среда, 7 марта 2018 г.

Касперский повышает ставки а программе bug bounty

«Лаборатория Касперского» в 20 раз увеличила вознаграждение в рамках своей программы bug bounty. Теперь за обнаружение наиболее серьёзных уязвимостей в основных продуктах компании можно получить до 100 тысяч долларов США. Этот шаг стал одним из первых этапов реализации программы информационной открытости Global Transparency Initiative, о запуске которой «Лаборатория Касперского» объявила в октябре 2017 года.

Максимальная награда предусмотрена в случае обнаружения программных ошибок, которые позволяют удалённо выполнить какой-либо код через канал обновления продуктовых баз, – например, втайне от пользователя запустить вредоносный код в процессе с высокими привилегиями (при этом код должен оставаться активным после перезагрузки системы). При нахождении уязвимостей, допускающих другие варианты удалённого выполнения кода, исследователи могут рассчитывать на вознаграждение в размере от 5 до 20 тысяч долларов США (в зависимости от сложности найденной бреши). Также денежные выплаты предусмотрены при обнаружении багов, позволяющих повысить локальные привилегии или ведущих к раскрытию конфиденциальных данных.

В поиске ранее неизвестных уязвимостей могут участвовать все члены международной платформы HackerOne, являющейся партнёром «Лаборатории Касперского» в программе bug bounty. Критические бреши будут искать в двух основных продуктах компании: Kaspersky Internet Security 2019 (новейшая бета-версия) и Kaspersky Endpoint Security 11 (новейшая бета-версия), работающих на ОС Windows 8.1 и выше.

Подробные детали и требования программы bug bounty «Лаборатории Касперского» можно узнать здесь: https://hackerone.com/kaspersky.

Комментируя повышение вознаграждения в программе bug bounty, Евгений Касперский отметил: «Находить и закрывать уязвимости – очевидный приоритет для компании. Поэтому мы приглашаем независимых исследователей присоединиться к проверке наших продуктов. Обеспечение целостности кода – фундамент нашего бизнеса и недавно запущенной программы информационной открытости».

«Лаборатория Касперского» запустила программу bug bounty в августе 2016 года. За время её действия было обработано более 70 отчётов о недочётах в решениях компании, и все они были исправлены.

Программа информационной открытости «Лаборатории Касперского» (Global Transparency Initiative) была запущена в октябре 2017 года. Её основная цель – привлечь широкое экспертное сообщество в области кибербезопасности для проверки целостности и надёжности продуктов, внутренних процессов и бизнес-операций компании. Также с помощью этой инициативы «Лаборатория Касперского» намерена продемонстрировать своё ответственное отношение к вопросам безопасности.

Юридическая значимость мобильных СЭД

Компании «Актив» и «НТЦ СТЭК» завершили тестовые испытания, в результате которых была подтверждена совместимость и корректность совместной работы электронных идентификаторов Рутокен (Рутокен ЭЦП 2.0, Рутокен ЭЦП 2.0 Flash, Рутокен ЭЦП PKI) c системой защищенного документооборота «СТЭК-ТРАСТ». В мобильной версии «СТЭК-ТРАСТ» был успешно протестирован Рутокен ЭЦП 2.0 Flash. Ключевые носители Рутокен рекомендованы для строгой аутентификации пользователей и формирования электронной подписи в системе защищенного документооборота.

С помощью системы «СТЭК-ТРАСТ» пользователи смогут сдавать отчетность через Интернет, обмениваться счетами-фактурами с контрагентами, пересылать письма, договоры и сообщения через защищенный канал.

«Используя решения Рутокен для электронной подписи в СЭД «СТЭК-ТРАСТ», пользователи получат удобный и эффективный инструмент, обеспечивающий повышенный уровень безопасности системы и обеспечивающий юридическую значимость действий в СЭД. Уверен, что наши новые совместные проекты сделают отечественный рынок СЭД еще лучше», - говорит Владимир Салыкин, менеджер по продуктам Рутокен компании «Актив».

«Сегодня пользователи хотят работать с удобными приложениями с любого устройства, на котором есть доступ к Интернету. Они ценят время и не готовы устанавливать специальное ПО. Поэтому мы создали мобильную версию «СТЭК-ТРАСТ». Эта система использует аппаратную реализацию криптоалгоритмов на Рутокен ЭЦП 2.0 Flash. Отрадно, что продукты компании «Актив» гарантируют высокую степень защиты в системе защищенного документооборота «СТЭК-ТРАСТ» и соответствуют всем требованиям законодательства и регуляторов», - отметил Алексей Вербин, руководитель отдела разработки и технической поддержки «НТЦ СТЭК».

