Swivel Secure

Power of knowing…

www.swivelsecure.com

Swivel Secure

• Компания Swivel Secure основана в 2000

году и в настоящий момент является

мировым технологическим лидером

бестокенной аутентификации. Платформа

аутентификации Swivel, включающая в себя

запатентованную технологию PINsafe,

является де-факто технологическим

стандартом бестокенной аутентификации.

• Решения Swivel используются крупнейшими частными и государственными

компаниями, а также представителями малого и среднего бизнеса.

Потребители продукции Swivel получают возможность организации

безопасного локального и удалённого доступа к корпоративным сетям,

виртуальным машинам и облачным приложениям. PINsafe – единственная

технология бестокенной аутентификации, используемая в Microsoft Office

365.

• Компания Swivel Secure является частью Marr T&T, входящей в состав

международной инвестиционной компании Marr Group.

www.swivelsecure.com

Привычные способы аутентификации

• Высокая стоимость инфраструктуры и управления

ей. Необходимость замены/обновления токенов)

• Неудобны для пользователей (их забывают, теряют

и т.п.)

• Неприменимы для масштабных B2B и B2C

приложений

• Сложные правила провоцируют частое использование

одинаковых паролей в разных приложениях

• Необходимость наличия системы управления

изменениями паролей

• Сложности управления при нерегулярном

использовании или использовании третьей стороной

• Непрактичны для приложений более низкой

критичности

Токены

• Пароли в социальных сетях и корпоративных

приложениях часто идентичны

Пароли

www.swivelsecure.com

Виды аутентификации

UNP 1 Пара логин\пароль. Данный вид аутентификации не отличается

высоким уровнем безопасности. Не является достаточным для систем

удаленного доступа и облачных сервисов.

Особый вид аутентификации от Swivel, основанный на использовании

изображения. Повышает стойкость и безопасность процесса UNP, но

без полноценной двухфакторной аутентификации

2FA 3 Двухфакторная аутентификация. Отличается высоким уровнем

безопасности, используется для защиты высококритичных систем и

сервисов.

www.swivelsecure.com

Платформа аутентификации Swivel

• Представляет собой серверное решение

(физические или виртуальное),

позволяющее использовать различные

способы аутентификации при доступе к

различным системам и приложениям.

• Включает в себя более 50 вариантов

аутентификации к сотням систем.

• В качестве каналов аутентификации

используется: классический веб-браузер,

SMS, мобильное приложение (для всех

популярных платформ) и голосовой вызов.

• Имеется интеграция для VPN-систем, веб-

приложений, облачных решений и рабочих

станций.

www.swivelsecure.com

Платформа аутентификации Swivel

Сотрудники

Клиенты

ИТ-ресурсы компании

Платформа аутентификации Swivel

www.swivelsecure.com

Способы аутентификации

www.swivelsecure.com

SMS

• При попытке доступа к системе или приложению платформа генерирует SMS-сообщение,

содержащее OTC (one time code), либо Security string, из которой вычисляется OTC по заранее

известному пользователю PIN-коду.

• Сообщение отправляется заранее или по запросу

• Сообщения могут настраиваться

• Возможна работа с использованием или без PINsafe технологии

• Система очень гибко настраивается. В частности возможна отправка нескольких строк в одном

SMS-сообщении (до 5 строк в сообщении)

• Каждая строка имеет метку с номером. Веб-страница, на которой находится пользователь,

содержит информацию какую строку использовать

• Работает с любым смс-шлюзом, поддерживающем SMPP.

www.swivelsecure.com

Мобильные

приложения

• Получать Security string возможно с

использованием мобильного приложения

• На основе Security string пользователь

вычисляет OTC по известному только ему PIN

• Приложения разработаны под все популярные

мобильные платформы и доступны для

скачивания самим пользователем

• Приложение содержит до 99 Security string

• Пользователь может пополнить число строк в

любое время

• PIN никогда не используется

• Нет SMS сообщений

• Номер мобильного телефона не запрашивается

www.swivelsecure.com

Телефония

1 вариант:

• Платформа осуществляет звонок пользователю в голосовом режиме и

запрашивает OTC

• Пользователь вводит OTC через клавиатуру с изображения, находящегося на

другом устройстве (веб-браузер, мобильное приложение и т.д.)

2 вариант:

• Платформа совершает звонок пользователю сообщая OTC, чтобы пользователь

ввел его на другом устройстве

3 вариант:

• Платформа совершает звонок пользователю и запрашивает подтверждение

аутентификации (Например, “Нажмите ‘#’ чтобы подтвердить процесс

аутентификации?”)

