Контактная информация

108811, Москва, Киевское шоссе, 22-й км, (п. Московский), Домовладение 4, строение 1, блок Б, этаж

Защита инфраструктуры виртуальных рабочих столов строгой аутентификацией

Посредством SafeNet, Gemalto предлагает одно из наиболее полного портфеля решения в области безопасности предприятия, позволяя своим клиентам использовать лидирующие на рынке решения по защите данных, цифровых идентификаторов и платежных приложений с полным покрытием всех процессов. Новый расширенный портфель Gemalto по продуктам SafeNet и решения по защите данных, позволяет предприятиям во многих сферах, в том числе крупным финансовым институтам и правительству, принять данные-ориентированный подход к обеспечению безопасности, путем использования инновационных методов шифрования, лучшие в своем классе криптографические методы управления, строгую аутентификацию, а также решения для управления идентификацией, для обеспечения максимальной степени защиты. С помощью этих решений, Gemalto помогает организациям обеспечить соблюдение строгих правил конфиденциальности данных и гарантировать, что важные корпоративные активы, информация о клиентах, а также цифровые транзакции будут защищены от воздействия и манипуляции, для оправдания доверия клиентов современном цифровом мире.

Почему это необходимо

Гибкость, ориентированные на пользователя вычисления, мобильность — это сильные тренды, которые являются движущей силой роста рынка Virtual Desktop Interface (VDI). Эти факторы толкают ИТ команды на поиск решений, которые будут предлагать сотрудникам гибкость, продуктивность и возможность использования различных пользовательских устройств для доступа к корпоративным ресурсам. ИБ службы стремятся централизовать политики безопасности и контролировать потоки данных с оконечных устройств. В результате, компаниям нужны решения, обеспечивающие согласие противоречащих друг другу задач – одновременного обеспечения максимальной безопасности корпоративных ресурсов, не требующие увеличения нагрузка на ИТ-персонал и повышения удобства пользователей.

Статические пароли не могут полноценно защитить доступ пользователей к удалённым ресурсам

Уязвимости доступа

Кража учётных записей

Во времена повышенного риска, статические пароли самое слабое звено в удаленном доступе. Рост числа взломов различных систем в целях похищения учетных данных становиться угрожающим. В 2014 году хакеры завладели данными 83 млн. клиентов крупного американского банка JPMorgan Chase. В конце мая 2014 года известный интернет-аукцион eBay объявил, что злоумышленники получили доступ к корпоративной сети компании и украли почтовые адреса и пароли пользователей. 272,3 миллиона украденных аккаунтов Mail.Ru, Google, Yahoo и Microsoft. Общее в этих атаках - практика использования одного и того же пароля для доступа к нескольким онлайн ресурсам. Хакеры воспользоваться этим путем взлома конечных систем, чтобы собрать базы паролей и затем использовать их для доступа к корпоративным системам VDI с тонких клиентов, ноутбуков, и мобильных устройств.

Атаки перебором (англ. brute-force)

Использование подбора пароля простым перебором или с помощью словаря еще один риск для VDI доступа. Метод полного перебора предполагаемых паролей, используемых для аутентификации, осуществляемого путём последовательного пересмотра всех паролей определенного вида и длины из словаря с целью последующего взлома системы и получения доступа к конфиденциальной информации.

Вредоносное ПО (англ. Malware)

Вредоносное ПО, встроенного в ноутбук или мобильное устройство, имеет возможность воровать пароли и другие данные пользователя. Это позволяет получить доступ неавторизованных пользователей к VDI, и, в зависимости от сложности вирусных программ, также и к корпоративной сети.

Атака подмены (англ. spoofing)

Метод взлома, в котором один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества. Email spoofing используется хакерами для отправки сообщения электронной почты, в котором адрес отправителя (поле «От») можно легко подделать. Web spoofing подменяет целевой веб-сайт подложным, который выглядит также и пользователи считают, что они посетили именно тот сайт куда они и планировали зайти. Фактическое же место размещенно в другом месте. Общая цель атаки – обмануть пользователей так, чтобы они ввели свои личные данные, которые впоследствии используется для кражи данных с реальных сайтов или помочь злоумышленнику выдать себя за пользователя и получить доступ к корпоративной сети и VDI.

Атака «человек посередине» (англ. Man in the middle)

Злоумышленник может «прослушать» канал связи между законным пользователем и сервером или манипулировать информацией таким образом, что операции выполняются либо данные отправляются от имени пользователя, но без его ведома и контроля.

Организация может «свести на нет» все преимущества VDI, если она не защищают себя от утечки данных и игнорирует уязвимые места точек доступа.

Строгая аутентификация - надёжное решение.

VDI предоставляет значительные преимущества организациям, повышая продуктивность и сохраняя при этом высокий уровень безопасности и разделение корпоративных данных от личных данных пользователя. Но не обеспечивая контроль доступа на удаленных сервисах и конечных устройствах, организации могут потерять эти преимущества и значительно повысить вероятность взлома.

