Для клиентов Indeed ID, использующих различные Web-приложения, развернутые на IIS-сервере, мы реализовали универсальную поддержку этих приложений в системах Indeed Enterprise Authentication и Indeed Enterprise Single Sign-On.

Новый модуль Indeed IIS Extension позволяет клиентам самостоятельно настраивать аутентификацию по технологии Indeed ID для любых Web-приложений, работающих на сервере IIS. Модулем поддерживаются четыре основных метода аутентификации: Basic Authentication, Digest Authentication, Integrated Windows Authentication и Forms Authentication. Пользователи Indeed ID смогут выполнять вход в приложения, к которым подключен IIS-модуль, с помощью провайдеров Indeed-Id Passcode Provider или Google OTP.

Технология Indeed AirKey Enterprise, анонс которой мы опубликовали на прошлой неделе, стала первой на российском ИБ-рынке технологией сетевой виртуальной смарт-карты и вызвала большой интерес со стороны специалистов отрасли.

Получив большое количество вопросов о данной технологии, мы решили подготовить видео с обзором Indeed AirKey Enterprise и подробнее рассказать о технологии и архитектуре разработанного решения, а также продемонстрировать процесс использования виртуальной смарт-карты Indeed AirKey Enterprise.

В рассматриваемом примере выполняется оперативная замена недоступной (забытой, утерянной или вышедшей из строя) аппаратной смарт-карты на смарт-карту AirKey, удаленная доставка выпущенной виртуальной смарт-карты на ПК пользователя и аутентификация по карте в ОС.

Директор по продуктам Indeed ID Михаил Елычев в интервью TelecomDaily рассказал о том, как меняются потребности компаний в средствах защиты информации и какие технологии сегодня наиболее актуальны.

Приводим полный текст интервью (источник — TelecomDaily).

TelecomDaily: Как сейчас развивается рынок ИБ в России?

Как правило, кризис ассоциируется в первую очередь с повсеместным экономическим спадом. Однако рынок ИБ в условиях, которые мы сейчас наблюдаем, продолжает развиваться. Безопасность остается базовой потребностью компаний. А существующие и возникающие угрозы ИБ, требования регуляторов и возросший за последние годы уровень зрелости информационной безопасности на российском рынке положительно сказываются на росте ИБ-рынка в условиях кризиса.

Кроме того, обеспечение информационной безопасности позволяет решать такие крайне актуальные для компаний в период экономической нестабильности задачи, как защита информационных активов, оптимизация использования ресурсов, повышение прозрачности работы сотрудников. То есть, внедряя ИБ-средства, компании видят определенный экономический эффект.

TelecomDaily: Как конкретно отражается на рынке ИБ кризисная ситуация? С какими сложностями сейчас приходится бороться?

Конечно, экономическая ситуация вызвала изменения в ИТ-индустрии, которые отразились и на рынке ИБ. Согласно исследованию Zecurion, в этом году предприятия стали иначе подходить к выбору ИБ-решений. Изменились критерии и длительность выбора средств защиты. Компании стали дольше принимать решения о приобретении соответствующих продуктов. Занимаясь разработкой комплексных решений с длительным циклом продаж, мы действительно наблюдаем такую тенденцию. Так, если раньше наши клиенты принимали решение о покупке в среднем за 6-9 месяцев, то сейчас длительность цикла продажи составляет примерно 9-12 месяцев.

TelecomDaily: Как развивается рынок ИБ в корпоративной сфере? Стали ли компании делать меньше заказов?

В период экономической нестабильности отношение компаний к своим бюджетам естественным образом меняется. Некоторые, действительно, сокращают статьи расходов на ИБ. Однако большинство компаний все-таки предпочитает не экономить на собственной безопасности. Проанализировав важность обрабатываемой информации, актуальные угрозы ИБ и риски возможного ущерба, часть заказчиков, наоборот, увеличивает затраты на обеспечение ИБ.

Наша компания наблюдает возросший интерес к ИБ-решениям. В этом году количество пилотных внедрений у нас увеличилось более, чем в 1,5 раза по сравнению с прошлым годом. При этом более половины пилотных внедрений завершилось покупкой соответствующих решений и переходом к их промышленной эксплуатации. Существующие клиенты продлевают действующие договора технической поддержки, приобретают дополнительные лицензии. В среднем количество выписанных лицензий за этот год мы увеличили на 100%.

