Hoy en el programa:
- Problemática, incidentes y casos;
- Escenarios y prácticas de aplicación;
- Recomendaciones de ventas;
- Condiciones de asociación.
El evento de hoy está dirigido por Anna Shlapak, gerente de relaciones con socios, empresa «Indeed». La empresa, Indeed, es un proveedor ruso, un desarrollador ruso. Tenemos componentes propios, los escribimos nosotros mismos, utilizamos software nacional. Llevamos 15 años en el mercado. La empresa tiene más de 500 clientes activos, proyectos realizados, más de 200 socios regionales, más de 100 empleados, la mayoría de los cuales son técnicos especialistas.
Indeed tiene 3 oficinas: en Moscú, San Petersburgo y Veliky Novgorod. En 15 años hemos desarrollado 3 productos. Todos ellos están en el registro de software nacional.
El primer producto Indeed Access Manager. Gestión centralizada del acceso de los usuarios a los recursos de TI de la empresa. El segundo producto Indeed Privileged Access Manager gestión y protección del acceso a cuentas privilegiadas. Y el tercer producto es Indeed Certificate Manager – gestión centralizada de certificados digitales y tokens.
Indeed Access Manager es una solución de autenticación multifactor con tecnología de inicio de sesión único para todos los recursos corporativos. El principal problema de los clientes suele ser las contraseñas. El conocimiento de la contraseña por parte de los atacantes permite obtener datos confidenciales del empleado y, posteriormente, datos confidenciales de toda la empresa. Hay 2 tipos de contraseñas comunes: complejas y fáciles. Las contraseñas fáciles son fáciles de recordar, no es necesario escribirlas en ningún sitio, pero un atacante puede encontrar fácilmente acceso a una contraseña fácil. Hay contraseñas más complejas con una variedad de letras, números y otros signos, que son muy difíciles de recordar. Por lo tanto, los empleados suelen escribir estas contraseñas en trozos de papel, pegar estos trozos de papel en el monitor para no olvidar dónde los pusieron o escribirlos en cuadernos o en notas en el teléfono, y algunos los esconden debajo del teclado, e incluso algunos debajo de la funda transparente del teléfono. No importa lo compleja que sea la contraseña, en cualquier caso, un atacante podrá obtenerla, solo que necesitará un poco más de tiempo y recursos para encontrarla.
Otro problema es cuando los empleados tienen recursos web de terceros en los que están registrados, sitios o redes sociales. Por lo general, nadie inventa una nueva contraseña para una gran cantidad de recursos de Internet. Y si un atacante obtiene, por ejemplo, la contraseña de la red social de un empleado de la empresa, puede obtener acceso a su cuenta de trabajo. Esto es fácil de hacer, ya que normalmente se utiliza la misma contraseña para todos los recursos web.
Otro problema es que los empleados a veces olvidan sus contraseñas. Y entonces necesitan cambiarlas. Necesitan ir al administrador, y para ello en muchas empresas existe un proceso de aprobación y firma de una solicitud de servicio por parte del jefe, hay que encontrar a todos, obtener todas las firmas, puede que alguien no esté en el lugar de trabajo. Como resultado, el empleado estará frente a su lugar de trabajo, sin tener acceso durante varias horas, lo que, por supuesto, no es eficiente.
También quiero señalar que, en comparación con 2022, en enero-mayo hemos aumentado en un 33% las estadísticas de fuga de datos. Y la mayor parte de la fuga son precisamente contraseñas y nombres de usuario.
En 2022, la contraseña más popular fue «password». También son muy populares las contraseñas «12345» o «123456», así como «poe» o «POE» y diversas variaciones de esta contraseña con letras mayúsculas y minúsculas.
Les contaré un caso interesante. Una vez, el príncipe Guillermo llegó con una inspección al Ministerio de Defensa. Para tal ocasión, era necesario reunir al servicio de prensa para tomar fotografías. Se tomaron las fotografías. Y en una de ellas, accidentalmente, apareció un trozo de papel con el nombre de usuario y la contraseña de un empleado del Ministerio de Defensa, que este había colgado en la mesa para que todos lo vieran, para que él mismo pudiera verlo. No se pudo evitar la difusión de esta fotografía. Llegó a Internet, pero el Ministerio de Defensa logró cambiar el acceso a todos sus empleados en el menor tiempo posible. Los atacantes no lograron realizar ninguna acción maliciosa en la infraestructura del ministerio.
