Необходимость ликвидации статических паролей Майк Эдвардс Директор по продажам Cryptocard Europe. - презентация

1 Необходимость ликвидации статических паролей Майк Эдвардс Директор по продажам Cryptocard Europe

2 2 Область применения В мире более 600 миллионов персональных компьютеров, В мире более 600 миллионов персональных компьютеров,НО 90% из них до сих пор используют статические пароли, 90% из них до сих пор используют статические пароли,ПОЭТОМУ здесь есть БОЛЬШИЕ перспективы. 1

3 3 Область применения В мире более 600 миллионов персональных компьютеров, В мире более 600 миллионов персональных компьютеров,НО 90% из них до сих пор используют статические пароли, 90% из них до сих пор используют статические пароли,ПОЭТОМУ здесь есть БОЛЬШИЕ перспективы. 1

4 СТАТИЧЕСКИЕ ПАРОЛИ Что не так со статическими паролями ? Они являются СЛАБЫМ звеном в системе безопасности. 2

5 ...что пароль может быть легко предсказуем, взломан или даже виден Потому что…...обычно они простые, разделяемые с коллегами, а иногда даже записаны на стикерах, приклеенных на мониторах. ПОЧЕМУ ЕСТЬ СЕРЬЕЗНЫЙ РИСК 3

6 ПОЧЕМУ ОНИ НЕ БЕЗОПАСНЫ случайные буквы и цифры Прозвища Дни рождения Клички животных Личные имена Слово «пароль» 4

7 КТО ГОВОРИТ, ЧТО ЭТО ПРОБЛЕМА Управление паролем входит в «Десятку» уязвимостей в безопасности, с которыми сталкиваются компании сегодня. По словам: SANS Institute Gartner FBI 5

8 ПУГАЮЩИЕ ФАКТЫ По данным последних исследований, LC4 (программа взлома паролей) угадывает половину случайных, программно- сгенерированных, сложных паролей …….. МЕНЕЕ ЧЕМ ЗА 3 МИНУТЫ The SANS Institute 6

9 MICROSOFT ВЗЛОМАН ! КОД УКРАДЕН! …. Хакеры воспользовались украденными паролями с целью проникновения в секретные зоны сети и начали скачивать служебные документы T. Bridis and R Buckman The Wall Street Journal Online НИКТО НЕ ЗАЩИЩЕН! 7

10 ВНУТРИСЕТЕВАЯ УГРОЗА «БОЛЕЕ 50% сетевых атак были запущены внутри сети.» Gartner 8

11 ОПАСНОСТЬ ИЗВНЕ Угроза реальна и непрерывно возрастает, потому что электронная преступность это уже не просто вредоносные действия безмозглых мальчиков. Преступники хорошо организованны, укомплектованы, находчивы и наделены интеллектом. 9

12 ФИШИНГ-АТАКИ 10

13 Потому что IT менеджеры верят, что они БЕСПЛАТНЫЕ ТАК ЗАЧЕМ ЖЕ СТАТИЧЕСКИЕ ПАРОЛИ? 11

14 НАСТОЯЩАЯ ЦЕНА БЕСПЛАТНЫХ ПАРОЛЕЙ Рассмотрим 2 факта…. Обычно компания численностью 2,500 пользователей тратит только около 500,000$ в год на техническую поддержку Gartner Более 30% обращений к системному администратору связаны с паролями GIGA Group 12

15 СТАТИЧЕСКИЕ ПАРОЛИ- РОСКОШЬ! Таким образом, стоимость использования статических паролей на этом примере составляет…. Приблизительно 60$ на пользователя…КАЖДЫЙ ГОД Они какие угодно, но не БЕСПЛАТНЫЕ! 13

16 16 ЧТО СТИМУЛИРУЕТ РЫНОК НЕОБХОДИМОСТЬ СОБЛЮДЕНИЯ ЗАКОНОВ Организации понимают, что находится под угрозой, и обращаются за подтверждением в государственные и наблюдающие организации, устанавливающие строгие стандарты и личную ответственность представителей компаний по законам о защите информации: Закон по обеспечению доступности и подотчетности в мед.страх. (HIPAA) Закон по борьбе с корпоративным и бухгалтерским мошенничеством (SOX) Закон о защите частной фин. информации (GLB) Закон, регулирующий электронную и цифровую подпись (21 CFR Part 11) Приложение 11 закона об автоматизированных системах Директива о защите данных (95/46/EU) Международное соглашение (Basel II) Японская директива о защите информации 14