• Пользователь нажимает клавишу ‘#’ чтобы завершить аутентификацию

• Содержание запроса и набор клавиш для подтверждения может настраиваться.

www.swivelsecure.com

Виды аутентификации

Помимо двухфакторной аутентификации Swivel развивает направление усиленной

аутентификации

UNP 1 Пара логин\пароль. Данный вид аутентификации не отличается

высоким уровнем безопасности. Не является достаточным для систем

удаленного доступа и облачных сервисов.

Особый вид аутентификации от Swivel, основанный на использовании

изображения. Повышает стойкость и безопасность процесса UNP, но

без полноценной двухфакторной аутентификации

2FA 3 Двухфакторная аутентификация. Отличается высоким уровнем

безопасности, используется для защиты высококритичных систем и

сервисов.

www.swivelsecure.com

Технология TURing • При входе в приложение Платформа выдает

10-тизначную Security string, которая

отображается в браузере

• На основе своего PIN’а и Security string

пользователь вычисляет код для

аутентификации (OTC)

• Технология имеет защиту от атак перебора

(bruteforce) и других автоматизированных

атак

Технология PINpad • При входе в приложение Платформа выдает

10-тизначную Security string, которая

отображается в браузере в виде сот

• Соты могут отображаться в любом дизайне

• Пользователь вводит свой PIN с

использованием мыши

• На сервер уходит сгенерированный OTC

• Технология имеет защиту от атак перебора

(bruteforce) и других автоматизированных

атак

Усиленная

аутентификация

demouser

****

www.swivelsecure.com

Применения Swivel: VPN

• SSL VPN

• IPSec

• RADIUS

• XML API

• AD Integration

• База знаний Swivel:https://kb.swivelsecure.com/wiki/index.php/Category:Integration

www.swivelsecure.com

Применения Swivel: VPN

Demouser

**********

****

www.swivelsecure.com

Применения Swivel: Веб-приложения

Web: • Swivel позволяет обеспечить защиту

любого сайта

• Работает в любом браузере

• Готовые решения для IIS и ISA

• OWA

SharePoint: • SharePoint

• Гибкое развертывание на SharePoint Applications

• Создает ‘Claims Token’

• SharePoint защищается посредством .NET http

фильтра

Domain\user name:

Password:

One-Time Code:

www.swivelsecure.com

Применения Swivel: Облака

• SAML • Возможна усиленная и

двухфакторная

аутентификация

• Совместимо с ADFS

• Одобрено Microsoft

• Microsoft Azure

• Identity kept local

www.swivelsecure.com

• Особое применение. Дает возможность контролировать доступ в облако

• Возможность контроля облака из собственной инфраструктуры

• Востребовано службами ИБ компаний, где внедряются облачные сервисы

DMZ Внутренние ресурсы

Интернет

ldP

Применения Swivel: Облака

www.swivelsecure.com

Одобрение Microsoft

“Двухфакторная аутентификация Microsoft

Office 365 использует* решения только двух

вендоров: RSA и Swivel”.

* - http://technet.microsoft.com/en-us/library/jj916649.aspx

Steve Patrick

www.swivelsecure.com

Применение Swivel: VDI и Desktop

• Terminal Service 2008

• Windows Desktop:

• GINA

• Credentials Provider

• VDI

• Citrix

• VM View 5.1

• Windows taskbar

application

www.swivelsecure.com

Swivel аппаратное решение (black box):

• Сервер Dell

• Автономное

• Active / Active (Data Centre redundancy)

• Active / Active & Active / Passive (Data Centre redundancy & Hardware redundancy)

• Active / Active & DR (Data Centre redundancy & DR site)

Виртуальное решение:

• Поддержка:

• VM Ware

• Hyper V

• Xen App Server

• Автономное

• Active / Active (Data Centre redundancy)

• Active / Active & DR (Data Centre redundancy & DR site)

Только ПО:

• Swivel требует Tomcat и JAVA оборудование

Swivel: Варианты развертывания

www.swivelsecure.com

Swivel: Ценообразование

Ценообразование

• Единоразовая оплата за ПО Swivel (бессрочная лицензия).

• Лицензирование по количеству пользователей.

• Цена за пользователя зависит от числа пользователей.