Comprendiendo la importancia del secreto de las contraseñas, nuestra empresa ha desarrollado el producto Indeed Access Manager. Este producto está dirigido a controlar las acciones de los empleados, a controlar el acceso a los recursos de la empresa tanto desde la red interna como desde la externa.
Nuestro producto se licencia por usuarios y por módulos de integración. En total tenemos 8 módulos. Los módulos más populares son el módulo de conexión de empleados remotos, el módulo de acceso a puestos de trabajo fijos, a aplicaciones web y a aplicaciones de destino. Todos estos módulos se recopilan mediante un cuestionario. El cliente lo rellena él mismo, donde indica qué funcionalidad necesita.
También tenemos una gran cantidad de elementos de autenticación. Los clientes no tienen que pagar dinero adicional por ellos. El cliente compra una licencia para los usuarios, compra el módulo necesario, por ejemplo, el módulo para la conexión remota, en su infraestructura puede inventar el método de autenticación que quiera. Puede ser una autenticación de factor adicional, puede ser una autenticación multifactor.
¿Qué son estos métodos de autenticación reforzada que he mencionado? Son tecnologías biométricas: huella dactilar, escaneo de venas de la palma de la mano, contorno facial 2D-3D, soportes de hardware. Aquí quiero aclarar de inmediato. Somos proveedores que desarrollan software. No tenemos nuestros propios soportes físicos, no desarrollamos plataformas de hardware ni otros soportes físicos. Podemos cargar nuestro software en un desarrollador de soportes de hardware que sea amigo nuestro. Son tarjetas o escaneos para la mano o el dedo. También son la generación de contraseñas de un solo uso y las notificaciones push.
También pertenece a la autenticación reforzada nuestra aplicación móvil Indeed Key. Funciona en dos modos. El primer modo es la generación de contraseñas de un solo uso. En este caso, no se requiere conexión a la red. El segundo modo es la generación de notificaciones push. Aquí ya se requiere conexión a la red. La aplicación móvil es gratuita. Se puede descargar. Y funciona en dos idiomas: ruso e inglés.
He hablado del método de autenticación única en todas las aplicaciones corporativas. Tenemos un agente que permite al empleado no tener que introducir más sus contraseñas. Los accesos a todos los recursos corporativos y recursos web este agente se instala en el lugar de trabajo del empleado.
Y, cuando inicia la ventana de introducción de sus datos, este agente puede interceptar esta sesión e introducir los datos necesarios sin la participación del empleado. Es decir, de este modo podemos desactivar el conocimiento de la contraseña por parte del empleado.
También siempre destacamos en una diapositiva aparte el módulo de protección del acceso remoto. Porque no es un secreto para nadie que desde el inicio de la pandemia y ahora, en la realidad actual, el trabajo remoto se ha vuelto muy relevante. Muchos clientes trasladan a sus empleados al trabajo remoto, y los empleados pueden conectarse a la red interna de la empresa desde cualquier dispositivo desde el exterior. Y el cliente debe estar seguro de que esta conexión estará protegida, se protegerá también con un segundo factor o con muchos factores de autenticación. En este caso, cubrimos la necesidad de un acceso seguro a los recursos internos de la empresa desde la red externa.
Entonces, surge la pregunta de quién necesita nuestro producto. En la diapositiva tenemos 6 puntos. Si al menos 2 de ellos encajan, se puede ir con confianza al cliente. Por ejemplo, si en la organización trabajan 100 o más empleados, o una parte significativa de los empleados se encuentra en trabajo remoto, o las filiales están geográficamente distribuidas. Si conocemos a clientes así, vamos con confianza y ofrecemos nuestro IАМ.
¿Cómo empezar una conversación con un cliente potencial? Para ayudarle, hemos recopilado una lista de preguntas que puede utilizar. Estas preguntas permiten, al acudir al cliente, identificar sus necesidades. O, por el contrario, sembrar en él la idea de que algo en su infraestructura no está bien, y si no es hora de que piense en un producto como IАМ?
A continuación. Si sabemos quién es el cliente, sabemos qué preguntas debemos hacerle, vale la pena hablar de los beneficios de nuestra propuesta.
