Опыт «Аладдин Р.Д.» в реализации защищённого удалённого доступа и борьбе с COVID-19
В нашей компании, как и во многих других ИТ- и не очень ИТ-компаниях, возможность удалённого доступа существовала давно, и по необходимости им пользовались многие сотрудники. С распространением же COVID-19 в мире наш IT-отдел по решению руководства компании начал переводить на удалёнку сотрудников, вернувшихся из зарубежных поездок. Да, домашнюю самоизоляцию мы стали практиковать с самого начала марта, ещё до того, как это стало мейнстримом. К середине марта решение уже было масштабировано на всю компанию, а в конце марта мы все практически бесшовно перешли на новый для всех режим массовой удалённой работы.
Технически, для реализации удалённого доступа в сеть у нас используется Microsoft VPN (RRAS) – как одна из ролей Windows Server. При подключении к сети становятся доступны различные внутренние ресурсы от шейрпоинтов, файлообменников, багтрекеров до CRM-системы, многим для работы хватает только этого. Для тех, у кого в офисе остались рабочие станции, настроен RDP-доступ через RDG-шлюз.
Аладдин – робот, которому принадлежит всё (Blackrock Aladdin)
Почему выбор пал на это решение или почему его стоит выбрать? Потому что если у вас уже есть домен и другая инфраструктура от Microsoft, то ответ очевиден, вашему ИТ-отделу скорее всего будет проще, быстрее и дешевле его реализовать. Нужно просто добавить несколько фич. А сотрудникам будет легче настроить компоненты Windows, чем скачивать и настраивать дополнительные клиенты доступа.
При доступе на сам VPN-шлюз и после, при подключении к рабочим станциям и к важным веб-ресурсам, мы используем двухфакторную аутентификацию. Действительно, было бы странно, если бы мы как производитель решений по двухфакторной аутентификации не пользовались бы своими продуктами сами. Это наш корпоративный стандарт, у каждого сотрудника есть токен с личным сертификатом, по которому происходит аутентификация на офисной рабочей станции в домен и ко внутренним ресурсам компании.
По статистике, более 80% инцидентов информационной безопасности используют слабые или украденные пароли. Поэтому внедрение двухфакторной аутентификации сильно повышает общий уровень защищённости компании и её ресурсов, позволяет практически до нуля снизить риск кражи или подбора пароля, а также гарантировать, что общение происходит именно с валидным пользователем. При внедрении инфраструктуры PKI аутентификацию по паролям можно вообще отключить.
С точки зрения UI для пользователя такая схема даже более проста, чем ввод логина и пароля. Причина в том, что сложный пароль теперь не нужно запоминать, не нужно клеить стикеры под клавиатуру (нарушая все мыслимые и немыслимые политики безопасности), пароль даже не нужно менять раз в 90 дней (хотя это уже и не считается лучшими практиками, но много где всё равно практикуется). Пользователю нужно будет просто придумать не очень сложный PIN-код и не потерять токен. Сам токен же может быть выполнен в виде смарт-карты, которую можно удобно носить в бумажнике. В токен и смарт-карту могут быть имплантированы RFID-метки для доступа в офисные помещения.
4.6 Программы для администрирования ключей HASP
PIN-код используется при аутентификации, для предоставления доступа к ключевой информации и выполнения криптографических преобразований и проверок, потерять токен не страшно, так как подобрать PIN-код невозможно, через несколько попыток произойдёт блокировка. При этом смарт-карточный чип защищает ключевую информацию от извлечения, клонирования и других атак.
Что ещё?
Если решение вопроса по удалённому доступу от Microsoft по какой-то причине не подходит, то внедрить инфраструктуру PKI и настроить двухфакторную аутентификацию по нашим смарт-картам можно в различные VDI-инфраструктуры (Citrix Virtual Apps and Desktops, Citrix ADC, VMware Horizon, VMware Unified Gateway, Huawei Fusion) и аппаратные комплексы безопасности (PaloAlto, CheckPoint, Cisco) и другие продукты.
Некоторые из примеров рассматривались в том числе и в наших предыдущих статьях.
В следующей статье расскажем о настройке OpenVPN c аутентификацией по сертификатам из MSCA.
Не сертификатом единым
Если внедрение PKI-инфраструктуры и закупка аппаратных устройств для каждого сотрудника выглядит слишком сложно или, например, нет технической возможности подключения смарт-карты, то есть решение с одноразовыми паролями на основе нашего сервера аутентификации JAS. В качестве аутентификаторов можно использовать программные (Google Authenticator, Яндекс Ключ), аппаратный (любой соответствующий RFC, например, JaCarta WebPass). Поддерживаются практически все те же решения, что и для смарт-карт/токенов. О некоторых примерах настройки мы также рассказывали в наших прошлых постах.
