Посредством SafeNet, Gemalto предлагает одно из наиболее полного портфеля решения в области безопасности предприятия, позволяя своим клиентам использовать лидирующие на рынке решения по защите данных, цифровых идентификаторов и платежных приложений с полным покрытием всех процессов. Новый расширенный портфель Gemalto по продуктам SafeNet и решения по защите данных, позволяет предприятиям во многих сферах, в том числе крупным финансовым институтам и правительству, принять данные-ориентированный подход к обеспечению безопасности, путем использования инновационных методов шифрования, лучшие в своем классе криптографические методы управления, строгую аутентификацию, а также решения для управления идентификацией, для обеспечения максимальной степени защиты. С помощью этих решений, Gemalto помогает организациям обеспечить соблюдение строгих правил конфиденциальности данных и гарантировать, что важные корпоративные активы, информация о клиентах, а также цифровые транзакции будут защищены от воздействия и манипуляции, для оправдания доверия клиентов современном цифровом мире.
Почему это необходимо
Гибкость, ориентированные на пользователя вычисления, мобильность — это сильные тренды, которые являются движущей силой роста рынка Virtual Desktop Interface (VDI). Эти факторы толкают ИТ команды на поиск решений, которые будут предлагать сотрудникам гибкость, продуктивность и возможность использования различных пользовательских устройств для доступа к корпоративным ресурсам. ИБ службы стремятся централизовать политики безопасности и контролировать потоки данных с оконечных устройств. В результате, компаниям нужны решения, обеспечивающие согласие противоречащих друг другу задач – одновременного обеспечения максимальной безопасности корпоративных ресурсов, не требующие увеличения нагрузка на ИТ-персонал и повышения удобства пользователей.
Кража учётных записей |
Во времена повышенного риска, статические пароли самое слабое звено в удаленном доступе. Рост числа взломов различных систем в целях похищения учетных данных становиться угрожающим. В 2014 году хакеры завладели данными 83 млн. клиентов крупного американского банка JPMorgan Chase. В конце мая 2014 года известный интернет-аукцион eBay объявил, что злоумышленники получили доступ к корпоративной сети компании и украли почтовые адреса и пароли пользователей. 272,3 миллиона украденных аккаунтов Mail.Ru, Google, Yahoo и Microsoft. Общее в этих атаках - практика использования одного и того же пароля для доступа к нескольким онлайн ресурсам. Хакеры воспользоваться этим путем взлома конечных систем, чтобы собрать базы паролей и затем использовать их для доступа к корпоративным системам VDI с тонких клиентов, ноутбуков, и мобильных устройств.
Атаки перебором (англ. brute-force) |
Использование подбора пароля простым перебором или с помощью словаря еще один риск для VDI доступа. Метод полного перебора предполагаемых паролей, используемых для аутентификации, осуществляемого путём последовательного пересмотра всех паролей определенного вида и длины из словаря с целью последующего взлома системы и получения доступа к конфиденциальной информации.
Вредоносное ПО (англ. Malware) |
Вредоносное ПО, встроенного в ноутбук или мобильное устройство, имеет возможность воровать пароли и другие данные пользователя. Это позволяет получить доступ неавторизованных пользователей к VDI, и, в зависимости от сложности вирусных программ, также и к корпоративной сети.
Атака подмены (англ. spoofing) |
Метод взлома, в котором один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества. Email spoofing используется хакерами для отправки сообщения электронной почты, в котором адрес отправителя (поле «От») можно легко подделать. Web spoofing подменяет целевой веб-сайт подложным, который выглядит также и пользователи считают, что они посетили именно тот сайт куда они и планировали зайти. Фактическое же место размещенно в другом месте. Общая цель атаки – обмануть пользователей так, чтобы они ввели свои личные данные, которые впоследствии используется для кражи данных с реальных сайтов или помочь злоумышленнику выдать себя за пользователя и получить доступ к корпоративной сети и VDI.
Атака «человек посередине» (англ. Man in the middle) |
Злоумышленник может «прослушать» канал связи между законным пользователем и сервером или манипулировать информацией таким образом, что операции выполняются либо данные отправляются от имени пользователя, но без его ведома и контроля.
Организация может «свести на нет» все преимущества VDI, если она не защищают себя от утечки данных и игнорирует уязвимые места точек доступа.
VDI предоставляет значительные преимущества организациям, повышая продуктивность и сохраняя при этом высокий уровень безопасности и разделение корпоративных данных от личных данных пользователя. Но не обеспечивая контроль доступа на удаленных сервисах и конечных устройствах, организации могут потерять эти преимущества и значительно повысить вероятность взлома.