17 17 Официальная позиция.. Компании должны быть в состоянии доказать, что пользователи, которым предоставляется доступ к их данным, являются теми за кого себя выдают... Компании должны быть в состоянии доказать, что пользователи, которым предоставляется доступ к их данным, являются теми за кого себя выдают... Использование статических паролей может привести к административному преследованию. 15

18 ИДЕАЛЬНЫЙ ПАРОЛЬ : Должен быть сложным Никогда не использоваться дважды Принадлежать одному пользователю Работать на любой точке доступа Легкий в эксплуатации Не требующий управления в отличии от статического Менее затратным, чем статический 16

19 ДВУХФАКТОРНАЯ АУТЕНТИФИКАЦИЯ Фактор 1: Что-то, что принадлежит ТОЛЬКО ВАМ (Ваш токен) Генерирует уникальный пароль Генерирует уникальный пароль Фактор 2: Что-то, что знаете ТОЛЬКО ВЫ (Ваш PIN) Фактор 2: Что-то, что знаете ТОЛЬКО ВЫ (Ваш PIN) В сочетание с кодом создает единоразовый пароль (One-time Password) В сочетание с кодом создает единоразовый пароль (One-time Password)

20 ПРЕИМУЩЕСТВА 2FA Пароль не может быть совместным, украденным, забытым или записанным. Если токен потерян или украден, он бесполезен без PIN-кода Если токен потерян или украден, он бесполезен без PIN-кода В отличие от украденного пароля, пропажа токена обнаружится немедленно В отличие от украденного пароля, пропажа токена обнаружится немедленно Тех.поддержка избавится от обязанностей по поддержке паролей Тех.поддержка избавится от обязанностей по поддержке паролей Вы усилите контроль доступа к Вашим сетевым ресурсам Вы усилите контроль доступа к Вашим сетевым ресурсам 18

21 ПОЧЕМУ ИМЕННО CRYPTOCARD Уникальные возможности для продаж Абсолютная независимость Многоформатность отгрузки Мультиплатформенность Широкий ассортимент токенов Самостоятельная инициализация Аппаратные токены – единоразовая покупка Наиболее надежные пароли (8 character base 64) 19

22 Policy Security Integration Compliance Assimilation Cost SSL-VPNWeb /AppUsernameDatabasesSystems Windows XP 2000 Pro SP Server SP1 OS X 10.3.x Panther OS X 10.4.x Tiger RedHat Ent. 3.x-4.x SuSE Ent. 9.x 4.0.2, 4.1.x Open Directory Active Directory IIS 6.x Web Sever x Citrix Web 4.0 OpenLDAP 9i, 10g Enterprise 2000 (SP4) Exchange 2003 SP Concentrator Connectivity Access Gateway Firewall Juniper Sonic Wall F-Secure Borderware Checkpoint Checkpoint pix Netscreen Sonicwall Watchguard АБСОЛЮТНАЯ НЕЗАВИСИМОСТЬ 20

23 CRYPTO-MAS Служба Управления Аутентификацией для организаций, которые не обладают опытом и не испытывают желания строить собственную структуру внутренней аутентификации. CRYPTO-Shield Готовая к внедрению Инфраструктура Аутентификации, включающая в себе возможности инициализации, управления и т.д. AuthEngine Основное ядро Механизма Аутентификации в виде закрытого кода для дальнейшего внедрения в уже существующие приложения, предназначенное для разработчиков. МНОГОФОРМАТНОСТЬ ОТГРУЗКИ 21

24 1. Управляемая двухфакторная аутентификация 2. Небольшие первоначальные затраты 3. Быстрое внедрение 4. Не требуется специальной квалификации квалификации 5. Недорогая ежемесячная абонентская плата абонентская плата MAS Служба Управления Аутентификацией 22