Некоторые компании, переоценивая бюджет, перераспределяют затраты на закупку оборудования и ПО. Нашей компании в этом смысле оказалось довольно легко адаптироваться к изменениям запросов со стороны заказчиков. Мы разрабатываем специализированное ПО под маркой Indeed ID, предназначенное для решения задач управления смарт-картами, учетными данными и доступом пользователей к информационным ресурсам. Все наши решения поддерживают широкий спектр оборудования различных производителей и моделей, и как показывает опыт наших клиентов, зачастую мощности уже имеющихся в компании аппаратных средств оказывается достаточно для решения ее задач. Примерно 10% наших клиентов успешно внедрили наши решения в ИТ-инфраструктуру с уже имеющимся у них “парком” устройств.

TelecomDaily: Расскажите, пожалуйста, о требованиях, которые заказчики предъявляют к продуктам?

Как я уже упомянул, экономическая ситуация подтолкнула компании к изменению подхода и критериев выбора ИБ-решений. Для компаний сегодня особенно актуально, чтобы средства защиты приносили определенный экономический эффект.

Чтобы не быть голословным, приведу в качестве примера получение организацией экономической выгоды при использовании технологий строгой аутентификации и единого входа (Single Sign-On, SSO), реализация которых является одним из направлений деятельности нашей компании. Опыт внедрения и эксплуатации наших систем Indeed Enterprise Authentication и Indeed Enterprise Single Sign-On показывает, что прямая экономия от внедрения данных технологий составляет от 3,2 тыс. руб. до 9 тыс. руб. на одного пользователя в год. Достигается это за счет того, что использование ролевой модели и автоматизация процесса создания и изменения учетных записей SSO значительно упрощают и ускоряют работу администраторов, а отсутствие инцидентов, связанных с забытыми паролями, снижает нагрузку на службы поддержки пользователей. Сам процесс обслуживания систем безопасности становится проще и быстрее благодаря тому, что сотрудники получают доступ ко всем приложениям с помощью унифицированной процедуры аутентификации.

Таким образом, решение в области ИБ позволяет предприятию сократить издержки и увеличить ROI от вложений в ИТ-инфраструктуру, повышая эффективность бизнес-процессов и обеспечивая экономию финансов, что особенно важно для компаний в условиях экономической нестабильности.

TelecomDaily: Что сейчас для заказчиков наиболее важно?

В условиях кризиса стремление компаний достичь результата с наименьшими затратами, по понятным причинам, усиливается. Поэтому особое внимание при выборе решений заказчики уделяют возможности кастомизации.

Для нашей компании, как для разработчика ИБ-решений, “индивидуальный подход” в работе с клиентами является необходимым. Наши клиенты работают в разных отраслях: банковской, финансовой, телекоммуникационной, энергетической и транспортной. Это также государственные и образовательные учреждения. Очевидно, что все они имеют собственную уникальную ИТ-инфраструктуру и свои требования к уровню организации защиты информации, поэтому запросы на доработку мы получаем от 99% клиентов. Не нуждаются в доработках и используют типовую конфигурацию решения, как правило, небольшие компании с простой ИТ-инфраструтурой.

Кроме того, сейчас компании более тщательно подходят к выбору продуктов с точки зрения возможности одновременного решения сразу нескольких задач ИБ. Наша компания разрабатывает комплекс решений для аутентификации, управления доступом к ресурсам, а также учета и управления смарт-картами, токенами и цифровыми сертификатами на предприятии. При этом из всех сделок 73% заключено на использование более, чем одного решения Indeed.

TelecomDaily: Мешают ли законодательные нововведения развитию рынка российского ПО?

Обязательное соблюдение требований законодательства и регулирующих органов способствует повышению уровня зрелости рынка ИБ и “дисциплинирует” компании, не позволяя им забывать о вопросах ИБ. Учитывая тот факт, что последние версии нормативных документов требуют активного перехода от так называемой “бумажной” безопасности к реальной, требования законодательства и обязательных отраслевых стандартов являются сегодня важной составляющей активного развития российского ИБ-рынка.

TelecomDaily: Как будет развиваться ИТ-рынок в ближайшее время?

Одним из основных драйверов развития для российских производителей ПО на данный момент является импортозамещение. Основная задача, которая стоит перед участниками рынка, — это разработка и улучшение отечественных средств защиты информации с учетом актуальных российских проблем. В связи с этим можно ожидать расширения партнерских отношений между отечественными участниками ИБ-рынка, что для заказчиков будет означать увеличение возможностей интеграции различных систем и упрощение этого процесса.

