SlideShare a Scribd company logo

«Идентификация, аутентификация, авторизация – встроенные функции приложений или задачи специализированного сервиса организации?», Михаил Ванин, генеральный директор, ООО «РЕАК СОФТ»

Mail.ru Group
Mail.ru Group

В докладе были рассмотрены возможные подходы к решению задач идентификации, аутентификации и авторизации на уровне инфраструктуры организации. Защита приложения требует наличия в нем встроенных функций идентификации/аутентификации/авторизации пользователя. Однако полагаться на встроенные функции становится сложно, когда необходимо обеспечить работу пользователей с множеством приложений, развернутых внутри организации и в облаке, и к тому же дать пользователям доступ с разнообразных устройств (ПК, мобильные устройства) и из сети организации, и вне ее периметра. В таких случаях задача обеспечения идентификации/аутентификации/авторизации должна быть решена на уровне инфраструктуры организации.

Software
1 of 41
Download to read offline
© ООО «РЕАКСОФТ» Семинар «Безопаснаяразработка и защита приложений» Идентификация,аутентификация,авторизация–встроенныефункции приложенийили задачиспециализированногосервисаорганизации? Москва, 20 апреля 2016 Михаил Ванин, генеральный директор ООО «РЕАК СОФТ» mvanin@reaxoft.ru
Функции приложения Идентификация Аутентификация Авторизация Прикладная функция1 Прикладная функция2 … Прикладнаяфункция N Приложение
Возможные варианты реализации в приложении парольной аутентификации Использование встроенных возможностей браузерови протокола HTTP Создание в приложении формы парольной аутентификации
HTTP Basic парольная аутентификация Клиент Сервер GET /private HTTP/1.1 HTTP/1.1 401 Unauthorized WWW-Authenticate: Basic realm= "Site name" Пользователь GET /private HTTP/1.1 Authorization: Basic dXNlcjpwYXNz== HTTP/1.1 200 OK * base64encode("user:pass")="dXNlcjpwYXNz"
Другие виды HTTP аутентификации 1. Digest 2. NTLM (Windows Authentication) 3. Negotiate
Аутентификация с использованиемформы Клиент Сервер GET /login HTTP/1.1 HTTP/1.1 200 OK Пользователь POST /login HTTP/1.1 login=user@mail.ru&password=pass HTTP/1.1 302 Found Set-Cookie: token=AwM1ZW…Ni; Secure; HttpOnly GET /private HTTP/1.1 Cookie: token=AwM1ZW…Ni HTTP/1.1 200 OK
Пользователи не доверяют паролям Источник: 2015Accenture Digital Consumer Survey Я нуждаюсь в альтернативе логинам/паролям для своей защиты в Интернете Логины и пароли громоздки в использовании В следующем году я бы использовал уникальный чипв моем телефоне/ПК для своей защиты в Интернете В следующем году я бы использовал биометрию для своей защиты в Интернете Я знаю не менее одной альтернативы логину/паролю для своей защиты в Интернете
Повышение надежности аутентификации Строгая аутентификация (криптографические средства и электронная подпись) Усиленная аутентификация (усиление парольной аутентификацией – проверка 2 фактора)
Строгая аутентификация с использованием TLS/SSL Handshake Клиент Сервер Фаза 1. Определение параметров шифрования Пользователь Фаза 3. Отправка серверу сертификата клиента (в открытом виде и в зашифрованном на приватном ключе), проверка сертификата клиента Фаза 4. Выработка предварительного ключа, отправка серверу в зашифрованном на открытом ключе сервера виде, взаимная выработка сессионного ключа Фаза 5. Завершение handshake, взаимный обмен данными по шифрованному каналу Фаза 2. Получение и проверка сертификата сервера, запрос сертификата клиента
Строгая аутентификация с использованием формы аутентификации Для возможности взаимодействия веб-браузера с USB-токеном / смарт-картой необходим браузерный плагин
Критерии выбора плагина 1. Поддержка различных ОС и браузеров - Поддерживается ли GoogleChrome? Или работа только через NPAPI? - Поддерживаются ли Linux и MacOS X последних версий, и какие их браузеры? 2. Поддержка средств электронной подписи различных производителей - Поддерживаются ли смарт-карты и токены толькоодного производителя или разных? - Обеспечивается ли поддержка только вWindows или и в других ОС? 3. Уровень технической поддержки производителя плагина - Имеет ли разработчик плагина обязательства по технической поддержке и SLA? 4. Безопасность плагина - Не помещает ли плагин в ОС корневые доверенные сертификаты? - Не требует ли плагин ввода пользователемПИН-кода в веб-страницы браузера?
Примеры плагинов 1. КриптоПро ЭЦП Browser plug-in 2. Aladdin JC-WebClient 3. Рутокен Плагин 4. Плагин портала государственных услуг 5. Blitz Smart Card Plugin
Варианты усиленной аутентификации SMS-коды Email-коды HOTP-устройства TOTP-устройства U2F-устройства Иные способы
