Безопасность и поведенческая биометрия

В настоящее время неверная идентификация пользователя является составной частью, а часто и основной причиной большинства инцидентов безопасности. Поведенческая биометрия, оставаясь невидимой, становится мощным средством противодействия несанкционированному доступу к системе, даже если злоумышленник имеет все соответствующие логины и пароли.

Поведенческая биометрия довольно просто определяется как «технология, которая анализирует поведение пользователя, чтобы установить его личность».

Современные системы аутентификации уже используют непрерывное машинное обучение (machine learning), чтобы построить профиль уникальных поведенческих ритмов каждого пользователя на каждом устройстве, которое он использует, и затем негласно применять его для идентификации, – как при входе в систему, так и в течение всего рабочего дня, – охраняя организацию и при этом не замедляя работы пользователей.

SecureAuth

Основанная в 2005 г. калифорнийская компания SecureAuth обеспечивает контроль доступа к мобильным устройствам, облачным и web-приложениям и сетевым ресурсам. К настоящему времени компания обслуживает более 1100 клиентов по всему миру и является партнером McAfee, Cisco, Juniper Networks и Citrix.

В 2013 г. Gartner впервые включила SecureAuth в свой Magic Quadrant for User Authentication и в обзор MarketScope по средствам управления web-доступом.

Magic Quadrant for User Authentication. Если в 2013 г. SecureAuth была примерно в середине тесной тогда толпы нишевых игроков, то уже на следующий год она (вместе со многими из них) вошла в число «визионеров» и вплотную подобралась к сегменту лидеров, опередив признанного безопасника CA Technology и существенно отставая только от таких грандов в данной области, как SafeNet и EMC (RSA)

Основной продукт компании – Identity Provider (IdP), который вышел уже в восьмой версии. Он использует поведенческую биометрию при идентификации пользователя и может быть встроен в рабочие приложения для непрерывного контроля.

Продукт поддерживает более 20 методов многофакторной аутентификации, в том числе для SMS, текстовых сообщений, телефонии, сессий вопросов и ответов, а также диалогов в окне электронной почты. IdP допускает блокирование определенных диапазонов IP-адресов и настраивает различные рабочие процессы для доверенных компьютеров и сетей общего пользования. Он также интегрируется с различными корпоративными каталогами и хранилищами данных (Microsoft Active Directory и LDAP, Microsoft SQL, Lotus Notes, OpenLDAP, Novell eDirectory и др.).

В 2011 г. General Services Administration (GSA), независимое агентство правительства США, внедрило его для 17 тыс. своих сотрудников, использующих облачные сервисы Google. SecureAuth получила несколько патентов на способы аутентификации и несколько раз награждалась как «самая инновационная компания года» и за «лучший продукт в своем классе».

СЕО компании Крейг Лунд (Craig Lund, слева) и СТО Гаррет Граек (Garret Grajek) получают свою первую награду за лучшее решение по мнению пользователей – People's Choice Stevie Award for Favorite Security Solution (сентябрь 2012)

Как это работает

Начальный экран входа в Windows 8 с IdP 8.0. OTP – One-Time Password. Больше IdP себя никак не проявляет

IdP анализирует текущий образец поведения пользователя незаметно для человека, сравнивает его с сохраненным профилем и определяет уровень расхождений, который затем включается в более широкое вычисление риска. Если полный риск достаточно низок, опознавательные процедуры упрощаются.

Но если одна или больше проверок вызывают подозрение, IdP требует более сложной мультифакторной аутентификации. Таким образом, SecureAuth IdP выводит планку адаптивного установления подлинности личности на новый уровень, добавляя поведенческую биометрию к другим методам анализа степени риска.

Каждый человек проявляет уникальный образец поведения, взаимодействуя с данной клавиатурой и мышью (а теперь и с сенсорными экранами и тачпадами). IdP собирает поведенческую биометрию нормальных образцов взаимодействия каждого пользователя на каждом устройстве, которое он использует, и строит соответствующий профиль.

Для этого анализируется характер каждого нажатия клавиши (например, время ее удержания) и время перехода к следующему нажатию, так же как и характер движений мыши. Результат расчета риска – вероятность того, что войти в систему пытается человек, имеющий соответствующие права доступа.

Кроме клавиатуры и мыши, в случае использования чувствительного к нажатиям дисплея оцениваются особенности выполнения этих нажатий

Компания нашла хорошую образную аналогию – «слои безопасности, как пуленепробиваемый жилет, обеспечивают лучшую защиту, чем какой-либо один из них»

SecureAuth IdP предлагает больше способов исследований риска, чем другие системы этого класса, включая не только поведенческую биометрию, но и распознавание устройства, соответствие IP-адреса, характер просмотра папок, географическое расположение, скорость доступа и др.

Наиболее часто встречающийся пример – законный пользователь ушел на обед, но забыл выйти из системы. Злоумышленник садится на его место и пытается получить доступ к данным, поскольку ему не требуется входить в систему с самого начала.

Но характер нажатия клавиш и движения мыши не соответствуют поведенческому биометрическому профилю законного пользователя. IdP потребует все усложняющейся аутентификации, мешая нападающему и сохранив и скрыв перед этим уязвимые данные. Кстати, нет упоминаний о том, что это может вызвать тревожный сигнал в соответствующее подразделение компании, но технически это сделать не представляет особого труда.

От теории к практике

В этом заключении с набившим оскомину банальным названием я хотел только заметить, что одной из основных характеристик бизнеса является скорость. Как в свое время сказал Уоррен Баффет, «если вы не делаете быстро, вы вообще ничего не делаете».

Чуть больше года назад в КО появился блог, посвященный современным методам аутентификации. Не нужно думать, что «все уже так делают», а мы безнадежно отстали. Основой того блога была статья в уважаемом Network World от января 2015 г., которая просто искрила оптимизмом по поводу появляющихся технологий безопасности.

Но вот прошел год, и мы видим красивое, боевое решение, успешно прошедшее испытание у многочисленных клиентов и партнеров. Безусловно, оно было бы очень востребовано и отечественными предприятиями и организациями, – в государственных структурах, медицине, банках и страховых компаниях, многих коммерческих отраслях. И, конечно, хочется верить, что они заинтересуются, – если не этим, то другими подобными решениями данного класса.