Шифровальщики скрывают следы шпионов

Специалисты компании Positive Technologies проанализировали угрозы IV квартала 2017 года и выделили ряд заметных тенденций. Среди них: рост атак со стороны хактивистов, снижение возраста киберпреступников, использование вредоносного программного обеспечения (ВПО) для сокрытия истинных мотивов киберпреступления и появление новых методов распространения ВПО.

Под видом троянов-вымогателей может скрываться шпионское ПО, которое после получения необходимых данных не просто шифрует, а уничтожает данные на компьютерах жертвы. Или, как было в случае атак на банкоматы, ВПО повреждало загрузочную запись ОС банкомата, и таким образом злоумышленники заметали следы, чтобы при расследовании было невозможно восстановить всю цепочку событий.

Другая тенденция — увеличение (с 3% до 7% в IV квартале 2017 года по сравнению с III кварталом 2017 года) доли атак, совершенных хактивистамихакерами, использующими свои возможности для пропаганды политических взглядов, проведения акций гражданского неповиновения и для протестов, нередко принимающих форму компьютерного терроризма.

Также эксперты компании отметили всплеск кибератак на государственные организации, многие из которых были связаны с обострённой политической ситуацией в различных странах. Практически любое политическое событие сегодня находит отклик в действиях киберпреступников. Так, хактивисты Anonymous, недовольные действиями испанского правительства в ходе референдума о независимости Каталонии, провели серию DDoS-атак на государственные веб-сайты.

В четвертом квартале ушедшего года специалисты Positive Technologies зафиксировали больше уникальных инцидентов, чем в предыдущие периоды. В начале ноября и конце декабря наблюдался рост количества атак на частных лиц. Это можно связать с периодами распродаж («черная пятница», предновогодние акции), когда люди склонны совершать спонтанные покупки, в том числе на подозрительных сайтах.

Пугающая тенденция — снижение возраста злоумышленников«Если прежде атаки выполняли опытные программисты, то сегодня мы все чаще видим несовершеннолетних, участвующих в киберпреступлениях, — комментирует аналитик Positive Technologies Ольга Зиненко. — В интернете постоянно мелькает реклама легкого заработка, на которую реагируют подростки, оказываясь впутанными в мошеннические схемы (например, по обналичиванию украденных средств). Опытные киберпреступники, организаторы атак, стараются не рисковать и избегают действий, на которых их могут поймать. Они нанимают подростков, которые в погоне за деньгами (и по незнанию закона) выполняют различные поручения — и оказываются главными подозреваемыми при расследовании преступления. Мы прогнозируем, что ситуация будет только усугубляться».

Продолжило расти число желающих заработать на криптовалюте за счет чужих ресурсов — с помощью нового ВПО (например, майнера Coinhive) или путем подмены криптокошельков. Среди других сценариев атак — добавление в код скомпрометированного веб-ресурса скрипта для майнинга (как в истории с сайтом D-Link) и компрометация сервисов для майнинга криптовалюты. Также злоумышленники продолжают совершать DDoS-атаки на криптовалютные биржи и ICO (как в случае с британским стартапом Electroneum).

Повышение информационной грамотности пользователей заставляет злоумышленников придумывать новые способы распространения ВПО. Так, например, они используют взломанные веб-ресурсы. Интересно, что для поднятия позиций фишинговых сайтов в поисковой выдаче киберпреступники используют методы SEO, размещая на них ключевые слова, а также увеличивая рейтинг с помощью специальных SEO-ботнетов.

А ваш телевизор майнит Monero? А если проверить...

Информация о распространении троянца Android.CoinMine.15, известного также под названием ADB.miner, появилась несколько дней назад в блоге китайской компании, работающей в сфере информационной безопасности. По данным китайских исследователей, скорость распространения троянца в активный период была очень велика: ежедневно количество инфицированных устройств возрастало вдвое. Специалисты «Доктор Веб» полагают, что большинство зараженных устройств – «умные» телевизоры, поскольку именно они, как правило, имеют постоянное подключение к Интернету с использованием ADB.

Этот Android-троянец, предназначенный для добычи криптовалюты Monero, способен инфицировать другие устройства без участия пользователя. Вредоносная программа Android.CoinMine.15 заражает Android-устройства с открытым портом 5555, который используется интерфейсом отладчика Android Debug Bridge (ADB). Инфицированными могут оказаться не только «умные» телевизоры, но также смартфоны, планшеты, телевизионные приставки, роутеры, медиаплееры и ресиверы – то есть устройства, использующие отладку по сети. Еще одним потенциально уязвимым устройством является одноплатный компьютер Raspberry Pi 3 с установленной ОС Android.