Отправка одноразового пароля по SMS / email
РазновидностиHOTP-устройств С LCD-дисплеем (код вводит пользователь) USB HID устройство (само впечатывает код) Комбинированное RFC4226 «HOTP: An HMAC-Based One-Time Password Algorithm»
Примеры файлов описанийHOTP-устройств Существует большоеразнообразие формата файлов, описывающих HOTP-устройства Пример файла для Aladdin eToken Pass Пример файла для YubiKey Пример файла для NagraID Security Display Card
ПримерыTOTP мобильных приложений Google Authenticator (наиболее известный) Authy (наиболее функциональный) Bitrix24 OTP (сделан компанией из РФ) RFC6238 «TOTP: Time-Based One-Time Password Algorithm»
Пример окна настройкиTOTP пользователем
FIDO U2F устройство (Universal 2nd Factor) Регистрация устройства Проверка при входе
Еще разработчикибеспокоятся о … Регистрация и администрирование учетных записей Применениепарольных политик Регистрация событий входа/выхода Сервисы самостоятельного восстановленияпароля Отчеты о событиях входа Сервисы смены пароля, управления аутентификаторами Информирование пользователейо событиях входа Сервисы выхода из приложений
А правильно ли разработчики поступают, когда создают все эти функции безопасности в своем приложении?
Типичнаяорганизация Сотрудники организации Приложения внутри организации Облачные сервисы 4 5
Пользователи устали от парольного хаоса Я не хочу запоминать много паролей от своих рабочих учетных записей. И мне не нравится, что при смене пароля в каждом приложении своиправила его задания. Мне не нравится, что когдапереключаюсь между приложениями, то у меня каждый раз просят вновь ввестилогин и пароль. И что мешает сделать, чтобыэкраны входа выглядели одинаково? Я редко использовала приложение и забыла отнего пароль. И как мне его теперь восстановить?
Беспорядок с входом в приложения беспокоит и администраторов ИБ Я не могу гибко настроить в приложениях правила аутентификации. Придется довольствоваться парольной аутентификацией При внедрении нового приложения мне нужно готовить для него учетные записи, давать доступы, выдавать пользователям пароли. На это я трачу своивремя и энергию Пользователи не могут быстро усвоить новые пароли. Внедрение новых приложений происходит медленно Чем больше приложений со своей системой входа, тем чаще инциденты «забыл пароль». Порачто-то с этим предпринять
Беспорядок с входом в приложения беспокоит и администраторов У меня нет единой картины, в какие приложения кто из пользователей и как часто ходит Я не уверен, что всеэти механизмы аутентификации в разных приложениях безопасны. Сделанное «плохо» приложение компрометирует пароли и несет угрозу безопасности Пользователи выбирают ненадежные пароли. Вход не защищен. Парольные политики не эффективны
Организациямнужен единый сервис доступа Пользовательсиспользованиемлюбого устройстваединождыпроходит идентификациюи аутентификацию Получаетдоступкразрешенным приложениям как внутри, таки вне организации Единый сервис доступа организации
Преимущества использования единого сервиса Пользователям: 1) используявсего одну учётную запись пользователь получает доступко всем приложениям организации.Пользователи избавлены от необходимости помнить много логинов и паролей 2) используют надежные методы двухфакторной аутентификации 3) имеют средства для самостоятельногоконтроля событий безопасности, связанныхс входом/выходомв приложения Владельцам/администраторам: 1) централизуют управление аутентификацией,снижают эксплуатационные затраты 2) внедрение новыхприложений происходит быстрее – не нужно раздавать пользователям логины и пароли 3) увеличивают безопасность 4) снижают зависимость от поставщиков решений по аутентификации.Легко можно заменять поставщиков смарт- карт/токенов 5) с меньшими затратами добиваютсясоответствия нормативным требованиям по ИБ
Единыйсервис доступа – это в тренде Для пользователейИнтернет привычно,когда онииспользуют любимую учетнуюзапись соц.сетидля доступак множеству сайтов.
Эволюция условий, в которых должен функционировать единый сервис доступа Пользователи приложений – исключительно сотрудники компании Все устройства доступа – это ПК Все приложения развернуты исключительно внутри организации Вчерашний день Люди (пользователи) Устройства доступа Приложения и данные
Сотрудники (тысячи) Поставщики, партнеры Потребители (миллионы) Приложения внутри организации Облачные приложения (SaaS) Люди (пользователи) Устройства доступа Приложения и данные Сегодня и завтра Эволюция условий, в которых должен функционировать единый сервис доступа ПК Планшеты Смартфоны Часы