El primer beneficio obvio es la ausencia total de contraseñas, o el conocimiento de las contraseñas por parte de los empleados, pero la protección con un segundo factor o muchos factores. Los delincuentes pueden obtener las contraseñas de los empleados, sabemos lo sofisticados que son en este asunto. Pero, incluso si un delincuente obtiene la contraseña de un empleado, simplemente se topará con un segundo factor o la multifactorialidad. La biometría o la tarjeta ya no podrá obtenerla de ninguna manera. Por supuesto, no consideramos el caso en que un empleado, al realizar acciones intencionadas, entrega su tarjeta al delincuente intencionadamente. Pero, si no se considera esta opción, el delincuente no podrá obtener acceso a los datos del empleado.
El segundo beneficio es que, cuando un empleado olvida su contraseña, ya no tendrá que correr, firmar un informe oficial con sus superiores, esto lo podrá hacer el administrador principal de IАМ. Él puede cambiar la contraseña en el programa, o cancelar la contraseña por completo.
En la diapositiva se presentan los próximos lanzamientos. Estos lanzamientos están previstos aproximadamente para finales del verano. Añadiré que ahora, de los próximos lanzamientos, ya hemos añadido la posibilidad de autenticación con la ayuda de Telegram. Allí pueden llegar notificaciones UTP y push. Por ejemplo, se puede hacer que al empleado le llegue una notificación push y solo tenga que pulsar el botón de confirmación o rechazo cuando intente autenticarse.
El primer caso interesante es el aeropuerto de Domodedovo. Aquí, no todos los empleados del cliente tienen sus propios puestos de trabajo fijos. Para estos empleados, han instalado un aparato como el de la imagen. Se parece a un aparato de kiwi, a través del cual nosotros alguna vez recargamos el saldo del móvil. Estos empleados tienen su tarjeta, tienen la palma de la mano. Se acercan a este aparato, acercan la tarjeta, luego la palma de la mano. El escáner escanea el dibujo de las venas de la palma de la mano. Y, si todo ha ido bien, el dibujo de las venas coincide, se le permite entrar en su sesión de trabajo, puede consultar la información confidencial sobre sí mismo, puede escribir una solicitud o realizar otras acciones. ¿Qué pasaría si no hubiera un segundo factor? Este empleado puede perder su tarjeta. En el mejor de los casos, esta tarjeta la encontrará su colega. Podrá entrar con ella, consultar, por ejemplo, el salario del colega, puede tomar alguna información confidencial. Pero, en cualquier caso, esta situación no será crítica en general para la empresa. Si esta tarjeta la obtiene un delincuente, podrá acceder a toda la información sobre el empleado y sobre otros empleados de la empresa, y robar la información confidencial de la empresa.
El segundo caso es interesante porque el cliente, el banco de San Petersburgo, tiene instalados nuestros 3 productos. Inicialmente, el cliente compró nuestro IАМ para los empleados que viajan con sus portátiles y tabletas a los clientes. ¿Qué puede pasar si un delincuente obtiene una tableta o un portátil de este tipo? Por supuesto, podrá acceder a toda la información sobre el empleado, sobre la empresa y, lo que es peor, sobre los clientes de este banco. Por supuesto, esto es totalmente inadmisible. Aquí, el cliente utiliza mensajes SMS como segundo factor, que llegan al teléfono móvil del empleado. Si un empleado pierde su portátil o tableta, siempre puede ponerse en contacto rápidamente con su administrador, explicarle la situación y este simplemente bloqueará todos sus accesos.
Esta diapositiva trata sobre nuestros clientes. Por supuesto, no son todos, sino solo aquellos que han permitido que se hable de ellos. Estos clientes están ubicados en nuestro sitio web. Se puede leer, ellos comparten sus opiniones e impresiones sobre las implementaciones. Y también cuentan la problemática, por qué decidieron instalar nuestro producto.
Sobre los competidores extranjeros. Estoy segura de que los conocen a todos. Y por lo tanto, si saben que a los clientes, por ejemplo, se les está acabando el soporte técnico, pueden ofrecerles con confianza la migración a nosotros.