Распространение троянца происходит следующим образом. С другого зараженного устройства на атакуемый узел устанавливается приложение droidbot.apk, а также файлы с именами nohup, sss и bot.dat. Затем файл sss запускается с помощью утилиты nohup и в процессе работы становится демоном. После этого он извлекает из bot.dat другие компоненты троянца, в том числе конфигурационный файл в формате JSON, приложения-майнеры (для 32- и 64-разрядной версии ОС) и экземпляр троянской программы droidbot. После запуска droidbot в непрерывном цикле случайным образом генерирует IP-адрес и пытается подключиться к порту 5555. В случае успеха троянец предпринимает попытку заразить обнаруженное устройство с использованием интерфейса отладчика ADB. В отдельном потоке Android.CoinMine.15 запускает приложение-майнер, предназначенное для добычи криптовалюты Monero (XMR). Заражение подобными вредоносными программами может привести к заметному снижению быстродействия устройства, его нагреву, а также быстрому расходованию ресурса аккумулятора.

В ОС Android отладчик ADB по умолчанию отключен, однако некоторые производители все же оставляют его включенным. Кроме того, ADB по каким-либо причинам может быть включен самим пользователем — чаще всего режим отладки необходим разработчикам программ. Согласно статистике, собранной Dr.Web для Android, отладчик Android Debug Bridge включен на 8% устройств, защищенных нашим антивирусом. Поскольку такая настройка может представлять потенциальную угрозу, специальный компонент Dr.WebАудитор безопасности – предупреждает пользователя о включенном отладчике и предлагает отключить его.

Специалисты компании «Доктор Веб» рекомендуют всем владельцам Android-устройств выполнить проверку операционной системы на предмет потенциально опасных настроек. Для этого на нашем сайте или в официальном каталоге Google Play можно приобрести Dr.Web Security Space для Android, в состав которого входит Аудитор безопасности. Если на вашем устройстве включена, но не используется отладка по USB, лучше эту функцию отключить. Троянец-майнер Android.CoinMine.15 детектируется и удаляется антивирусными программами Dr.Web для Android, поэтому не представляет угрозы для наших пользователей.

Отношения важнее секретов

Влюбленные люди чаще всего дорожат отношениями больше, чем конфиденциальностью своей личной информации. Из-за этого тайна частной жизни каждого партнера может оказаться под угрозой. К таким выводам пришли эксперты «Лаборатории Касперского» по итогам недавно проведенного исследования.

Так, в России 7 из 10 опрошенных (71%) заявили, что отношения с партнером для них гораздо более ценны, чем какие-либо личные секреты. Возможно, поэтому больше половины людей (54%) охотно делятся со своей второй половиной паролями и кодами доступа к цифровым устройствам, а каждый пятый регистрирует отпечаток пальца партнера на тех гаджетах, где это требуется для разблокировки.  

С другой стороны, чуть больший процент респондентов (79%) отметил, что у людей в паре должно быть личное пространство, в том числе онлайн. Более того, 39% опрошенных признались, что ссорились со своим партнером, если он просматривал их личную информацию без их согласия.

Проблема конфиденциальности усугубляется, если отношения в паре нельзя назвать счастливыми. В таких условиях 29% участников опроса рассказали, что шпионят за своим партнером и наблюдают, что он делает в Сети. Для сравнения: в обычных парах так поступают 19%. Чувствуя напряженность, люди стремятся сохранить как можно больше личной информации в тайне: 80% респондентов, отметивших, что они несчастливы в своей паре, скрывают свои онлайн и офлайн активности, в частности отправленные сообщения, посещенные веб-сайты, потраченные деньги, личные файлы. В стабильных отношениях этот показатель заметно ниже – 62%.

«Любые отношения, независимо от их продолжительности и качества, стирают личные границы человека. Партнеры знают пароли друг друга, пользуются одним компьютером, посматривают на экран смартфона, когда там всплывают оповещения. Если не позаботиться о конфиденциальности своих личных данных, то рано или поздно это может привести к тому, что сюрприз на День влюбленных или день рождения будет испорчен, а в худшем случае – партнеры начнут ссориться. Мы ни в коем случае не призываем вас отгораживаться от своей второй половины стеной секретов. Но поскольку мы все больше зависим от цифровых устройств и Интернета, имеет смысл обсудить и установить определенные личные границы, при которых отношения будут лишь крепнуть», – отметил Андрей Мохоля, руководитель потребительского бизнеса «Лаборатории Касперского».

Сохранить некоторые моменты личной жизни в тайне помогут специальные функции в решениях «Лаборатории Касперского». К примеру, средство уничтожения файлов в Kaspersky TotalSecurity навсегда удалит документы без возможности их восстановления. Режим защиты конфиденциальности скроет сообщения и звонки на Android-устройствах, а мастер устранения следов активности очистит историю в браузере на Windows.  