25 CRYPTO-ServerИнтеграция с LDAP/AD Хранение информации о токенах в MySQL или Oracle Взаимодействие с приложениями по протоколам RADIUS,HTTP,HTTPS or CAP Возможность репликации и восстановления при сбоях Версии для Windows, Linux or Mac CRYPTO-ConsoleУправление GUI Просмотр каталогов Управление токенами CRYPTO-LogonОбеспечивает возможность авторизации для ПК и доменов CRYPTO-WebОбеспечивает возможность защиты Web-страниц и порталов CRYPTO-SHIELD 23

26 Встраиваемое в существующую бизнес-среду решение по аутентификации с использованием токенов Взаимодействует, замещает или дополняет существующие методы аутентификации, в том числе использующие статические пароли. Интегрируется с существующими системами инициализации, обработки и выполнения заказов, выставления счетов, технической поддержки, бухгалтерской отчетности и др. Применяется в существующей инфраструктуре: Баз данных Приложений Производства AUTH ENGINE 24

27 Достоинство многоплатформенности серверного программного обеспечения не только в поддержке всех основных операционных систем. Это возможность построения пользовательской среды на базе единичных решений, корпоративной сети, объединением их в единое целое. Удобство оценят корпорации, в которых тенденция роста основана на присоединении новых филиалов. Они всегда могут уверены, что выбранное ими решение по двухфакторной аутентификации легко внедряемо. МНОГОПЛАТФОРМЕННОСТЬ 25

28 Различные типы пользователей… Сетевые пользователи (LAN) Удаленные пользователи Надомные работники Контактные специалисты Технические специалисты Финансовые служащие Кадровые сотрудники Существует разные технологии и уровни безопасности. Существует разные технологии и уровни безопасности. Хорошие новости в том, что…. Хорошие новости в том, что…. У нас есть подходящие токены для всех. У нас есть подходящие токены для всех. ШИРОКИЙ АССОРТИМЕНТ ТОКЕНОВ 26

29 Мы позволяем конечным пользователям самостоятельно инициализировать их аппаратные токены. Это предотвращает возможность доступа третьей стороны к Вашей частной сети. Задайте себе вопрос……..Это в ваших правилах делится с кем-либо своим индивидуальным ключом ? Если нет, то есть только одно решение, которое можно купить! САМОСТОЯТЕЛЬНАЯ ИНИЦИАЛИЗАЦИЯ 27

30 Конкуренты изобрели один из лучших способов финансового мошенничества, который только можно было придумать! Они заставляют Вас покупать токены снова и снова. Это не только очень дорогой вариант для пользователей, но и неудобство, так как вы постоянно вынуждены заново внедрять токены. С Cryptocard Вы покупаете однажды и внедряете один раз и навсегда. ТОКЕН – ЕДИНОРАЗОВАЯ ПОКУПКА 28

31 Основные конкуренты могут генерировать только шестизначные цифровые пароли Другие способны сочетать в паролях цифры и алфавит (0-9 plus A-F) Длина пароля Только цифры Алфавит и цифры 0-9 плюс A-F Алфавит и цифры Base64 0-9, a-z, A-Z Специальные символы 4Несколько секунд 6< 60 секундОколо 1 минутыОколо 15 минут 8Приблизительно 58 часовПриблизительно 1 годПриблизительно 7 лет 10Приблизительно 5 летПриблизительно 2,000 летПриблизительно 26,984 лет Время на подбор пароля методом перебора НАИБОЛЕЕ НАДЕЖНЫЕ ПАРОЛИ 29

32 Мы получаем Сертификат ФСТЭК Наш опытный дистрибьютор – Сетевые решения Мы готовы …….. К СОТРУДНИЧЕСТВУ Мы готовы …….. К СОТРУДНИЧЕСТВУ CRYPTOCARD в РОССИИ 30

33 Чем Лучше Продукт по Лучшей Цене, тем Лучше Результат тем Лучше Результат ЗАПОМНИТЕ, ПОЖАЛУЙСТА 31

34 СПАСИБО ЗА ВНИМАНИЕ 32