Способы аутентификации можно комбинировать, то есть по OTP – пускать, например, только мобильных пользователей, а классические ноутбуки/десктопы аутентифицировать только по сертификату на токене.
Ввиду специфики работы лично ко мне за последнее время обращались многие нетехнические друзья за помощью в настройке удалённого доступа. Так что удалось немного подсмотреть, кто и как выходит из положения. Были приятные удивления, когда не очень большие компании используют именитые бренды, в том числе и с решениями по двухфакторной аутентификации. Были также и случаи, удивляющие в обратную сторону, когда действительно очень большие и широко известные компании (не ИТ) рекомендовали просто установить TeamViewer на свои офисные компьютеры.
В сложившейся ситуации специалисты компании «Аладдин Р.Д.» рекомендуют ответственно относиться к решению проблем удалённого доступа к вашей корпоративной инфраструктуре. По этому случаю в самом начале режима общей самоизоляции мы запустили акцию «Организация безопасной удалённой работы сотрудников».
- JaCarta
- JaCarta Authentication Server
- PKI
- двухфакторная аутентификация
- удаленный доступ
- электронный ключ
- USB-токен
- Microsoft RRAS
- Аладдин Р.Д.
- VPN
- RDP
- Блог компании Аладдин Р.Д.
- Информационная безопасность
- IT-инфраструктура
Источник: habr.com
Лицензионное программное обеспечение Aladdin
Компания «Поликом Про» осуществляет поставки продуктов компании «Аладдин Р.Д.» – ведущего российского разработчика средств аутентификации, электронной подписи, продуктов и решений для обеспечения информационной безопасности и защиты конфиденциальных данных.
Компания «Поликом Про» является Серебряный Бизнес-партнёром компании «Аладдин Р.Д.», имеет консультантов, подготовленных технических специалистов и оказывает все виды технической поддержки и консультации.
Продукты компании «Аладдин Р.Д.» имеют все необходимые лицензии ФСТЭК России и ФСБ России.
Строгая аутентификация и электронная подпись
JaCarta — смарт-карты, USB- и MicroUSB-токены для обеспечения двух или трёхфакторной аутентификации, электронной подписи и безопасного хранения ключей и цифровых сертификатов.
Широкий ассортимент смарт-карт ридеров предназначен для использования со смарт-картами JaCarta и eToken, а также с любыми другими смарт-картами.
JaCarta SecurLogon — программно-аппаратное решение, позволяющее быстро и легко перейти от обычных паролей к двухфакторной аутентификации с помощью USB-токенов и смарт-карт JaCarta и eToken при входе в ОС Microsoft Windows или доступе к сетевым ресурсам.
«Антифрод-терминал» представляет собой TrustScreen-устройство для работы с электронной подписью в недоверенной среде.
Усиленная аутентификация
JaCarta Authentication Server (JAS) — автономный высокопроизводительный сервер для усиленной аутентификации по одноразовым паролям (OTP).
Централизованное управление жизненным циклом электронных ключей
JaCarta Management System (JMS) — корпоративная система учёта и управления жизненным циклом средств аутентификации и электронной подписи JaCarta, eToken и Рутокен.
Защита персональных данных и конфиденциальной информации
Secret Disk — система защиты конфиденциальной информации от несанкционированного доступа.
Secret Disk 5 — система защиты конфиденциальной информации и персональных данных на персональном компьютере или ноутбуке.
Secret Disk Server NG — комплекс защиты конфиденциальной информации и персональных данных на сервере от несанкционированного доступа, копирования, повреждения, кражи или неправомерного изъятия.
Secret Disk Enterprise — корпоративная система защиты конфиденциальной информации с централизованным управлением.
«Крипто БД» – средство криптографической защиты информации, специализированное решение для организаций, использующих СУБД Oracle.
Источник: www.polikom.ru
Продукты и решения
Компания имеет все необходимые лицензии ФСТЭК России, ФСБ России и Министерства обороны России для проектирования, производства и поддержки СЗИ и СКЗИ, включая работу с гостайной и производство продукции в рамках гособоронзаказа.
Многие продукты и решения компании «Аладдин Р.Д.» сертифицированы по требованиям безопасности информации во ФСТЭК России и ФСБ России и могут применяться для защиты персональных данных и конфиденциальной информации в системах высокого класса защиты.