Nuestros competidores nacionales: Multifactor, Aladdin, Avanpost. Multifactor es una solución en la nube. Aladdin y Avanpost, al igual que nosotros, son on-premise. ¿Qué ventajas tenemos nosotros? Tenemos el producto más maduro del mercado. Nuestro producto, al igual que toda la empresa, cumple 15 años. Tenemos el mayor número de métodos de autenticación compatibles, nuestra propia aplicación móvil.
En el sitio web tenemos indicado el coste aproximado de los productos. Porque nuestra lista de precios es cerrada. Los precios los proporcionamos solo al rellenar el cuestionario, el formulario de autorización para un cliente determinado bajo el proyecto.
La licencia es por el número de usuarios y por los módulos de integración. El número mínimo de usuarios es de 100. Las licencias son temporales e indefinidas. La licencia temporal es cuando el cliente compra una licencia por un año. Incluye soporte durante 12 meses. Al año siguiente, el cliente deberá comprar el mismo paquete de licencias. La licencia indefinida permanece en el cliente para siempre. Incluye soporte durante 12 meses. Al año siguiente, el cliente solo deberá renovar el soporte.
Indeed Privileged Access Manager
Pasaré al siguiente producto: Indeed Privileged Access Manager. Gestión y protección del acceso privilegiado por usuarios privilegiados. Surge la pregunta, ¿quiénes son los usuarios privilegiados? Hay una diapositiva muy informativa «Categorías de usuarios privilegiados».
Hemos distribuido a los usuarios privilegiados por poderes y por características de trabajo. Puede ser un empleado externo que, por ejemplo, tenga acceso a la infraestructura del cliente, o puede ser un auditor autorizado que no pueda realizar ningún cambio en la infraestructura del cliente, pero pueda ver información confidencial y aprovecharla. Para algunos clientes, el usuario privilegiado se considera el director financiero o el contable. Pero aquí consideramos a los administradores y contratistas.
Aquí el cliente tiene una problemática. Sabemos lo que puede pasar si un delincuente obtiene la contraseña de los empleados comunes. Esta, por supuesto, no es una buena situación, pero no es crítica. Si un delincuente obtiene la contraseña de un administrador, que tiene acceso a toda la infraestructura del cliente, entonces esta situación se vuelve catastrófica. El delincuente puede derrumbar la infraestructura, puede producir algún incidente, puede detener la producción, es decir, causar un daño irreparable a la infraestructura del cliente.
Indeed Privileged Access Manager
El siguiente problema son los incidentes. Cuando en la empresa se produce algún incidente, se pone en marcha un largo proceso para averiguar qué ha pasado, quién es el culpable. Por supuesto, los incidentes se resuelven, pero no se encuentra la raíz del problema, no está claro por qué se ha producido el incidente. Entendiendo todo esto, hemos desarrollado el producto Indeed Privileged Access Manager. Para nosotros destacamos aquí tres bloques principales de funciones. El primer bloque de funciones es la gestión de usuarios privilegiados, el segundo bloque es el control de usuarios privilegiados y el tercer bloque es la fijación de acciones en varios formatos y el posterior seguimiento y análisis de estas acciones.
Además, nuestro PAM admite la autenticación de dos factores y la posibilidad de integración a través de syslog con nuestros sistemas de seguridad de la información rusos.
Les contaré sobre uno de los escenarios. El más rápido y sencillo. Tenemos muchos protocolos y escenarios de conexión compatibles. Imaginemos que soy un administrador de sistemas. Tengo un nombre de usuario y una contraseña con los derechos más bajos, literalmente para entrar y salir. Ingreso mi nombre de usuario y contraseña, me conecto a mi cuenta, encuentro la consola web en PAM, descargo de allí un archivo RDP, lo ejecuto y, con esta ejecución, se produce la conexión al servidor de acceso. En este momento, se me solicita un segundo factor. Debo ingresar este factor. Luego, el servidor de acceso verifica todos los accesos, las políticas y, si todo tiene éxito, se me permite acceder a las aplicaciones de destino, a las aplicaciones web, ya como un usuario privilegiado, por ejemplo, admin1. Es decir, obtengo acceso a las aplicaciones de destino no como un administrador común, sino como un usuario privilegiado. Al mismo tiempo, no conozco ni el nombre de usuario ni la contraseña del usuario privilegiado. El administrador principal, el superadministrador, gestiona todo el PAM. Este puede ser un empleado de TI que controle al cliente, puede ser un especialista en seguridad de la información que se controle a sí mismo, todo depende de cómo esté organizada la política del cliente. Él mismo elige los escenarios. Este administrador principal, al gestionar todo el PAM, asigna políticas, asigna cuentas de usuarios privilegiados. Por ejemplo, un administrador llamado "Vasya" estará sesionando como admin2, e "Iván" como admin3, etc. Asigna qué aplicaciones de destino tendrá cada usuario privilegiado y a qué hora podrá acceder a estas aplicaciones de destino, etc.