Подробнее о возможностях защитных решений «Лаборатории Касперского» для домашних пользователей можно узнать здесь: https://www.kaspersky.ru/home-security.

понедельник, 5 марта 2018 г.

Третья пятилетка «Аванпост» начинается

Компания «Аванпост» подвела итоги 2017 года, одного из самых успешных за всё время её существования. Одновременно «Аванпост», выполнив все намеченные задачи, завершает второй пятилетний период развития, ставший поворотным не только для самой компании, но и (в значительной степени благодаря её усилиям) для всего российского рынка IDM, PKI и SSO. Также компания «Аванпост» объявляет главные цели и направления своей деятельности в следующие пять лет.

«Аванпост» в 2017 году

За прошедший год оборот «Аванпост» вырос на 45% и превысил 300 млн. руб. При этом численность персонала увеличилась на 27%.

Компания улучшила структуру клиентской базы, расширив охват отраслей и сделав их доли более выровненным. В ней представлены госсектор и коммерческие структуры: банки и страховые компании, ТЭК, ритейл, логистические предприятия, промышленность, телеком.

В 2016 году Avanpost IDM, флагманский продукт компании, по функциональности встал в один ряд с ведущими западными IDM-решениями, представленными на тот момент на российском рынке. В течение всего года продукты Avanpost IDM и Avanpost PKI активно развивались: вышло несколько крупных и множество небольших обновлений, которые еще расширили функциональность продуктов, повысили удобство их использования, существенно упростили внедрение и сопровождение. Кроме того, были реализованы многие функции, необходимые самым крупным территориально-распределенным организациям-заказчикам, причем это направление стало основным как для всего 2017 года, так и для дальнейшего развития. В итоге, по всей совокупности потребительских характеристик Avanpost IDM достиг уровня ведущих западных решений, а компания вновь подтвердила статус технологического лидера в сегментах IDM и PKI.

Все это повлияло на число активных лицензий на продукты «Аванпост». Так, в марте 2017 года число активных пользователей Avanpost PKI достоверно превысило 1 млн, а к концу года достигло уровня в 1.5 млн. Общее же количество пользователей всех продуктов линейки Avanpost вплотную приблизилось к 3 млн.

Эти изменения, а особенно необходимость эффективной поддержки самых крупных предприятий, связаны с двумя новыми рыночными факторами: резким изменением конкурентной среды в сегменте IDM и с начавшейся переориентацией крупных заказчиков на российские решения. Так, в прошедшем году по разным причинам резко снизили активность все старые разработчики IDM-решений (российские и западные). И хотя появились новые российские разработки, их влияние на рынок пока неощутимо. Западные же IDM-решения, активно продвигаемые на нашем рынке, теперь представлены двумя системами: One Identity Identity Manager и SailPoint IdentityIQ. Оба эти решения, обладающие очень широкой функциональностью (выходящей за границы собственно IDM) и множеством упрощающих внедрение настроек, подняли планку ожиданий крупных заказчиков в отношении лидирующих IDM-решений.

Эта ситуация потребовала значительных усилий именно от «Аванпост», т.к. из российских разработчиков только она входит в группу лидеров и реально конкурирует с ведущими западными решениями.
Кроме того, сегодня к продуктам «Аванпост» присматриваются не только коммерческие предприятия, но и госкорпорации и крупные госструктуры, подпадающие под нормативную базу импортозамещения или попавшие в санкционные списки или стремящиеся обезопасить себя от них. Соответственно, от «Аванпост», как одного из ведущих российских ИБ-вендоров, требуется ускоренное портирование своих продуктов на российские ОС на основе Linux. Для Avanpost IDM выход 6-й версии состоится в третьем квартале 2018. И эта версия будет работать как в Windows, так и в Linux. Отметим также, что Linux изначально является основной ОС для Avanpost Web SSO — нового программного продукта в линейке Avanpost, продвижение которого на российском рынке началось в марте 2017 года.

Avanpost Web SSO — это сиcтемообразующее ПО уровня предприятия, способное эффективно поддерживать ИС с миллионами пользователей и позволяющее реализовать в масштабах крупной территориально распределенной организации или сети взаимодействующих предприятий (деловой сети) полный комплекс функций обычной и многофакторной аутентификации пользователей ИС, а также их безопасного входа во все необходимые приложения после однократной аутентификации (Single Sign-On, или SSO). При этом единая система аутентификации и SSO, созданная с помощью Avanpost Web SSO, охватывает все механизмы взаимодействия пользователей с современными ИС: тонких клиентов, мобильные приложения, SaaS-сервисы, настольные приложения традиционного типа и сложно организованные Web-ресурсы, страницы которых открывают доступ к информационным системам одной или нескольких организаций.

