательно нужно провести пилоты с нагрузочным тести- рованием: сколько система может одномоментно аутентифицировать пользователей, как она ведет себя под этой нагрузкой, как масштабиру- ется. Далее решить вопросы с ее отка- зоустойчивостью и архитектурой. Потом определить, важно ли быстрое внедрение – в этом случае лучше посмотреть облачные решения, кото- рые позволяют быстрее использовать функционал такого рода систем. Если нужно больше безопасности, тогда стоит рассмотреть on-premises- решения, которые полностью изоли- рованы от сети Интернет и находятся внутри периметра компании. – Чем именно решение Indeed Access Manager отличается от других аналогичных решений по многофакторной аутентифика- ции? – Принципиальные различия – именно в работе второго фактора. Если сравнивать аутентификацию в RSA и в продукте Компании Индид, то, не вдаваясь в подробности, можно сказать, что они работают одинаково, по метке времени. Но у Компании Индид больше различных доступных для использования аутентификато- ров. Из дополнительных приятных разли- чий – то, что теперь мы можем отправ- лять одноразовые пароли на почту, по СМС, в различные мессенджеры, то есть можем создать интеграцию с при- вязкой к профилю пользователя. Воз- можностей по сравнению с предыдущим решением – масса. Предыдущее иностранное решение, которым мы пользовались, RSA, – решение мирового уровня. Оно очень хорошо зарекомендовало себя на меж- дународном рынке. Но решение Ком- пании Индид по сравнению с RSA имеет более широкий функционал и даже в какой-то степени превосходит его. – Компания Индид – российский разработчик, функциональность решений компании больше соот- ветствует потребностям россий- ских заказчиков, что в ситуации, связанной с импортозамещением, плюс. Тем не менее идеальных решений пока не существует. Какие доработки системы потре- бовались на этапе ее внедре- ния? – Было несколько важных для нас доработок, которые команда Компании Индид реализовала. В банке используется почтовая систе- ма, которая доступна с мобильных устройств сотрудников. Для повышения уровня безопасности и закрытия регу- ляторных требований были приняты меры по применению встроенного инструмента почтовой системы – каран- тин, или белые списки устройств. При первичном подключении устройства сотрудника к почтовой системе оно попадает в карантин, то есть доступ блокируется. Для оптимизации скорости предоставления доступа сотрудникам у Компании Индид мы запросили дора- ботку портала самообслуживания в части интеграции с почтовой системой на новом уровне и добавление функ- ционала вывода устройства из каранти- на самим же сотрудником. Другая принципиально значимая дора- ботка заключалась в привязке аутенти- фикатора к некоему уникальному коду устройства – Device ID. При регистрации токена мы хотим быть уверены в том, что он будет зарегистрирован на том устройстве, с которого был запрос на его выпуск. У каждого сотрудника есть персональное устройство, на которое он устанавливает приложение, считы- вающее уникальный идентификатор мобильного устройства. В тот момент, когда происходит запрос на генерацию, выпускается токен, который может быть активирован только на этом личном устройстве. Если вдруг каким-то образом произойдет перехват регистрационных данных, применить их на другом устрой- стве будет невозможно. Эта функция в целом повышает базовую защищен- ность использования системы много- факторной аутентификации. – Какие отличия вы видите в сотрудничестве с Компанией Индид по сравнению с зарубеж- ным вендором? – Да, это важный момент, который необходимо отметить. Взаимодействие с зарубежными вендорами напрямую либо через интеграторов было затруд- нительным, они очень неохотно шли на контакт. Добиться реализации актуаль- ного функционала было практически невозможно либо приходилось ждать его годами. На этом фоне взаимодей- ствие с российским вендором, Компа- нией Индид, как российским произво- дителем – беспрецедентно. Вендор идет навстречу заказчику, оперативно реа- гирует на запрос и принимает во внима- ние потребности в функциональности. Indeed Access Manager постоянно нара- щивает технологические возможности и развивается на Linux, чтобы поддер- живать установку в российских опера- ционных системах. Indeed AM, с целью усиленной аутентификации пользователей, поддерживает множество различных технологий, таких как биометрическая аутентификация, push-аутентификация, аутентификация с помощью аппаратных средств или одноразовых паролей (выдаваемых локальными генераторами либо отправляемых по СМС или электронной почте). Преимущества Компании Индид: l собственная разработка на территории РФ; l бесплатное пилотное тестирование продуктов; l полная поддержка на всех этапах внедрения; l один год бесплатной техподдержки после запуска; l круглосуточная техподдержка 24/7. 12 • В ФОКУСЕ В рамках проекта было реализовано несколько существенных функциональных возможностей системы. l Доработки политик Indeed AM под требования банка. Пользователь может состоять в нескольких политиках Indeed AM, что позволяет реализовать гибкую и простую настройку прав на работу с модулями Indeed AM и аутентификаторами. l Реализация Secured TOTP. Секретный ключ для генерации одноразового кода зашифрован и расшифровывается только ключом на основе идентификатора устройства. Таким образом, аутентификатор защищен от регистрации на нескольких устройствах. l Реализация 2FA для сценария вывода устройств из карантина. Пользователь настраивает почтовый аккаунт на новом устройстве через Exchange ActiveSync, устройство автоматически попадает в карантин. Чтобы начать получать почту, необходимо вывести устройство из карантина. Теперь это нужно делать с помощью специального сервиса подготовки мобильных устройств, доступ в который осуществляется после двухфакторной аутентификации в системе AM. l Подсчет лицензий для каждой отдельной политики AM. Система позволяет задать доступное количество лицензий для определенной политики, чтобы ограничить количество используемых лицензий для подразделения.