С заботой о безопасности: как выполнить проверку подлинности на основе знаний

Как проверить подлинность пользователей на основе атрибутов известных им данных, если эта информация постоянно раскрывается при утечках? Это сложная задача, для которой нет однозначного ответа. Подумайте, какими способами вы пользуетесь, чтобы идентифицировать себя в коммерческих или государственных организациях. Вспомните, какие шаги вы выполняете, чтобы подтвердить, что это действительно вы, а не кто-то другой, выдающий себя за вас. В частности, какие вопросы вам задают, чтобы организация с достаточной уверенностью могла предоставить вам доступ к ресурсам, ради которых вы обратились к ней. Очень часто пользователя просят принять участие в проверке подлинности на основе знаний Knowledge Based Authentication (KBA), и в последнее время с этим возникли серьезные проблемы.

Типичный вопрос, который нам задают, — дата рождения. Он всегда выглядел смешно, так как все мы охотно делимся этой информацией друг с другом просто потому, что большинство из нас любит поздравления и подарки. И тем не менее такие компании, как Betfair, сбрасывают ваш пароль, запросив лишь дату рождения и адрес электронной почты (https://www.troyhunt.com/happy-birthday-now-anyone-can-login-to/). Нет, от вас не требуется получить электронное сообщение, вы просто говорите: «Вот адрес электронной почты и дата рождения, а вот пароль, который я хочу назначить учетной записи». Это крайний пример, и, я думаю, авторы такого подхода уже убедились в его бесплодности и внесли некоторые изменения, но дата рождения по-прежнему часто фигурирует в процессе KBA.

На сайте Have I Been Pwned? (https://haveibeenpwned.com/) описано 69 примеров утечек данных, содержащих даты рождения, и эти 69 утечек охватывают в целом более 477 млн записей. Некоторые из этих записей принадлежат одному лицу в разных службах, но в любом случае это сотни миллионов людей, чьи очень простые вопросы KBA стали всеобщим достоянием. Среди прочих типичных атрибутов проверки подлинности — девичья фамилия матери, школа, в которой вы учились, и домашний адрес, и, конечно, многие из них были раскрыты в результате утечек.

Другой недостаток вопросов KBA в том, что они обычно неизменны. В отличие, например, от пароля, который легко поменять в случае нарушения, статические атрибуты данных, такие как дата рождения или вопросы об учебных заведениях, не меняются. И не надо думать, что данные раскрываются только в результате утечек. Мы сами постоянно делимся ими друг с другом, особенно в социальных сетях.

Я более глубоко задумался над ситуацией после утечки Master Deeds (https://www.troyhunt.com/questions-about-the-massive-south-african-master-deeds-data-breach-answered/) в Южной Африке, где кто-то опубликовал данные KBA всей страны в Интернете. Что делать, если неизменные персональные данные почти каждого человека в стране оказались в распоряжении неизвестного числа потенциальных злоумышленников? Как минимум резко понизится уровень доверия к любому лицу, предоставляющему эти данные. А в худшем придется искать новый способ проверки подлинности для целой страны. Ошибочно полагать, что проблема касается лишь Южной Африки, это суровая реальность для всех стран, и сейчас у нас, увы, просто нет достойной альтернативы.

Обновлена верификация DeviceLock Endpoint DLP по программе Citrix Ready

Компания «Смарт Лайн Инк», международный лидер в области программных средств защиты от утечек данных с компьютеров, сообщает, что программный комплекс DeviceLock Endpoint DLP Suite обновил верификацию на соответствие требованиям программы Citrix Ready. Партнерская программа Citrix Ready позволяет пользователям находить продукты независимых производителей, рекомендованные компанией Citrix Systems как дополняющие и улучшающие возможности решений на базе платформы Citrix в области виртуализации, сетевых технологий и «облачных» вычислительных сред.

Комплекс DeviceLock Endpoint DLP Suite вновь успешно прошел все предусмотренные программой строгие тестовые испытания процесса верификации совместимости с актуальными версиями продуктов Citrix XenApp и XenDesktop, управление которыми унифицировано на базе архитектуры FlexCast Management Architecture.

Пользователи продуктов Citrix могут быть уверены, что DeviceLock DLP обеспечивает надежное предотвращение утечек данных из виртуальных рабочих столов и приложений в средах Citrix XenApp и XenDesktop, реализующих различные варианты концепции Bring Your Own Device (BYOD, использование собственных устройств сотрудников в производственных целях) и виртуальной инфраструктуры (VDI). DeviceLock DLP позволяет обеспечить высокий уровень защищенности данных при организации удаленного доступа сотрудников к корпоративным приложениям и данным посредством любого удаленного компьютера, ноутбука, планшета или смартфона, подключенного с помощью приложения Citrix Receiver.

«Первая верификация комплекса DeviceLock DLP в программе Citrix Ready была проведена в 2012 году. С тех пор наша компания достигла значительных успехов в предоставлении пользователям платформы Citrix такого же эффективного решения для защиты от утечек данных из виртуальных приложений и десктопов, какое DeviceLock Endpoint DLP Suite обеспечивает для физических компьютеров, — отметил Ашот Оганесян, технический директор и основатель компании. — Регулярное обновление верификации DeviceLock DLP в программе Citrix Ready подтверждает нашу долговременную стратегию — предлагать самый функциональный DLP-продукт организациям, использующим технологии виртуализации вычислительных сред как на уровне рабочих станций (VDI/DaaS), так и на уровне приложений».

Реализованная в DeviceLock DLP технология Virtual DLP расширяет возможности функций предотвращения утечек данных для различных вариаций виртуальной инфраструктуры, включая сеансы удаленного доступа к опубликованным приложениям, многопользовательским и персонализированным рабочим столам (VDI), доступ к удаленным физическим компьютерам, работу на поточно-загружаемых десктопах (DaaS), а также использование локальных виртуальных машин на гипервизорах.

Технология Virtual DLP обеспечивает контекстный контроль и контентную фильтрацию потоков данных между сеансами опубликованных приложений и рабочих столов и перенаправленными периферийными устройствами, портами и буфером обмена удаленных терминальных и устройств BYOD. Что особенно важно, политики контроля содержимого в DeviceLock DLP можно задавать для буфера обмена данными и подключенными дисками (mapped drives), равно как и для сетевых протоколов, используемых внутри терминальных сессий. В результате обеспечивается полный контроль виртуальной корпоративной среды на персональном устройстве сотрудника, а также фильтрация и контроль обмена данными между виртуальной рабочей средой и операционной системой, приложениями и периферийными устройствами для тех компьютеров, которые невозможно контролировать обычными способами.

«Возможности DeviceLock DLP для предотвращения утечек в виртуализованных средах на базе Citrix основаны на его способности контролировать не только конечные точки во всех виртуализационных моделях FlexCast, но и в многопользовательских сеансах приложений XenApp с индивидуальными политиками DLP, применяемыми отдельно и независимо для каждого пользователя в сеансе. Попробуйте задать вопрос специалистам по виртуализации о безопасном использовании устройств типа mapped drive, и уникальность DeviceLock станет очевидной», — подчеркнул Ашот Оганесян.