Одним из способов преодоления этих рисков – использование сильной аутентификации с применением нескольких факторов, (карта + PIN) в противопоставление недостаткам простых паролей при аутентификации пользователей в VDI и других удаленных сервисах.

В связи с появлением множества корпоративных решений, сервисов и клиентских устройств (точек), включая BYOD (Bring-Your-Own-Device), растет и количество сценариев доступа пользователей в корпоративные сервисы. Поэтому внедрение безопасной аутентификации для VDI требует универсального решения, которое может поддерживать многочисленные и разнообразные варианты использования причем типовые для большинства организаций.

Приняв общую стратегию для безопасного доступа, который включен по комплексные платформы аутентификации, организации могут обеспечить доступ к VDIS из различных конечных точек и адаптировать уровень аутентификации, чтобы удовлетворить различные группы пользователей, не обременяя ИТ-команды.

Снижение совокупной стоимости владения

Организации должны развернуть только один сервер управления, который обслуживает всю инфраструктуру, для ряда защищенных решений доступа. Такой подход позволяет ИТ-отделам легко расширить уровень безопасности доступа для такого количества приложений, которое необходимо, без необходимости вкладывать средства в дополнительное программное или аппаратное обеспечение.

Большая гибкость и масштабируемость

Поддержка широкого спектра методов аутентификации и форм - факторов создает универсальное решение, который позволяет организациям использовать единую платформу для решения многочисленных потребностей пользователей и обеспечения защищенности для различных уровней риска, путем развертывания различных методов аутентификации, либо их добавления, по мере необходимости.

Проактивная защита

Расширяемый подход Gemalto, наряду с текущими инвестициями в технологические инновации, предоставляет организациям гарантии того, что решение, которое они развертывают? удовлетворяет их актуальным потребностям, в то же время предоставляя им прочную основу для решения задач быстро меняющейся ситуации в сфере информационной безопасности.

Методы аутентификации

SMS аутентификации

При SMS аутентификации, динамически - сгенерированный код доступа передается посредством SMS на мобильный телефон пользователя. Так как обычно телефон пользователя всегда при нем, данный метод является довольно простым и эффективным.

Одноразовые пароли (OTP)

Одним из способов борьбы с угрозами безопасности, связанных со статическими паролями, является применение случайно сгенерированных одноразовых паролей (OTP) при входе в VDI. Пароли генерируются аппаратным токеном, либо программно, в соответствующем ПО. Когда пользователь вводит одноразовый пароль, клиент аутентификации взаимодействует с сервером аутентификации OTP, который проверяет значение OTP на основе математического секрета, общего между клиентским устройством OTP и сервером аутентификации OTP.

Аутентификация на основе сертификатов

Проверка подлинности на основе сертификатов (CBA) использует цифровые сертификаты в качестве средства идентификации одной, либо обеих сторон при установлении соединения. Сертификат содержит имя своего субъекта (лица, идентифицированного в сертификате) и название центра сертификации (CA), который подтверждает подлинность субъекта. Кроме того, каждый сертификат содержит "открытый ключ" субъекта, который связан с соответствующим "закрытым ключом", сохраняемым в секрете. Лишь тот, кто владеет закрытым ключом, может использовать сертификат для личной идентификации.

Аппаратные аутентификаторы на базе сертификатов: Самый безопасный способ использования сертификатов является хранение их в защищенной области памяти на чипе смарт-карты. Таким образом, приватный ключ сертификата генерируется непосредственно на самой смарт-карте. Так как смарт-карта располагается в защищенном от вскрытия устройстве, она не подвергается опасности в недоверенной среде, например на зараженном вирусами компьютере. Аппаратные аутентификаторы доступны в форм-факторах USB-токенов, либо смарт-карт(таких же, как банковские карты).

Программные решения по аутентификации по сертификатам

Программные решения аутентификации по сертификатам могут предложить сравнимые преимущества аппаратных смарт-карт и токенов. При хранении закрытого ключа сертификата в пределах виртуальной смарт - карты, установленной на конечной точке, программные решения использующие сертификаты, предотвращают несанкционированный доступ к сети и ликвидируют недостатки традиционной парольной аутентификации.

Встроенные сертификаты

Некоторые конечные точки - в частности, мобильные устройства - не поддерживают использование смарт - карт и USB- токенов. В данном случае можно избежать проблемы слабых паролей, используя сертификаты на устройстве с применением программных средств для аутентификации.

Новости

Все новости

25 октября 2021

Участники «IoT в ЖКХ 2021» договорились о внедрении цифровых решений

21 октября 2021

PT Sandbox теперь обнаруживает руткиты даже после заражения системы

21 октября 2021

28 октября пройдет виртуальная выставка IT EXPO. Technology.Expertise.Community!

Корзина