Как можно создать единыйсервис доступа? Традиционный метод Современный метод «Парольный менеджер» (Enterprise SSO, PasswordWallet) Identity Provider и использование протоколов федеративного доступа (SAML / WS-Federation/ OAuth 2.0 + OpenID Connect)
Парольный менеджер, Enterprise Single Sign On Клиентская часть приложения Серверная часть приложения GET /login HTTP/1.1 HTTP/1.1 200 OK Пользователь POST /login HTTP/1.1 login=user@mail.ru&password=pass HTTP/1.1 302 Found Set-Cookie: token=AwM1ZW…Ni; Secure; HttpOnly GET /private HTTP/1.1 Cookie: token=AwM1ZW…Ni HTTP/1.1 200 OK ESSO-агент на ПК пользователя ESSO-агент перехватывает окна входа приложений и подставляет в них логины и пароли пользователя
Идентификация/аутентификация с поставщиком идентификации SAML Поставщик услуг (приложение, SP) Поставщик идентификации (SAML IDP) GET /private HTTP/1.1 Пользователь Браузер GET /SAML/Redirect/SSO? SAMLRequest=…&RelayState=01c..a95b9c HTTP/1.1 HTTP/1.1 200 OK POST /private HTTP/1.1 RelayState=01c..a95b9c SAMLResponse=… Установлено доверие, произведен обмен метаданными SP и IDP
Примеры приложений, поддерживающих SAML
Поставщик идентификации (OpenID Connect сервер) GET /private HTTP/1.1 Пользователь Браузер Установлено доверие, произведен обмен метаданными SP и IDP Идентификация/аутентификация с поставщиком идентификацииOpenID Connect (OAuth 2.0) GET /oauth/ae?response_type=code &scope=openid phone email &client_id=client01 &redirect_uri=https://client.ru/re &state=342a2c0c… HTTP/1.1 HTTP/1.1 302 Found Location: https://client.ru/re?code=f954nEz… &state=342a2c0c… OAuthAuthorization Code Flow Фаза 1. Получение авторизационного кода OAuth-клиент (фронтэнд приложения)
OAuth-клиент (бэкэнд приложения) Поставщик идентификации (OpenID Connect сервер)Пользователь Браузер Идентификация/аутентификация с поставщиком идентификацииOpenID Connect (OAuth 2.0) OAuthAuthorization Code Flow Фаза 2. Получение маркера доступа POST /oauth/te HTTP/1.1 Authorization: Basic bG9jYWxo… grant_type=authorization_code &code=f954nEz… &redirect_uri=https://client.ru/re HTTP/1.1 200 OK Content-Type: application/json { "access_token": "ORSqyIGx…", "token_type": "bearer", "expires_in": 3600, "refresh_token": "FepnjwwA…", "scope": ”openid phone email", "id_token": "eyJhbGci…" }
OAuth-клиент (бэкэнд приложения) Поставщик идентификации (OpenID Connect сервер)Пользователь Браузер Идентификация/аутентификация с поставщиком идентификацииOpenID Connect (OAuth 2.0) Получение данных опользователе POST /oauth/userinfo HTTP/1.1 Authorization: Bearer ORSqyIGx… HTTP/1.1 200 OK Content-Type: application/json { "sub": ”354323222001", "name": "Ivan Ivanov", "given_name": “Ivan", "family_name": "Ivanov", "preferred_username": "i.ivanov", "email": "user@mail.ru", }
OAuth-клиент (бэкэнд приложения) Поставщик идентификации (OpenID Connect сервер)Пользователь Браузер Идентификация/аутентификация с поставщиком идентификацииOpenID Connect (OAuth 2.0) Обновление маркера доступа при устаревании POST /oauth/te HTTP/1.1 Authorization: Basic bG9jYWxo… grant_type=refresh_token &refresh_token=FepnjwwA… HTTP/1.1 200 OK Content-Type: application/json { "access_token": "OVrfAj0B…", "token_type": "bearer", "expires_in": 3600, "refresh_token": "jj2DAYsP…", "scope": "openid phone email" }
ПО для созданияединого сервиса доступа Решения крупнейших вендоров Специализированное ПО Облачные сервисы (IDaaS) Российское ПО Решения на основеметода «парольный менеджер» Решения на основе протоколовфедеративного доступа RSA Access Management Blitz Identity Provider Open-source
Заключение 1. Создание в приложении функций идентификации, аутентификации,авторизациитребуетусилий и компетенции 2. Результатполучаетсялучшеприрешении задач идентификации, аутентификации,авторизациисторонними средствамизащиты, а не путем созданиявстроенных функций безопасности 3. Есть большойвыборвариантовплатформыдлясоздания единого сервисадоступа.Естьнесколько популярныхи устоявшихсястандартовипротоколовдля взаимодействия приложенийи единого сервисадоступа ООО «РЕАКСОФТ» http://identityblitz.ru +7 (499) 322-14-04 info@reaxoft.ru
Материалы по теме презентации 1. ДистрибутивПОBlitz Identity Provider для созданияединого сервисадоступа(Linux/Windows)- http://identityblitz.ru/products/blitz-identity-provider/download/ 2. ОбзорнаястатьянаХабре о способахи протоколах аутентификации(Дмитрий Выростков,DataArt) - https://habrahabr.ru/company/dataart/blog/262817/ 3. Мои презентациина SlideShare - http://www.slideshare.net/MikhailVanin Пожалуйста, задавайте вопросы! ООО «РЕАКСОФТ» http://identityblitz.ru +7 (499) 322-14-04 info@reaxoft.ru Мои контакты: Михаил Ванин, mvanin@reaxoft.ru

