💅Снимите это немедленно: топ-угроз аутентификации и авторизации

В мире, где киберугрозы растут быстрее, чем количество вкладок в браузере, проблемы аутентификации и авторизации вышли на первый план.

В новой статье мы разбираем, что же НЕ в моде среди способов раскрытия учётных данных в этом сезоне:

🔴 Компрометация учётных данных
🔴 Получение более высоких прав доступа
🔴 Вред от сотрудников внутри компании
🔴 Угрозы через третьи лица

Больше деталей – в свежей статье 🔗

И еще один подкаст «Хоть вы и не просили» снят! Это будет уже 5 выпуск, гостем которого стал Дмитрий Грудинин — руководитель продуктовой линейки аутентификации в компании «Аванпост». Простыми словами — Дмитрий занимается кибербезопасностью.

Переоценить важность темы сложно, как и сложно в ней разобраться. Нас пытаются взломать регулярно, а возможно уже взломали и просто ждут удобного момента. Скажем прямо, некоторые ответы эксперта заставили мня немного заерзать на стуле, понимая, насколько мы беззащитны перед технологиями, в которых погрязли. Дмитрий объяснил логику злодеев и их действий, прячущихся за интернет-подключением. Честно рассказал про риски и способы обезопасить себя от судьбы жертвы цифровых преступников. Подняли все темы от Телеграма и Госуслуг, до внутренних защищенных экосистем компаний и корпораций.

В общем, как соблюдать цифровую гигиену и не попасться на уловки мошенников, вооружавшихся ИИ-сервисами скоро😉.

27 марта в 16:30 совместно с коллегами из Cloud Networks в формате CN Talks обсудим тему консалтинга в ИБ.

Тема консалтинга на первый взгляд не особо профильная для меня. Но это только на первый взгляд. По сути каждый из нас чуть-чуть поэт, а каждый архитектор в сфере ИБ - чуть-чуть консультант. Хотя может и не подозревать об этом.

Я расскажу ряд историй из личной проектной практики. О том, как непосредственное участие в жизни проекта заказчика опытного (как сферический конь в вакууме из парижской палаты мер и весов) консультанта способствует поиску элегантных решений поставленной задачи. А также расскажу о том, насколько это может трансформировать и видоизменить исходную задачу до неузнаваемости, получив за те же деньги намного лучший результат. Если, конечно, заказчик готов прислушаться и доверяет опыту опытного консультанта.

Все примеры будут из горячо любимой мной и необъятной сферы Identity Security.

Без регистрации и СМС на мероприятие не пускают, поэтому регистрация по ссылке - https://cloudnetworks.ru/promo-event/

В-третьих, прозвучало мнение, что микросервисы это rulez, а монолит sucks. Где-то я это уже слышал. Году эдак в 2014. Докер – это круто, виртуалки - на свалку. Кстати, а что такое микросервис? Ах, точно! Это набор маленьких монолитов с ограниченной ответственностью. Как при налоговой оптимизации де-факто одна компания регистрирует кучу ОООшек под разные задачи вместо одного большого акционерного общества, так и микросервисы – это решение для распределения ответственности. И только для этого. И микросервисы служат интересам оператора клауд-провайдера, а не интересам заказчика. Заказчик их вообще не видит, как покупателя не сильно интересует наименование ОООшки, от имени которой ему выдаётся чек за полученный товар. Это не про технологичность, не про многократный рост производительности, эффективности и прочих выдуманных показателей. Если монолит используется в клауде, то в некотором смысле он является гарантией того, что данные заказчика разделены. В клауде микросервисы это часто (даже слишком часто) - почти гарантия того, что данные расположены в общем котле большого суперхранилища. А значит, они разделяются и защищаются только логикой приложения: двумя-тремя строчками if-else в коде, без дополнительных уровней защиты инфраструктурой. Чем это грозит заказчику? Тем, что любая ошибка одного из двух недавно нанятых джуниор-разработчиков команды одного из 20 микросервисов микросервисной архитектуры приведёт к смешиванию данных заказчиков и их компрометации в том или ином объёме. Да, вы поняли, что люди ошибаются, но я все равно буду это повторять. Потому что, когда за ценой ошибки одного человека стоит безопасность сотен тысяч или миллионов пользователей заказчиков, ставки существенно возрастают.