Продукты в Едином реестре отечественного ПО
Продукты компании «Аладдин Р.Д.», внесённые в Реестр, имеют преимущество при участии в тендерах, проводимых государственными структурами и предприятиями, и помогают выполнять программу импортозамещения зарубежных разработок отечественными аналогами.
Решения с технологическими партнёрами
Компания «Аладдин Р.Д.» уделяет пристальное внимание взаимодействию с ведущими российскими разработчиками СКЗИ (компаниями «Крипто-Про», «Инфотекс», «Сигнал-КОМ», «ЛИССИ-Софт»), систем защиты информации, а также с производителями множества прикладных систем: электронного документооборота, медицинских, биллинговых систем, программного обеспечения для банковских и финансовых учреждений, а также ряда других. Технологии «Аладдин Р.Д.» уже интегрированы в наиболее востребованные бизнес-приложения и прикладные системы наших технологических партнёров.
Источник: www.aladdin-rd.ru
Новая версия мобильного приложения Aladdin 2FA позволяет использовать биометрию для защиты пользовательских данных
Компания «Аладдин Р.Д.», российский разработчик и поставщик средств аутентификации и решений для обеспечения информационной безопасности и защиты конфиденциальных данных, обновила мобильное приложение для генерации одноразовых паролей Aladdin 2FA. В новой версии появилась возможность защиты пользовательских данных при помощи биометрии.
Aladdin 2FA – мобильное приложение для генерации одноразовых паролей (OTP), расширяющее возможности сервера аутентификации JaCarta Authentication Server (JAS). Совместное использование JAS с мобильным приложением Aladdin 2FA позволяет обеспечить повышенный уровень защищённости информационных систем и электронных сервисов.
Мобильное приложение Aladdin 2FA такое же простое и интуитивно понятное для пользователя как Google Authenticator, но, в отличие от бесплатных аналогов, Aladdin 2FA надежно защищает секрет (секретный ключ, который используется для генерации одноразовых кодов) от компрометации и тиражирования при передаче его на мобильное устройство.
JaCarta Authentication Server (JAS) — автономный высокопроизводительный сервер аутентификации с поддержкой OTP- и U2F-токенов, а также программных токенов для мобильных устройств. Он обеспечивает надёжную защиту доступа к информационным системам и электронным сервисам, а также позволяет повысить удовлетворённость и лояльность пользователей из-за упрощения процесса аутентификации.
Анализ угроз и киберразведка: какие проблемы решает обновленная TIP Security Vision
Безопасность
В обновлённой версии Aladdin 2FA для доступа к приложению можно использовать биометрию (Touch ID / Face ID), при условии поддержки этой технологии мобильным устройством. Новая версия Aladdin 2FA доступна в AppStore и GooglePlay.
Источник: www.cnews.ru
Aladdin Shared — что это за папка?
Приветствую. Сегодняшняя заметка посвящена папке с интересным названием, прочитав которое сразу вспоминается мультфильм Алладин, однако ничего общего с данным мультфильмом нет.
Aladdin Shared — что это?
Данная папка принадлежит российскому софту Aladdin, используемый для обеспечения защиты информации.
Внутри может быть еще директория HASP, которая содержит компоненты модуля лицензирования Sentinel HASP (HASP SRM).
Основана компания в далеком 1995 году. Полное название ПО — Aladdin Knowledge Systems, используется не только в странах СНГ, но и за рубежом.
Принцип функционирования Aladdin основывается на работе софта с аппаратными устройствами, называемыми ключами:
Один из компонентов приложения — процесс PKIMonitor.exe, который запускается из папки:
C:Program FilesCommon FilesAladdin SharedeTokenPKIClientx32
Trojan.DownLoader26.55506
В базе Доктора Веба присутствует информация о вирусе Trojan.DownLoader26.55506, который в своей работе может создавать папку Aladdin Shared и/или некоторые файлы в уже существующей.
Данная информация говорит об одном — возможно вирус использует одно из названий процессов ПО Aladdin для маскировки, также для этих целей может создавать саму папку.
При подозрениях наличия вируса на ПК — просканируйте утилитой Dr.Web CureIt!. Также дополнительно проверьте компьютер на наличие рекламного и шпионского ПО утилитами AdwCleaner и HitmanPro.
При отсутствии качественного антивируса советую установить бесплатный Kaspersky Security Cloud Free, функционала которого достаточно для обнаружения всех современных опасных угроз (трояны, ботнеты, майнеры).
Заключение
- Aladdin Shared — папка от софта, обеспечивающего защиту данных путем их шифрования, расшифровать которые можно используя специальный аппаратный ключ.
Источник: 990x.top