По универсальности, набору функций, масштабируемости, простоте администрирования и разнообразию поддерживаемых видов ПО и информационных ресурсов новая разработка «Аванпост» не имеет аналогов на отечественном ИТ-рынке, превосходя как конкурирующие западные проприетарные продукты от ведущих мировых ИТ-компаний, так и разработки международного сообщества Open Source.

Несмотря на свою новизну, продукт Avanpost Web SSO востребован российским рынком. Он уже отвечает за аутентификацию на одном из крупнейших городских интернет-ресурсов. Его приобрела одна из ведущих российских промышленных компаний и еще три крупные коммерческие организации. Еще несколько контрактов находятся на разных стадиях согласования с заказчиками.

К началу 2018 года относительная важность элементов продуктовой линейки Avanpost распределилась так: IDM (40%), PKI (30%), Web SSO (20%) и классический SSO — 10%. При этом основными генераторами прибыли сегодня являются IDM и PKI, а наиболее перспективными точками роста — IDM и Web SSO.

Второй пятилетний период развития «Аванпост»: крутой поворот в судьбе компании

Пять лет назад «Аванпост» была зрелой компанией-разработчиком, нашедшей перспективную незанятую рыночную нишу (комплекс функций IDM, PKI и SSO для банковского сектора), создавшей для неё линейку продуктов и занимавшейся их долгими единичными внедрениями.

Качественно новый этап развития компании начался в 2012 году, когда её крупнейшим акционером стала инвестиционная группа LETA Group, а генеральным директором — Андрей Конусов, ранее возглавлявший успешного ИБ-интегратора Leta IT-company. Новое руководство «Аванпост» увидело как большой рыночный потенциал идей и технологий, заложенных в программный комплекс Avanpost, так и высокий профессионализм команды разработчиков, сумевшей создать первую в России качественную реализацию сложного комплекса функций (IDM, PKI, SSO и ряд других) и успешно внедрить его в нескольких российских банках.

Однако ни сама компания, ориентированная на продвижение своих продуктов через единственного партнёра и на небольшое число внедрений в одной отрасли экономики, ни её продукты, требовавшие значительной доработки при каждом внедрении, не подходили для реализации планов LETA Group. Эти планы были нацелены на максимальное расширение потенциального рынка для продуктов Avanpost, которые должны были стать одинаково пригодными для всех отраслей экономики и госуправления, а также охватить широкий диапазон масштабов организаций — от средних до крупных. Требовалось так переработать продукты, чтобы их можно было достаточно быстро внедрять через партнерский канал, без существенных переработок продукта и связанного с этим усложнения сопровождения. Наконец, надо было создать мощный канал продвижения продуктов «Аванпост» через множество крупных и средних интеграторов. При этом сама компания «Аванпост» должна была стать одним из ведущих российских ИБ-вендоров, способным сделать темы IDM, PKI и SSO интересными для множества новых целевых групп, а также устранить препятствия для продвижения в новые сегменты. Основой согласованного решения всех этих задач стала комплексная программа развития, представленная в октябре 2012 года.

На начальном этапе её реализации главной задачей стало создание эффективной партнерской программы, в которой были бы предусмотрены не только такие стандартные услуги вендора, как обучение и сертификация специалистов партнёра, передача ему разработанных в «Аванпост» эффективных методик внедрения и сопровождения, а также реализация совместных маркетинговых программ и действий в информационном пространстве, но и целый ряд оригинальных механизмов защиты прибыли партнёра и закрепления за ним клиентов, с которыми он эффективно работает.

Однако, несмотря на продуманность партнерской программы, для «раскачки» поначалу инертного партнерского канала, в «Аванпост» пришлось создать мощный отдел пресейла, приносивший партнерам практически готовые к подписанию контракты, а также технологию совместного участия во внедрениях, построенную по принципам наставничества. Кроме того, положительную роль сыграли совместные семинары для потенциальных клиентов и большая разъяснительная работа, показавшая рынку, что сочетание функций IDM, PKI и SSO является наиболее эффективной формулой комплексного управления доступом, действительно способной эффективно противостоять наиболее существенным угрозам, включая и такие, против которых ИБ-инструменты оказываются бессильными, т.к. злоумышленник не идет напролом, а маскируясь под легитимного пользователя ИС с нужными полномочиями, становится невидимым даже для самых дорогих ИБ-решений.

Одновременно с решением этих задач «Аванпост» совершенствовала свою продуктовую линейку сразу по нескольким направлениям.