Recommended

Сертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. ОбзорСертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. Обзор
Cisco Russia
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Cisco Russia
 
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Kaspersky
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
Aleksey Lukatskiy
 
Информационная безопасность современного автомобиля
Информационная безопасность современного автомобиляИнформационная безопасность современного автомобиля
Информационная безопасность современного автомобиля
Aleksey Lukatskiy
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
Aleksey Lukatskiy
 
You are hacked? How contact with press?
You are hacked? How contact with press?You are hacked? How contact with press?
You are hacked? How contact with press?Aleksey Lukatskiy
 
Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времени
Aleksey Lukatskiy
 

Recommended

Сертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. ОбзорСертификация решений Cisco по требованиям безопасности. Обзор
Сертификация решений Cisco по требованиям безопасности. Обзор
Cisco Russia
 
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...
Cisco Russia
 
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Kaspersky
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
Aleksey Lukatskiy
 
Информационная безопасность современного автомобиля
Информационная безопасность современного автомобиляИнформационная безопасность современного автомобиля
Информационная безопасность современного автомобиля
Aleksey Lukatskiy
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
Aleksey Lukatskiy
 
You are hacked? How contact with press?
You are hacked? How contact with press?You are hacked? How contact with press?
You are hacked? How contact with press?Aleksey Lukatskiy
 
Информационная безопасность и фактор времени
Информационная безопасность и фактор времениИнформационная безопасность и фактор времени
Информационная безопасность и фактор времени
Aleksey Lukatskiy
 
Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015
Cisco Russia
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
RISClubSPb
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
Aleksey Lukatskiy
 
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."ИБ-игрища "А что если..."
ИБ-игрища "А что если..."
Aleksey Lukatskiy
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
Diana Frolova
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
Diana Frolova
 
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VI
Aleksey Lukatskiy
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
 
Cisco Secure X
Cisco Secure XCisco Secure X
Cisco Secure X
S.E. CTS CERT-GOV-MD
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Aleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)Aleksey Lukatskiy
 
Архитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиАрхитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиCisco Russia
 
Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?Aleksey Lukatskiy
 
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Mail.ru Group
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Mikhail Vanin
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity Provider
Mikhail Vanin
 

More Related Content

What's hot

Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015
Cisco Russia
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
Aleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
 
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
RISClubSPb
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
Aleksey Lukatskiy
 
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."ИБ-игрища "А что если..."
ИБ-игрища "А что если..."
Aleksey Lukatskiy
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
Diana Frolova
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
Diana Frolova
 
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VI
Aleksey Lukatskiy
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Aleksey Lukatskiy
 
Cisco Secure X
Cisco Secure XCisco Secure X
Cisco Secure X
S.E. CTS CERT-GOV-MD
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Aleksey Lukatskiy
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
Aleksey Lukatskiy
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)Aleksey Lukatskiy
 
Архитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиАрхитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиCisco Russia
 
Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?Aleksey Lukatskiy
 
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Mail.ru Group
 

What's hot (20)

Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015Ежегодный отчет Cisco по информационной безопасности 2015
Ежегодный отчет Cisco по информационной безопасности 2015
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
 
ИБ-игрища "А что если..."
ИБ-игрища "А что если..."ИБ-игрища "А что если..."
ИБ-игрища "А что если..."
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
 
Дискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VIДискуссионная панель по SIEM на PHDays VI
Дискуссионная панель по SIEM на PHDays VI
 
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещениеЭкспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
Экспресс-анализ российского рынка ИБ в условиях курса на импортозамещение
 
Cisco Secure X
Cisco Secure XCisco Secure X
Cisco Secure X
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
Анализ последних событий на рынке кибербезопасности промышленных сетей: закон...
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
 
Архитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасностиАрхитектура Cisco SecureX в области информационной безопасности
Архитектура Cisco SecureX в области информационной безопасности
 
Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?Как защититься рядовому пользователю от динамично меняющих угроз?
Как защититься рядовому пользователю от динамично меняющих угроз?
 
