Описание решения
Задача
Для проверки прав доступа используют идентификаторы, которые могут представлять собой незащищенные сведения. В отличие от них, аутентификаторы – это защищенная информация, поэтому злоумышленники, совершающие кибератаки, стремятся прежде всего украсть аутентификационные данные, чтобы скрытно осуществлять вредоносную деятельность от лица легитимных пользователей.
Большинство систем аутентификации до сих пор требуют использования пароля (секретного слова). Но такие системы уязвимы к атакам, которые совершаются путем подбора паролей и с помощью методов социальной инженерии. Причем в случае кражи пароля выявить факт его компрометации практически невозможно, пока не возникнет какой-либо явный инцидент.
Для нейтрализации угроз и проблем, связанных с парольной аутентификацией, необходимо применять специализированные методы усиленной аутентификации, предполагающие использование определенных программ и устройств (токенов, смарт-карт, генераторов одноразовых паролей, мобильных приложений и т. п.).
Упомянутые решения позволяют нейтрализовать большинство угроз в отношении систем идентификации и аутентификации. Однако нужно понимать, что преступники в первую очередь стремятся извлечь финансовую выгоду, поэтому если речь идет о больших суммах, то для получения доступа к критичным данным или системам (коммерческой тайне, финансовой отчетности, консоли управления критичным процессом и т. п.) они готовы на многое. В частности, злоумышленники могут разрабатывать и осуществлять преступные «схемы», позволяющие завладеть непарольными аутентификаторами (украсть аппаратные устройства, скомпрометировать выдающий сертификаты удостоверяющий центр и т. д.).
Если в глазах злоумышленника защищаемые сведения или определенный сегмент ИТ-инфраструктуры обладают очень высокой ценностью, то целесообразно рассматривать и принимать только самые эффективные меры защиты информации.
Наиболее безопасными и эффективными методами усиленной аутентификации являются те, которые предполагают использование биометрических данных. Они обладают следующими преимуществами по сравнению с системами, в которых применяются пароли, аппаратные носители или цифровые сертификаты:
- Невозможность компрометации аутентификатора: физиологическую и поведенческую биометрические характеристики невозможно обнародовать или украсть, а современные биометрические системы весьма эффективно распознают попытки предоставить поддельный биометрический аутентификатор.
- Низкий риск повреждения аутентификатора: к своему телу пользователь относится бережнее, чем к аппаратному средству аутентификации.
- Отсутствие необходимости помнить секретную информацию или носить с собой специальное устройство: биометрические характеристики неотделимы от человека и всегда находятся с ним, являясь частью его тела.
Иными словами, если конфиденциальная информация защищена с помощью механизма биометрической аутентификации, то получить доступ к ней без присутствия пользователя попросту невозможно.
Чтобы реализовать систему биометрической аутентификации, необходимо интегрировать ее в сервисы и приложения, которые используются в организации.
При этом лучше всего применять специализированный комплекс продуктов, включающий в себя биометрические сканеры, а также решения классов Two-Factor Authentication Provider (2FA provider) и Enterprise Single Sign-On (ESSO). Применение подобных программ позволит, с одной стороны, построить систему аутентификации, которую невозможно обойти, с другой – обеспечить поддержку биометрической аутентификации во всех корпоративных сервисах и приложениях.
Решение
Чтобы интегрировать систему биометрической аутентификации в ИТ-инфраструктуру, просто закупить подходящие сканеры может быть недостаточно. Это связано с тем, что программное обеспечение, поставляемое с распространенными биометрическими сканерами призвано защищать рабочие места (на уровне операционной системы), но не целевые приложения, которые руководство организации может считать более критичными.
Поэтому при отсутствии дополнительного программного обеспечения, реализующего биометрическую аутентификацию на уровне приложений и веб-приложений, вся система защиты может оказаться неэффективной против актуальных угроз – прежде всего потому, что для аутентификации в приложениях используются уязвимые пароли.
Платформа Indeed AM представляет собой программно-аппаратный комплекс, реализующий централизованные политики управления аутентификацией и технологию единой аутентификации во всех корпоративных сервисах с помощью биометрических признаков.
Платформа Indeed AM поддерживает следующие методы биометрической аутентификации:
- по отпечатку пальца;
- по рисунку вен ладони;
- по геометрии лица (двухмерному и трехмерному изображению).
Каждая из поддерживаемых технологий обладает преимуществами и недостатками, которые описаны в таблице ниже.
| Отпечаток пальца | Двухмерное изображение лица | Трехмерное изображение лица | Рисунок вен ладони | |
|---|---|---|---|---|
| Точность распознавания | Высокая | Средняя | Высокая | Очень высокая |
| Точность распознавания | Высокая | Средняя | Высокая | Очень высокая |
| Сложность изготовления муляжа | Высокая | Средняя | Средняя | Очень высокая |
| Удобство использования | Высокое | Высокое | Очень высокое | Высокое |
| Стоимость использования технологии (оборудование, лицензии) | Средняя | Низкая | Средняя | Высокая |
| Гигиеничность | Низкая (контактный сенсор) | Очень высокая | Очень высокая | Средняя (бесконтактный сенсор, но есть подставка для руки) |
| Устойчивость к помехам (загрязнение, порезы и т. п.) | Низкая (требуется хорошее состояние кожи пальца) | Средняя (требуется хорошее освещение) | Очень высокая | Очень высокая |
С помощью платформы Indeed AM можно реализовать индивидуальные сценарии аутентификации (включая биометрическую) для каждого отдельно взятого приложения и веб-приложения. При этом пользователь может вовсе не знать пароля (тот будет находиться в защищенном хранилище Indeed AM). Это позволит исключить любые прочие варианты аутентификации, кроме как через Indeed AM.
Технические характеристики
Поддерживаемые каталоги пользователей
- Active Directory
- Многодоменная инфраструктура
Поддерживаемые целевые ресурсы
- Рабочие места с ОС Microsoft Windows.
- Рабочие места с ОС Linux/Unix
- Настольные приложения на рабочих местах с ОС Windows.
Поддерживаемые технологии биометрической идентификации и аутентификации по статическим признакам
- Отпечатки пальцев
- Рисунок вен ладони
- Двухмерное изображение лица
- Трехмерное изображение лица
Поддерживаемые модели биометрических сканеров
- Отпечатки пальцев: FS-80, FS-9880 от Futronic; сканеры от Digent.
- Рисунок вен ладони: PalmSecure от Fujitsu; PalmJet от BIOSMART.
- Двухмерное изображение лица: любая веб-камера с разрешением Full HD.
- Трехмерное изображение лица: RealSense от Intel; камеры от Artek.
Поддержка интеграции с техническими средствами
- Средства защиты от несанкционированного доступа и Endpoint Security Suite: система Secret Net Studio от компании «Код Безопасности».
- Средства управления полномочиями и учетными записями: Solar inRights, 1IDM на базе 1С, Ankey IDM от компании «Газинформсервис», Microsoft FIM, IBM Tivoli Identity Manager.
- Средства мониторинга и корреляции событий информационной безопасности: решения класса SIEM (syslog).
- Система контроля и управления физическим доступом: «Бастион», «Орион» от «Болида», TSS от «Компании Семь печатей».