И тут мы подошли к единственному по-настоящему существенному отличию между клаудом и онпремом. Оно во владении. Владении данными, владении системой. Владение даёт дополнительные бенефиты. Оно же создаёт дополнительную ответственность, которая является обратной стороной полученных преимуществ. Разница та же, что между владением собственным автомобилем и каршерингом. Кто-то любит и требует, чтобы было своё. Кому-то удобнее в аренду. Вопрос выбора, вкуса и предпочтений. Больше между клаудом и онпремом в нашей маленькой и скромной задаче многофакторной аутентификации, которая обсуждалась в эфире AM Live в феврале, разницы нет. Ну совсем нет.

Несколько запоздалый – и, возможно, не последний – комментарий по февральскому эфиру AM Live на тему многофакторной аутентификации.

Со стороны Сергея Халяпина прозвучал вопрос, едва не спровоцировавший драку: «А чем, собственно, клауд-решение для аутентификации принципиально отличается от онпрема?» Раз тема столь животрепещущая, разберем ключевые тезисы.

Во-первых, прозвучало мнение, что клауд проще и быстрее во внедрении, чем онпрем. Мой тезис был и есть: нет, не проще. Основная сложность и "геморрой" для того, кто внедряет – не сами установка, а подкручивание гаек, конфигов и верёвок при подключении приклада. Замечательный и бурно развивающийся протокол OpenID Connect почти никаким софтом, который встречается в корпоративной среде, не поддерживается. Даже покрытый пылью SAML – редкость в современном корпоративном ландшафте. Более того, даже давно устаревший протокол RADIUS большинством решений не поддерживается. Если наш ИТ-ландшафт это не только VPN, но что-нибудь ещё, а особенно что-нибудь хорошо забытое старое, то сложность интеграции как для клауда, так и для онпрема, идентична. Ну нет разницы, совсем нет.

Во-вторых, прозвучало мнение, что клауд точно никогда не упадёт, быстро восстановится, потому что SLA, SLO и что-нибудь ещё в договоре и судебные издержки по 1% от суммы контракта за минуту простоя. А ещё у SaaS-провайдера есть страничка, где ведётся график со 146% аптаймом по всем сервисам. Реальность такова, что клауд – это такой же инфраструктурный сервис. И этот сервис работает на реальном железе и обслуживается живыми люди. Железо ломается, как его не резервируй. Люди ошибаются, какие штрафы и KPI ни вкручивай. Поэтому любой сервис с самым 99,99999% аптаймом может отказать. Разница в том, что в онпреме его побежит чинить непосредственно подчиняющийся вам или вашему коллеге администратор, который знает инфраструктуру и ваши потребности, а значит может решить проблему, исходя из ситуации на месте. А в клауде – как в регистратуре поликлиники: «вас много, а я одна, подождите, граждане!». И вся надежда на то, что процессы в клауд-провайдере настолько отлажены (чаще всего - нет), что позволяют быстро и без существенных потерь для подписчиков услуги всё починить. В части данного аспекта у каждого формата есть слабые и сильные стороны. Но в среднем разницы нет совсем.

⚙️ Инновации в ИБ: быть или не быть?

Порадуем вас полезным материалом прямо в понедельник!

Новая статья нашего эксперта Дмитрия Грудинина раскрывает тренды и вызовы в мире информационной безопасности.

Материал ответит на вопросы:
🔴 Какие сегменты ИБ нуждаются в инновациях (по мнению экспертов рынка)
🔴 Почему российские компании осторожничают с новыми технологиями
🔴 Какие технологии реально повышают кибербезопасность

Ключевой наш месседж: не стоять на месте и готовиться к изменениям уже сегодня ‼️

🚀 Что такое мультифакторная аутентификация по-российски – расскажет эксперт компании Avanpost на конференции!

Регистрируйтесь по ссылке!

📆 04 февраля, 11:00 (МСК)

Спикер: Дмитрий Грудинин, руководитель развития продуктовой линейки аутентификации Avanpost FAM/MFA+.

Там мы разберем:

🚀 Какие принципы лежат в основе применения многофакторной аутентификации в корпоративной среде?
🚀 Как можно дополнительно усилить корпоративные политики многофакторной аутентификации?
🚀 Какие риски связаны с управлением жизненным циклом аутентификационных данных
🚀 Как учитывать требования масштабируемости и гибкости системы аутентификации в условиях роста компании?
🚀 Как корректно можно использовать смартфон для многофакторной аутентификации?
🚀 Как использование облачных вычислений будет менять рынок многофакторной аутентификации в корпоративной среде?

Регистрируйтесь на конференцию 👈