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
 

Similar to «Идентификация, аутентификация, авторизация – встроенные функции приложений или задачи специализированного сервиса организации?», Михаил Ванин, генеральный директор, ООО «РЕАК СОФТ»

Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Mikhail Vanin
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity Provider
Mikhail Vanin
 
WatchGuard Authpoint
WatchGuard Authpoint WatchGuard Authpoint
WatchGuard Authpoint
BAKOTECH
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
безопасность
безопасностьбезопасность
безопасностьShoplist
 
Безопасность
БезопасностьБезопасность
Безопасность
1С-Битрикс
 
Новинки и тенденции в развитии продуктов компании КРИПТО-ПРО
Новинки и тенденции в развитии продуктов компании КРИПТО-ПРОНовинки и тенденции в развитии продуктов компании КРИПТО-ПРО
Новинки и тенденции в развитии продуктов компании КРИПТО-ПРО
Цифровые технологии
 
Stonesoft: Безопасный удаленный доступ - это просто!
Stonesoft: Безопасный удаленный доступ - это просто!Stonesoft: Безопасный удаленный доступ - это просто!
Stonesoft: Безопасный удаленный доступ - это просто!Expolink
 
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
ISSP Russia
 
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Expolink
 
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)Expolink
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
КРОК
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сети
Cisco Russia
 
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Expolink
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Ontico
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Expolink
 
Сертификаты подписания кода Symantec
Сертификаты подписания кода SymantecСертификаты подписания кода Symantec
Сертификаты подписания кода Symantec
Symantec Website Security
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
Aleksey Lukatskiy
 
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Avanpost idm пацифика 2016
Avanpost idm пацифика 2016
Diana Frolova
 

Similar to «Идентификация, аутентификация, авторизация – встроенные функции приложений или задачи специализированного сервиса организации?», Михаил Ванин, генеральный директор, ООО «РЕАК СОФТ» (20)

Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity Provider
 
WatchGuard Authpoint
WatchGuard Authpoint WatchGuard Authpoint
WatchGuard Authpoint
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
безопасность
безопасностьбезопасность
безопасность
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
 
Безопасность
БезопасностьБезопасность
Безопасность
 
Новинки и тенденции в развитии продуктов компании КРИПТО-ПРО
Новинки и тенденции в развитии продуктов компании КРИПТО-ПРОНовинки и тенденции в развитии продуктов компании КРИПТО-ПРО
Новинки и тенденции в развитии продуктов компании КРИПТО-ПРО
 
Stonesoft: Безопасный удаленный доступ - это просто!
Stonesoft: Безопасный удаленный доступ - это просто!Stonesoft: Безопасный удаленный доступ - это просто!
Stonesoft: Безопасный удаленный доступ - это просто!
 
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
 
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
 
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
 
Защита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сетиЗащита корпоративных и персональных мобильных устройств в сети
Защита корпоративных и персональных мобильных устройств в сети
 
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
Анлим-ИТ. Илья Куриленко "Импортозамещение в области информационной безопасно...
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
 
Сертификаты подписания кода Symantec
Сертификаты подписания кода SymantecСертификаты подписания кода Symantec
Сертификаты подписания кода Symantec
 
Уральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минутУральский форум по банковской ИБ за 15 минут
Уральский форум по банковской ИБ за 15 минут
 
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Avanpost idm пацифика 2016
Avanpost idm пацифика 2016
 

More from Mail.ru Group

Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Mail.ru Group
 
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
Mail.ru Group
 
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир ДубровинДругая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Mail.ru Group
 
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Mail.ru Group
 
Управление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон ВикторовУправление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон Викторов
Mail.ru Group
 
DAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга СвиридоваDAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга Свиридова
Mail.ru Group
 
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Mail.ru Group
 
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
Mail.ru Group
 
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidiaRAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
Mail.ru Group
 
WebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоWebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий Остапенко
Mail.ru Group
 
AMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей ПешковAMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей Пешков
Mail.ru Group
 
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила СтрелковКак мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Mail.ru Group
 
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Mail.ru Group
 
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.ТаксиМетапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Mail.ru Group
 
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru GroupКак не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Mail.ru Group
 
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Mail.ru Group
 
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Mail.ru Group
 
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Mail.ru Group
 
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Mail.ru Group
 
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Mail.ru Group
 

More from Mail.ru Group (20)

Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
 
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
 
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир ДубровинДругая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
 
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
 
Управление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон ВикторовУправление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон Викторов
 
DAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга СвиридоваDAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга Свиридова
 
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
 
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
 
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidiaRAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
 
WebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоWebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий Остапенко
 
AMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей ПешковAMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей Пешков
 
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила СтрелковКак мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
 
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
 
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.ТаксиМетапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
 
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru GroupКак не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
 
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
 
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
 
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
 
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
 
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
 

«Идентификация, аутентификация, авторизация – встроенные функции приложений или задачи специализированного сервиса организации?», Михаил Ванин, генеральный директор, ООО «РЕАК СОФТ»