Во-первых, целостный программный комплекс Avanpost был разделён на отдельные продукты (IDM, PKI и SSO), способные работать как по отдельности, так и в любых сочетаниях, давая в последнем случае значительный синергический эффект. Это расширило варианты продвижения продуктов «Аванпост», ускорило их развитие, позволило комбинировать их с конкурирующими продуктами, если они уже были внедрены у заказчика.

Во-вторых, задолго до объявления политики импортозамещения в ИТ самое пристальное внимание было уделено модулям сопряжения (коннекторам) продуктов Avanpost IDM и Avanpost PKI с максимально широким спектром ПО, применяющегося в российских организациях. Увеличилось число точек сопряжения продуктов Avanpost с другими элементами ИС. Кроме того, была значительно упрощены специфические части коннекторов, созданы удобные интерфейсы прикладного программирования (API), качественная документация и комплекты разработчика (SDK). Всё это привело к тому, что трудоемкость разработки коннекторов резко снизилась и создавать их теперь могли не только программисты «Аванпост», но и сотрудники компании-интегратора или даже организации-заказчика. Сегодня «Аванпост» располагает не только самой простой технологией создания модулей сопряжения, но и самым широким набором готовых коннекторов, значительно превосходя по этим параметрам конкурентов. Это преимущество исключительно важно, т.к. какой бы совершенной ни была система IDM, взаимодействующая лишь с небольшим набором ПО, она практически не защищает организацию. Кроме того, при переходе на отечественное ПО в рамках проектов импортозамещения преимущества в технологии создания коннекторов будет иметь решающее значение для сохранения полноты и эффективности управления доступом.

В-третьих, для Avanpost PKI была обеспечена совместимость со всеми ключевыми носителями (токенами), широко применяемыми на территории РФ.

В-четвертых, «Аванпост» сначала догнала ведущие зарубежные решение в области IDM, PKI и SSO по их основной функциональности. А затем постепенно достигла паритета с ними и в плане удобства применения (в частности, по возможностям адаптации универсального решения для работы в конкретной организации лишь с помощью настроек, т.е. без программирования). При этом по ряду существенных функций продукты Avanpost превзошли разработки ведущих мировых ИТ-компаний. Например, это касается способов создания ролевых моделей и поддержания их в актуальном состоянии. Здесь компания «Аванпост» разработала оригинальные технологии ускоренного (за счет автоматизации) решения этих задач. Эти технологии достаточно сложны, например, они содержат механизмы полуавтоматической оптимизации множества ролей за счет анализа их сходства. В 2017 году к ним добавились средства, предотвращающие нарушение принятых в организации ограничений на назначение ролей (например, запретов на совмещение полномочий на выполнения какой-либо задачи и контроля по ней). Более того, компания «Аванпост» встроила все эти инструменты в Avanpost IDM, не увеличив стоимость продукта. Всё это впервые открыло российским организациям возможность методически корректного внедрения систем IDM.

В-пятых, «Аванпост» переводит свои продукты на Web-архитектуру, совершенствует их пользовательские интерфейсы и другие аспекты удобства для пользователя (usability). Так, например, системы IDM и PKI содержат полную реализацию служебного документооборота, интегрирующего технологическую и организационную составляющую целостного решения масштаба предприятия. Используя эти механизмы, пользователи могут оформлять заявки, например, на получение определенных ролей или на изменение параметров и информационного наполнения своего токена. Документооборот проводит заявку по предписанному регламенту обработки, справляясь с множеством нюансов (например, с длительным отсутствием нужных должностных лиц, делегированием их полномочий и мн.др.).

Отметим, что это лишь главные направления развития продуктов линейки Avanpost за прошедшие пять лет. Целый ряд разработок (например, поддержка управления доступом в облачных сервисах или средства многофакторной аутентификации и интеграции Avanpost IDM с системами СКУД) оказались менее востребованными, чем ожидалось. Тем не менее, они доведены до работающих решений, готовых к выводу на рынок.

Подчеркнем, что все вышеперечисленные проекты «Аванпост» выполнила за свой счёт, не используя гранты и не привлекая сторонних инвесторов. Причем в 2017 году компания завершила возврат средств, полученных от LETA Group для реализации своей пятилетней программы развития.

Развитие российского рынка IDM, PKI и SSO и цели компании «Аванпост» на очередной период

На российском рынке компания «Аванпост» планирует сохранить и укрепить лидерские позиции как в госсекторе, так и в коммерческих организациях.

При этом в своих планах компания исходит из того, что отечественный ИТ-рынок перестал быть «калькой со сдвигом», снятой с западных рынков; у нашего рынка появляются и углубляются отличия, связанные с предстоящим переходом на импортонезависимые ИТ-решения, состоянием рынка труда, появлением новых тенденций в управлении предприятиями, отраслями, региональными межотраслевыми проектами и экономикой в целом. В то же время, на этом фоне действуют и многие глобальные тенденции, например, усиление и углубление зависимости организаций от ИТ, начавшаяся цифровая трансформация предприятий, отраслей и экономики в целом.