• Лицензия включает в себя весь функционал:

• SMS (PINsafe и PINless)

• Мобильные приложения (iPhone, Android, BlackBerry, Windows mobile)

• PINpad / TURing

• Credential Provider / GINA

Поддержка

• Ежегодная поддержка и плата за продление:

• 18% в год за обслуживание и поддержку (рабочее время UK).

• 40% в год за обслуживание и поддержку (24*7).

www.swivelsecure.com

Техподдержка в России

• Первая линия технической поддержки может осуществляться

как специалистами интеграторов, так и специалистами NGS

Distribution.

• В России есть сертифицированные специалисты по продукту,

прошедшие обучение в Великобритании

• Готовится курс по обучению сертифицированных специалистов

интеграторов в России

• На выбор заказчика может предоставляться техподдержка в

режиме 24х7 или 9х5

www.swivelsecure.com

Сертификация ФСТЭК

• Имеется положительное решение ФСТЭК на

сертификацию продукта

• Готовятся документы на сертификацию по ТУ и

НДВ 4 в системе ФСТЭК

• Ориентировочная дата получения сертификатов:

ноябрь 2013

www.swivelsecure.com

Основные требования к сертификации

• Клиент-серверная архитектура

• Проверка на НДВ

• Проверка в рамках ТУ требований по доступу и аутентификации:

• 152-ФЗ,

• Профиль защиты средства двухфакторной аутентификации,

• НПС,

• СТО БР ИББС,

• 27001,

• PCI DSS,

и др.

www.swivelsecure.com

21 приказ ФСТЭК по ПДн. Требования по

аутентификации «+»

+ другие требования

www.swivelsecure.com

Профиль защиты средства двухфакторной

аутентификации

www.swivelsecure.com

НПС (382-П)

www.swivelsecure.com

СТО БР ИББС

• 7.4.3. В организации БС РФ должны быть документально определены и утверждены

руководством, выполняться и контролироваться процедуры идентификации,

аутентификации, авторизации; управления доступом; контроля целостности;

регистрации событий и действий.

• Процедуры управления доступом должны исключать возможность

“самосанкционирования”.

…

• 7.4.11. В организации БС РФ должны применяться защитные меры, направленные

на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности

информации, необходимой для регистрации, идентификации, аутентификации и

(или) авторизации клиентов и работников организации БС РФ. Все попытки НСД и

НРД к такой информации должны регистрироваться. При увольнении или

изменении должностных обязанностей работников организации БС РФ, имевших

доступ к указанной информации, необходимо выполнить документированные

процедуры соответствующего пересмотра прав доступа.

…

www.swivelsecure.com

PCI DSS (Назначить уникальный идентификатор

каждому лицу, имеющему доступ к

информационной инфраструктуре)

8.1 Назначение пользователям уникальных

идентификаторов

8.2 Механизмы аутентификации пользователей

8.3 Механизм двухфакторной аутентификации

8.4 Передача и хранение паролей в зашифрованном виде

8.5 Процедуры аутентификации пользователей и

управления паролями учетных записей

8.5.1 Контроль над добавлением, удалением и

изменением объектов идентификации

8.5.2 Проверка подлинности пользователя перед сменой

пароля

8.5.3 Установка уникального первоначальный пароль и его

смена при первом входе в систему

8.5.4 Отзыв доступа при увольнении пользователя

8.5.5 Удаление/блокировка неактивных учетных записей

8.5.6 Контроль над учетными записями поставщиков

8.5.7 Информирование пользователей о положениях

парольных политик и процедур

8.5.8 Запрет использования групповых, разделяемых и

стандартных учетных записей и паролей

8.5.9 Периодичность изменения пароля пользователя

8.5.10 Длина пароля

8.5.11 Использование в пароле цифровых и буквенных

символов

8.5.12 Запрет выбора использованного ранее пароля

8.5.13 Блокировка учетной записи после неудачных

попыток ввода пароля

8.5.14 Период блокировки учетной записи

8.5.15 Блокировка рабочей сессии

8.5.16 Аутентификация доступа к базе данных,

содержащей данные о держателях карт

www.swivelsecure.com

Наши заказчики

www.swivelsecure.com

Резюме

• Платформа аутентификации Swivel – первое поданное на

сертификацию в системе ФСТЭК России решение бестокенной

аутентификации

• Решение уже является де-факто стандартом бестокенной

аутентификации в мире

• Решение представляет собой единую платформу аутентификации,

покрывающую потребности в аутентификации всех сервисов компании

• В России действует собственное представительство Swivel Secure в

лице ООО «Свивэл Секьюрити»

Вопросы?

Power of knowing…