Сейчас очень активно развиваются облачные технологии. Компании рассматривают облака как инструмент сокращения издержек и оптимизации своей работы. При этом им необходима уверенность в безопасности размещенных в облаке ресурсов и осуществляемых в нем операций. Соответственно, критическую важность приобретают защита и шифрование данных. Поэтому спрос на средства и услуги, решающие эти задачи, будет увеличиваться.

Отмечу, что наша компания, являясь активным участником ИБ-рынка, разработала облачную платформу Indeed AirKey, которая реализует операции электронной подписи, строгой аутентификации и доставки защищенных сообщений на смартфоне пользователя. А в конце этого года мы выпустили технологию виртуальной смарт-карты Indeed Enterprise AirKey, не имеющую аналогов на российском рынке и полностью эмулирующую поведение физической смарт-карты и позволяющую выполнять весь спектр операций и пользовательских сценариев, доступный аппаратным ключевым носителям.

Давно работая на рынке ИБ и имея большой объем соответствующих компетенций, мы хорошо знаем проблемы и потребности клиентов в этой области. Поэтому постоянно расширяя возможности наших решений, мы не только развиваем существующие продукты, но и создаем новые. Сегодня расскажем об одном из них — разработанной нами первой на российском ИБ-рынке технологии сетевой виртуальной смарт-карты Indeed Enterprise AirKey.

Компании с развернутой PKI-инфраструктурой, где смарт-карта является для сотрудника персональным ключом для использования технологий электронной цифровой подписи, строгой аутентификации и шифрования данных, часто сталкиваются с организационными проблемами, связанными с применением аппаратных ключевых носителей. Если пользователь забыл устройство дома, потерял его или оно вышло из строя, доступ к данным и их защита становятся невозможны. При этом замена устройства (выпуск дубликата) не всегда может быть выполнена оперативно.

Таким образом, аппаратная составляющая становится “слабым звеном” в процессе использования смарт-карт в рамках PKI-инфраструктуры. Для исключения этой составляющей и устранения связанных с ней недостатков, мы разработали технологию сетевой виртуальной смарт-карты Indeed Enterprise AirKey.

Виртуальная смарт-карта Indeed Enterprise AirKey полностью эмулирует поведение физической смарт-карты и позволяет выполнять весь спектр операций и пользовательских сценариев, доступный аппаратным ключевым носителям: электронно-цифровая подпись, расшифровка данных, двухфакторная аутентификация пользователей, организация доступа в режиме Single Sign-On.

Технология реализует виртуальную смарт-карту несколькими способами. В одном случае физический носитель заменяется специальным хранилищем ключей и цифровых сертификатов на сервере системы, в другом — роль персонального ключевого носителя выполняет смартфон с установленным на него приложением AirKey.

Работа виртуальной смарт-карты Indeed Enterprise AirKey осуществляется в соответствии со штатными протоколами, интерфейсами и механизмами PKI-инфраструктуры. Так же, как обычные криптографические ключевые носители, для выполнения криптоопераций виртуальная смарт-карта использует стандарт PKCS#11 и интерфейс Microsoft CryptoAPI.

При этом закрытые ключи шифрования не передаются на ПК пользователя. В зависимости от реализации технологии виртуальной смарт-карты, ключи хранятся либо в зашифрованном виде в базе данных на сервере системы, либо в защищенной памяти смартфона. Все криптографические операции, соответственно, также выполняются на сервере системы или на смартфоне пользователя. При таком подходе ни вредоносное ПО на рабочем месте сотрудника, ни злоумышленник не могут скомпрометировать соответствующие закрытые ключи.

Для обеспечения безопасности выполняется шифрование каналов связи между всеми элементами системы (сервером, ПК и/или смартфоном пользователя) с применением асимметричных алгоритмов шифрования по протоколу TLS. На ПК пользователя доставляется уже готовый результат криптооперации.

Отсутствие аппаратной составляющей определяет ряд преимуществ виртуальной смарт-карты по сравнению с традиционными ключевыми носителями. Для получения смарт-карты не требуется личный визит сотрудника к оператору системы — доставка виртуальной смарт-карты на компьютер пользователя осуществляется удаленно. Для специалистов ИБ значительно упрощается процедура изъятия карты из системы: чтобы прекратить ее использование администратору достаточно выполнить удаленный отзыв смарт-карты с уничтожением закрытых ключей.

Для операционной системы компьютера и целевых приложений, с которыми работает пользователь, виртуальная смарт-карта неотличима от физического аналога.

Таким образом, исключая из процесса использования PKI-инфраструктуры аппаратную составляющую на стороне пользователя, виртуальная смарт-карта Indeed Enterprise AirKey позволяет сделать этот процесс непрерывным и более эффективным.