В этих условиях компания отобрала ряд долгосрочных тенденций, на поддержку которых планирует направить основные усилия, считая это гарантией сохранения и укрепления лидирующих позиций в своих сегментах рынка.

Первая тенденция, связанная с политикой импортозамещения в ИТ, — поворот очень крупных организаций к российскому ПО и, в частности, к продуктовой линейке «Аванпост». От компании это требует решения сразу нескольких задач. Первая и самая сложная — продолжение развития продуктов и методик, позволяющее удовлетворить потребности таких заказчиков. Это поле прямой конкуренции с лучшими зарубежными решениями из верхнего правого угла «магического квадранта» Gartner. Для этого все продукты «Аванпост» должны расширить свою функциональность в пограничные области.

В области IDM главная задача «Аванпост»: уверенно и успешно конкурировать — теперь уже с самыми лучшими западными решениями и по всему набору параметров, не уступив свои позиции и постепенно ликвидируя разрыв в функциональности. В продукте Avanpost IDM будет появляться всё больше функций решений категории IGA (Identity Governance and Administration). Часть этих функций (проверка SOD-конфликтов,  контроль соответствия и формирование отчетов) уже реализована. Более сложные функции (реализация сложных правил доступа, не обязательно на основе ролевых моделей; анализ данных не только из своей, но и из других систем; управление рисками) пока не востребованы на нашем рынке, но будут очень важны при выходе «Аванпост» на рынки дальнего зарубежья (см. ниже).

Продукт Web SSO будет постепенно замещать классическую систему SSO. Практически все функции Web SSO уже реализованы (например, поддержка «из коробки» четырёх наиболее востребованных сценариев аутентификации, включая федеративную (характерную для кластеров и деловых сетей) и централизованную (характерную для холдингов). Остается увеличивать количество поддерживаемых протоколов и способов аутентификации, а также добавить поддержку систем, использующих нестандартные протоколы.

Наконец, Avanpost PKI будет обрастать функциями Compliance. Например: учет токенов, выпущенных в других системах; тонкое управление конфигурацией токенов; выпуск не только сертификатов, но и других объектов (например, профилей доступа); реализация парольных политик, контролируемых PKI; контроль среды функционирования; переход от проверки к реагированию.

Предстоящий переход организаций разного масштаба на российское ПО и на международное СПО требуют создания множества коннекторов для новых видов ПО. «Аванпост» давно отработала соответствующие технологии, инструменты и методики, теперь необходимо привлечь к созданию коннекторов разработчиков этого ПО и/или заказчиков проектов импортозамещения, разъяснив тем и другим выгоды применения IDM-системы в процессе перехода на импортонезависимые ИТ-решения. Если компания уже применяет IDM-систему, имеющую коннекторы к старому и новому ПО, или внедрила её перед запуском процесса миграции, она получает мощное средство переноса учетной информации, а также механизм централизованного управления правами доступа и проведения соответствующих аудитов, действующий несмотря на постоянные изменения в информационной системе и постепенное перераспределение долей замещаемого и замещающего ПО.

Необходимо учитывать, что дальновидные организации (доля которых в первой волне импортозамещения выше) используют переход на новое ПО как возможность исправить множество ошибок «лоскутной информатизации». Это вторая тенденция. «Исправленные» информационные системы будут иметь иную архитектуру, станут более отказоустойчивыми и более приспособленными к постоянным изменениям. Кроме того, сколько-нибудь сложное ПО невозможно заместить по схеме «один в один», а значит, на смену отдельным программным продуктам придут комплексы. В области управления доступом это потребует переработки ролевых моделей. Это сложно, но решить эту задачу с помощью встроенного в Avanpost IDM мощного инструментария намного проще, чем не имея таких средств аудита, анализа и оптимизации ролевых моделей.

Третья тенденция состоит в постоянном усилении зависимости любых организаций от ИТ, что требует соответствующего усиления поддержки непрерывности бизнеса. Нужны доступные способы повышения отказоустойчивости систем, например, таких, когда в частном или публичном облаке (IaaS) создается теплый резерв важнейших приложений, работающих в архитектуре традиционной. Линейка Avanpost уже сейчас может и сама работать в таком режиме, и контролировать инфраструктурное и прикладное ПО, функционирующее как в нормальном, так и в аварийном режиме работы. Кроме того, неуклонно повышается доля ПО, работающего в режиме критически важных приложений. Web SSO работает так в каждом внедрении, а Avanpost IDM — примерно в 30% внедрений.