Одним из способов преодоления этих рисков – использование сильной аутентификации с применением нескольких факторов, (карта + PIN) в противопоставление недостаткам простых паролей при аутентификации пользователей в VDI и других удаленных сервисах.
В связи с появлением множества корпоративных решений, сервисов и клиентских устройств (точек), включая BYOD (Bring-Your-Own-Device), растет и количество сценариев доступа пользователей в корпоративные сервисы. Поэтому внедрение безопасной аутентификации для VDI требует универсального решения, которое может поддерживать многочисленные и разнообразные варианты использования причем типовые для большинства организаций.
Приняв общую стратегию для безопасного доступа, который включен по комплексные платформы аутентификации, организации могут обеспечить доступ к VDIS из различных конечных точек и адаптировать уровень аутентификации, чтобы удовлетворить различные группы пользователей, не обременяя ИТ-команды.
Организации должны развернуть только один сервер управления, который обслуживает всю инфраструктуру, для ряда защищенных решений доступа. Такой подход позволяет ИТ-отделам легко расширить уровень безопасности доступа для такого количества приложений, которое необходимо, без необходимости вкладывать средства в дополнительное программное или аппаратное обеспечение.
Поддержка широкого спектра методов аутентификации и форм - факторов создает универсальное решение, который позволяет организациям использовать единую платформу для решения многочисленных потребностей пользователей и обеспечения защищенности для различных уровней риска, путем развертывания различных методов аутентификации, либо их добавления, по мере необходимости.
Расширяемый подход Gemalto, наряду с текущими инвестициями в технологические инновации, предоставляет организациям гарантии того, что решение, которое они развертывают? удовлетворяет их актуальным потребностям, в то же время предоставляя им прочную основу для решения задач быстро меняющейся ситуации в сфере информационной безопасности.
SMS аутентификации |
При SMS аутентификации, динамически - сгенерированный код доступа передается посредством SMS на мобильный телефон пользователя. Так как обычно телефон пользователя всегда при нем, данный метод является довольно простым и эффективным.
Одноразовые пароли (OTP) |
Одним из способов борьбы с угрозами безопасности, связанных со статическими паролями, является применение случайно сгенерированных одноразовых паролей (OTP) при входе в VDI. Пароли генерируются аппаратным токеном, либо программно, в соответствующем ПО. Когда пользователь вводит одноразовый пароль, клиент аутентификации взаимодействует с сервером аутентификации OTP, который проверяет значение OTP на основе математического секрета, общего между клиентским устройством OTP и сервером аутентификации OTP.
Аутентификация на основе сертификатов |
Проверка подлинности на основе сертификатов (CBA) использует цифровые сертификаты в качестве средства идентификации одной, либо обеих сторон при установлении соединения. Сертификат содержит имя своего субъекта (лица, идентифицированного в сертификате) и название центра сертификации (CA), который подтверждает подлинность субъекта. Кроме того, каждый сертификат содержит "открытый ключ" субъекта, который связан с соответствующим "закрытым ключом", сохраняемым в секрете. Лишь тот, кто владеет закрытым ключом, может использовать сертификат для личной идентификации.
Аппаратные аутентификаторы на базе сертификатов: Самый безопасный способ использования сертификатов является хранение их в защищенной области памяти на чипе смарт-карты. Таким образом, приватный ключ сертификата генерируется непосредственно на самой смарт-карте. Так как смарт-карта располагается в защищенном от вскрытия устройстве, она не подвергается опасности в недоверенной среде, например на зараженном вирусами компьютере. Аппаратные аутентификаторы доступны в форм-факторах USB-токенов, либо смарт-карт(таких же, как банковские карты).
Программные решения по аутентификации по сертификатам |
Программные решения аутентификации по сертификатам могут предложить сравнимые преимущества аппаратных смарт-карт и токенов. При хранении закрытого ключа сертификата в пределах виртуальной смарт - карты, установленной на конечной точке, программные решения использующие сертификаты, предотвращают несанкционированный доступ к сети и ликвидируют недостатки традиционной парольной аутентификации.
Встроенные сертификаты |
Некоторые конечные точки - в частности, мобильные устройства - не поддерживают использование смарт - карт и USB- токенов. В данном случае можно избежать проблемы слабых паролей, используя сертификаты на устройстве с применением программных средств для аутентификации.