  • 1. © ООО «РЕАКСОФТ» Семинар «Безопаснаяразработка и защита приложений» Идентификация,аутентификация,авторизация–встроенныефункции приложенийили задачиспециализированногосервисаорганизации? Москва, 20 апреля 2016 Михаил Ванин, генеральный директор ООО «РЕАК СОФТ» mvanin@reaxoft.ru
  • 3. Возможные варианты реализации в приложении парольной аутентификации Использование встроенных возможностей браузерови протокола HTTP Создание в приложении формы парольной аутентификации
  • 4. HTTP Basic парольная аутентификация Клиент Сервер GET /private HTTP/1.1 HTTP/1.1 401 Unauthorized WWW-Authenticate: Basic realm= "Site name" Пользователь GET /private HTTP/1.1 Authorization: Basic dXNlcjpwYXNz== HTTP/1.1 200 OK * base64encode("user:pass")="dXNlcjpwYXNz"
  • 5. Другие виды HTTP аутентификации 1. Digest 2. NTLM (Windows Authentication) 3. Negotiate
  • 6. Аутентификация с использованиемформы Клиент Сервер GET /login HTTP/1.1 HTTP/1.1 200 OK Пользователь POST /login HTTP/1.1 login=user@mail.ru&password=pass HTTP/1.1 302 Found Set-Cookie: token=AwM1ZW…Ni; Secure; HttpOnly GET /private HTTP/1.1 Cookie: token=AwM1ZW…Ni HTTP/1.1 200 OK
  • 7. Пользователи не доверяют паролям Источник: 2015Accenture Digital Consumer Survey Я нуждаюсь в альтернативе логинам/паролям для своей защиты в Интернете Логины и пароли громоздки в использовании В следующем году я бы использовал уникальный чипв моем телефоне/ПК для своей защиты в Интернете В следующем году я бы использовал биометрию для своей защиты в Интернете Я знаю не менее одной альтернативы логину/паролю для своей защиты в Интернете
  • 8. Повышение надежности аутентификации Строгая аутентификация (криптографические средства и электронная подпись) Усиленная аутентификация (усиление парольной аутентификацией – проверка 2 фактора)
  • 9. Строгая аутентификация с использованием TLS/SSL Handshake Клиент Сервер Фаза 1. Определение параметров шифрования Пользователь Фаза 3. Отправка серверу сертификата клиента (в открытом виде и в зашифрованном на приватном ключе), проверка сертификата клиента Фаза 4. Выработка предварительного ключа, отправка серверу в зашифрованном на открытом ключе сервера виде, взаимная выработка сессионного ключа Фаза 5. Завершение handshake, взаимный обмен данными по шифрованному каналу Фаза 2. Получение и проверка сертификата сервера, запрос сертификата клиента
  • 10. Строгая аутентификация с использованием формы аутентификации Для возможности взаимодействия веб-браузера с USB-токеном / смарт-картой необходим браузерный плагин
  • 11. Критерии выбора плагина 1. Поддержка различных ОС и браузеров - Поддерживается ли GoogleChrome? Или работа только через NPAPI? - Поддерживаются ли Linux и MacOS X последних версий, и какие их браузеры? 2. Поддержка средств электронной подписи различных производителей - Поддерживаются ли смарт-карты и токены толькоодного производителя или разных? - Обеспечивается ли поддержка только вWindows или и в других ОС? 3. Уровень технической поддержки производителя плагина - Имеет ли разработчик плагина обязательства по технической поддержке и SLA? 4. Безопасность плагина - Не помещает ли плагин в ОС корневые доверенные сертификаты? - Не требует ли плагин ввода пользователемПИН-кода в веб-страницы браузера?
  • 12. Примеры плагинов 1. КриптоПро ЭЦП Browser plug-in 2. Aladdin JC-WebClient 3. Рутокен Плагин 4. Плагин портала государственных услуг 5. Blitz Smart Card Plugin
  • 13. Варианты усиленной аутентификации SMS-коды Email-коды HOTP-устройства TOTP-устройства U2F-устройства Иные способы
  • 15. РазновидностиHOTP-устройств С LCD-дисплеем (код вводит пользователь) USB HID устройство (само впечатывает код) Комбинированное RFC4226 «HOTP: An HMAC-Based One-Time Password Algorithm»
  • 16. Примеры файлов описанийHOTP-устройств Существует большоеразнообразие формата файлов, описывающих HOTP-устройства Пример файла для Aladdin eToken Pass Пример файла для YubiKey Пример файла для NagraID Security Display Card
  • 17. ПримерыTOTP мобильных приложений Google Authenticator (наиболее известный) Authy (наиболее функциональный) Bitrix24 OTP (сделан компанией из РФ) RFC6238 «TOTP: Time-Based One-Time Password Algorithm»
  • 18. Пример окна настройкиTOTP пользователем