Четвертая тенденция состоит в неуклонном расширении сферы юридически значимых применений ИС. Поддержка этой тенденции связана с применением квалифицированной ЭП и уже реализованных возможностей Avanpost PKI: поддержки обновленных российских стандартов криптографии, работы с сервером КриптоПро DSS и интеграции продукта Avanpost PKI со СМЭВ и ЕСИА.

Пятая тенденция — изменение моделей управления предприятиями, отраслями, крупными проектами федерального и регионального масштаба. Происходит формирование кластеров разного типа: вокруг предприятия, отраслевых, территориальных и проектных. В пределах кластеров замыкаются основные производственные цепочки и цепочки поставок, осуществляется передача функций на аутсорсинг, происходит перекрестное использование информационных ресурсов и прикладного ПО (обычно в виде SaaS или терминального доступа). При большом числе пользователей для этого требуется т.н. федеративная аутентификация, которую «из коробки» поддерживает Avanpost Web SSO.

Реализация экспортного потенциала разработок «Аванпост»

«Аванпост» уже несколько лет внедряет свои решения в Республике Беларусь и в Казахстане. Компания и дальше продолжит работать на постсоветском пространстве. Однако на ближайшие пять лет главной её целью в плане расширения географии и реализации экспортного потенциала продуктов и технологий становится дальнее зарубежье.

При этом «Аванпост» начнет работать сразу в двух существенно различных регионах. Один из них (арабские страны) уже определён, другим будет Юго-Восточная Азия или Латинская Америка. Конкретные государства будут выбраны к концу года, соответствующая аналитическая работа уже ведется. На выбор страны будет существенно влиять выбранная модель бизнеса: во всех странах присутствия «Аванпост» не будет создавать собственных представительств. Вся деятельность пойдёт через стратегических партнеров, располагающих сильной технологической экспертизой и имеющих хороший портфель успешных внедрений и сопровождения сложных ИТ-решений в крупных местных организациях. От стратегических партнеров «Аванпост» требуются не только хорошие рыночные позиции в целевых сегментах и наличие всех необходимых лицензий и сертификатов, но и достаточный штат квалифицированных технических специалистов, чтобы можно было организовать качественную техническую поддержку, а также быстро наладить выпуск коннекторов к популярному в данной стране программному обеспечению. Кроме того, партнеры должны уметь адаптировать методики внедрения и сопровождения и неукоснительно соблюдать их.

В страны дальнего зарубежья продукты «Аванпост» будут поставляться под иными торговыми марками. При этом экспортная версия Web SSO практически не будет отличаться от продукта для российского рынка. Продукт же PKI будет существенно переработан за счет отбрасывания множества функций, отражающих специфику именно российского рынка. При этом центр тяжести экспортного продукта перенесется на упрощение и автоматизацию администрирования, а также на передачу многих функций администратора пользователям, работающим по схеме самообслуживания.

Экспортный вариант системы IDM, вероятно, предстоит несколько усилить, поскольку в рассматриваемых регионах вероятна интенсивная конкуренция с местными и ведущими международными IDM-системами, поставщики которых не ограничены санкционной политикой и действуют на местном рынке давно и в полную силу. Направление доработок будет, скорее всего, одинаковым или очень близким для экспортной и российской версий. При этом важным конкурентным преимуществом экспортной версии Avanpost IDM является простота разработки коннекторов и множество готовых модулей сопряжения для проприетарного западного и российского ПО, а также свободного ПО, развиваемого международными сообществами. Причем число коннекторов для двух последних классов ПО будут прирастать и на российском рынке в связи с импортозамещением.

В целом же уровень зрелости продуктов «Аванпост» уже достаточен для демонстрации и реализации их экспортного потенциала, для проведения переговоров с потенциальными партнерами и для выполнения первых крупных проектов. Функциональность же даже избыточна.

График реализации международной деятельности «Аванпост» таков: в 2018 году состоится выбор второго региона и стран присутствия, будет определена функциональность экспортных версий ПО «Аванпост», ёмкость рынка, а также технологическая и конкурентная среда для экспортных версий ПО, начнутся интенсивные контакты с кандидатами в стратегические партнеры. Второй год пойдет на формирование инфраструктуры продвижения и сопровождения, уточнение параметров партнерской программы, тестирование воронки продаж и определение обоснованных планов сбыта, на локализацию продуктов, моделей бизнеса и программ продвижения. В 2020 году должны стартовать первые пилотные и коммерческие проекты. Цель следующих двух лет — занять прочное место на ИТ-рынках в первых двух регионах, постепенно закрепить этих позиции и запустить вышеописанный процесс в третьем регионе (не обязательно из числа рассматриваемых сейчас).