Tan pronto como el administrador obtiene acceso a las aplicaciones de destino, se produce la fijación y el control de las acciones. Esto es una grabación de video, capturas de pantalla, registro en el blog, esto es la pulsación de teclas. También existe la posibilidad de monitorear en tiempo real, ¿qué está haciendo el administrador en este momento? El administrador principal recibe una notificación en la consola de PAM de que hay una sesión o sesiones activas en este momento. Él puede "sumergirse" en una de las sesiones y ver qué está haciendo el administrador allí. Si no le gustan algunas acciones que él considera sospechosas, puede bloquear esta sesión. Después de bloquear la sesión, el administrador será expulsado del sistema y recibirá un mensaje de que su sesión ha sido bloqueada.
Además, en PAM existe la posibilidad de registrar comandos prohibidos. Es decir, si el administrador intenta registrar algunos comandos prohibidos, su sesión también será bloqueada.
Por tradición, si de 6 puntos 2 son adecuados, entonces se puede ir con seguridad a dicho cliente. Por ejemplo, en la organización trabajan 10 o más administradores, el administrador tiene acceso remoto a la infraestructura de TI de la empresa, si se trata de centros de datos.
En las siguientes dos diapositivas hay preguntas que tiene sentido hacer a los clientes y qué beneficios ofrece IPAM.
Está claro que los empleados comunes no conocen las contraseñas de los usuarios privilegiados, ellos tienen acceso solo a su cuenta. Si en la empresa ocurre algún incidente, entonces se pueden ver capturas de pantalla, registros y en poco tiempo liquidar dicho incidente. En la diapositiva se muestran los lanzamientos planificados para el verano de este año.
Literalmente en un mes nos "mudamos" a Linux, se admitirán todos los sistemas operativos de este sistema. Caso Ministerio Federal.
Aquí el cliente prohibió hablar de sí mismo, pero los empleados de este ministerio utilizan como segundo factor la huella dactilar. En la siguiente diapositiva se presentan productos extranjeros que IPAM puede reemplazar.
En la siguiente diapositiva se presentan las ventajas de IPAM sobre los competidores.
Tenemos la mejor combinación de precio y calidad del mercado. Tenemos todos los componentes propios. A pesar de que recibimos el certificado FSTEC, sin embargo, no aumentamos los precios.
En la diapositiva se presenta el costo aproximado de los proyectos IPAM.
IPAM se licencia por cantidad de usuarios. Una cantidad limitada de usuarios puede generar un número ilimitado de sesiones, por lo tanto, también hay una limitación en la cantidad de conexiones simultáneas. Las licencias son urgentes y perpetuas.
ICM es la gestión centralizada de la infraestructura de clave pública y los soportes de certificados digitales. Hay clientes que tienen sus propios centros de certificación o un gran número de empleados con sus firmas y certificados electrónicos.
Estos certificados deben ser controlados. Es necesario vigilar cuándo vencen estos certificados. Si a un empleado se le vence el certificado, debe ir urgentemente a su administrador, insertar su token en su computadora y volver a emitir el certificado. Desarrollamos Indeed Certificate Manager, que recopila automáticamente información sobre qué certificados tienen los usuarios y puede emitir dicho certificado en modo semiautomático.
Admitimos 3 centros de certificación: КриптоПРО, Microsoft CA y Валидата УЦ, admitimos tarjetas inteligentes de terceros fabricantes: Рутокен, JaCarta, ESMART y otros en la diapositiva. En consecuencia, existe un área personal del empleado y una consola de administrador.
El administrador tiene una consola donde ve todos los certificados, puede administrarlos, puede volver a emitirlos, transferir certificados de un medio físico a otro, puede configurar notificaciones sobre eventos importantes. Se puede permitir que un empleado vuelva a emitir su propio certificado.