  • 19. FIDO U2F устройство (Universal 2nd Factor) Регистрация устройства Проверка при входе
  • 20. Еще разработчикибеспокоятся о … Регистрация и администрирование учетных записей Применениепарольных политик Регистрация событий входа/выхода Сервисы самостоятельного восстановленияпароля Отчеты о событиях входа Сервисы смены пароля, управления аутентификаторами Информирование пользователейо событиях входа Сервисы выхода из приложений
  • 21. А правильно ли разработчики поступают, когда создают все эти функции безопасности в своем приложении?
  • 23. Пользователи устали от парольного хаоса Я не хочу запоминать много паролей от своих рабочих учетных записей. И мне не нравится, что при смене пароля в каждом приложении своиправила его задания. Мне не нравится, что когдапереключаюсь между приложениями, то у меня каждый раз просят вновь ввестилогин и пароль. И что мешает сделать, чтобыэкраны входа выглядели одинаково? Я редко использовала приложение и забыла отнего пароль. И как мне его теперь восстановить?
  • 24. Беспорядок с входом в приложения беспокоит и администраторов ИБ Я не могу гибко настроить в приложениях правила аутентификации. Придется довольствоваться парольной аутентификацией При внедрении нового приложения мне нужно готовить для него учетные записи, давать доступы, выдавать пользователям пароли. На это я трачу своивремя и энергию Пользователи не могут быстро усвоить новые пароли. Внедрение новых приложений происходит медленно Чем больше приложений со своей системой входа, тем чаще инциденты «забыл пароль». Порачто-то с этим предпринять
  • 25. Беспорядок с входом в приложения беспокоит и администраторов У меня нет единой картины, в какие приложения кто из пользователей и как часто ходит Я не уверен, что всеэти механизмы аутентификации в разных приложениях безопасны. Сделанное «плохо» приложение компрометирует пароли и несет угрозу безопасности Пользователи выбирают ненадежные пароли. Вход не защищен. Парольные политики не эффективны
  • 26. Организациямнужен единый сервис доступа Пользовательсиспользованиемлюбого устройстваединождыпроходит идентификациюи аутентификацию Получаетдоступкразрешенным приложениям как внутри, таки вне организации Единый сервис доступа организации
  • 27. Преимущества использования единого сервиса Пользователям: 1) используявсего одну учётную запись пользователь получает доступко всем приложениям организации.Пользователи избавлены от необходимости помнить много логинов и паролей 2) используют надежные методы двухфакторной аутентификации 3) имеют средства для самостоятельногоконтроля событий безопасности, связанныхс входом/выходомв приложения Владельцам/администраторам: 1) централизуют управление аутентификацией,снижают эксплуатационные затраты 2) внедрение новыхприложений происходит быстрее – не нужно раздавать пользователям логины и пароли 3) увеличивают безопасность 4) снижают зависимость от поставщиков решений по аутентификации.Легко можно заменять поставщиков смарт- карт/токенов 5) с меньшими затратами добиваютсясоответствия нормативным требованиям по ИБ
  • 28. Единыйсервис доступа – это в тренде Для пользователейИнтернет привычно,когда онииспользуют любимую учетнуюзапись соц.сетидля доступак множеству сайтов.
  • 29. Эволюция условий, в которых должен функционировать единый сервис доступа Пользователи приложений – исключительно сотрудники компании Все устройства доступа – это ПК Все приложения развернуты исключительно внутри организации Вчерашний день Люди (пользователи) Устройства доступа Приложения и данные
  • 30. Сотрудники (тысячи) Поставщики, партнеры Потребители (миллионы) Приложения внутри организации Облачные приложения (SaaS) Люди (пользователи) Устройства доступа Приложения и данные Сегодня и завтра Эволюция условий, в которых должен функционировать единый сервис доступа ПК Планшеты Смартфоны Часы
  • 31. Как можно создать единыйсервис доступа? Традиционный метод Современный метод «Парольный менеджер» (Enterprise SSO, PasswordWallet) Identity Provider и использование протоколов федеративного доступа (SAML / WS-Federation/ OAuth 2.0 + OpenID Connect)
  • 32. Парольный менеджер, Enterprise Single Sign On Клиентская часть приложения Серверная часть приложения GET /login HTTP/1.1 HTTP/1.1 200 OK Пользователь POST /login HTTP/1.1 login=user@mail.ru&password=pass HTTP/1.1 302 Found Set-Cookie: token=AwM1ZW…Ni; Secure; HttpOnly GET /private HTTP/1.1 Cookie: token=AwM1ZW…Ni HTTP/1.1 200 OK ESSO-агент на ПК пользователя ESSO-агент перехватывает окна входа приложений и подставляет в них логины и пароли пользователя
  • 33. Идентификация/аутентификация с поставщиком идентификации SAML Поставщик услуг (приложение, SP) Поставщик идентификации (SAML IDP) GET /private HTTP/1.1 Пользователь Браузер GET /SAML/Redirect/SSO? SAMLRequest=…&RelayState=01c..a95b9c HTTP/1.1 HTTP/1.1 200 OK POST /private HTTP/1.1 RelayState=01c..a95b9c SAMLResponse=… Установлено доверие, произведен обмен метаданными SP и IDP
  • 35. Поставщик идентификации (OpenID Connect сервер) GET /private HTTP/1.1 Пользователь Браузер Установлено доверие, произведен обмен метаданными SP и IDP Идентификация/аутентификация с поставщиком идентификацииOpenID Connect (OAuth 2.0) GET /oauth/ae?response_type=code &scope=openid phone email &client_id=client01 &redirect_uri=https://client.ru/re &state=342a2c0c… HTTP/1.1 HTTP/1.1 302 Found Location: https://client.ru/re?code=f954nEz… &state=342a2c0c… OAuthAuthorization Code Flow Фаза 1. Получение авторизационного кода OAuth-клиент (фронтэнд приложения)
  • 36. OAuth-клиент (бэкэнд приложения) Поставщик идентификации (OpenID Connect сервер)Пользователь Браузер Идентификация/аутентификация с поставщиком идентификацииOpenID Connect (OAuth 2.0) OAuthAuthorization Code Flow Фаза 2. Получение маркера доступа POST /oauth/te HTTP/1.1 Authorization: Basic bG9jYWxo… grant_type=authorization_code &code=f954nEz… &redirect_uri=https://client.ru/re HTTP/1.1 200 OK Content-Type: application/json { "access_token": "ORSqyIGx…", "token_type": "bearer", "expires_in": 3600, "refresh_token": "FepnjwwA…", "scope": ”openid phone email", "id_token": "eyJhbGci…" }
  • 37. OAuth-клиент (бэкэнд приложения) Поставщик идентификации (OpenID Connect сервер)Пользователь Браузер Идентификация/аутентификация с поставщиком идентификацииOpenID Connect (OAuth 2.0) Получение данных опользователе POST /oauth/userinfo HTTP/1.1 Authorization: Bearer ORSqyIGx… HTTP/1.1 200 OK Content-Type: application/json { "sub": ”354323222001", "name": "Ivan Ivanov", "given_name": “Ivan", "family_name": "Ivanov", "preferred_username": "i.ivanov", "email": "user@mail.ru", }
  • 38. OAuth-клиент (бэкэнд приложения) Поставщик идентификации (OpenID Connect сервер)Пользователь Браузер Идентификация/аутентификация с поставщиком идентификацииOpenID Connect (OAuth 2.0) Обновление маркера доступа при устаревании POST /oauth/te HTTP/1.1 Authorization: Basic bG9jYWxo… grant_type=refresh_token &refresh_token=FepnjwwA… HTTP/1.1 200 OK Content-Type: application/json { "access_token": "OVrfAj0B…", "token_type": "bearer", "expires_in": 3600, "refresh_token": "jj2DAYsP…", "scope": "openid phone email" }
  • 39. ПО для созданияединого сервиса доступа Решения крупнейших вендоров Специализированное ПО Облачные сервисы (IDaaS) Российское ПО Решения на основеметода «парольный менеджер» Решения на основе протоколовфедеративного доступа RSA Access Management Blitz Identity Provider Open-source
  • 40. Заключение 1. Создание в приложении функций идентификации, аутентификации,авторизациитребуетусилий и компетенции 2. Результатполучаетсялучшеприрешении задач идентификации, аутентификации,авторизациисторонними средствамизащиты, а не путем созданиявстроенных функций безопасности 3. Есть большойвыборвариантовплатформыдлясоздания единого сервисадоступа.Естьнесколько популярныхи устоявшихсястандартовипротоколовдля взаимодействия приложенийи единого сервисадоступа ООО «РЕАКСОФТ» http://identityblitz.ru +7 (499) 322-14-04 info@reaxoft.ru
  • 41. Материалы по теме презентации 1. ДистрибутивПОBlitz Identity Provider для созданияединого сервисадоступа(Linux/Windows)- http://identityblitz.ru/products/blitz-identity-provider/download/ 2. ОбзорнаястатьянаХабре о способахи протоколах аутентификации(Дмитрий Выростков,DataArt) - https://habrahabr.ru/company/dataart/blog/262817/ 3. Мои презентациина SlideShare - http://www.slideshare.net/MikhailVanin Пожалуйста, задавайте вопросы! ООО «РЕАКСОФТ» http://identityblitz.ru +7 (499) 322-14-04 info@reaxoft.ru Мои контакты: Михаил Ванин, mvanin@reaxoft.ru