Duo Security vs Protectimus: Функционал

В статье “Duo Security vs. Protectimus” мы коснулись всех сторон и возможностей решений двухфакторной аутентификации Duo и Protectimus. Были рассмотрены технологии, которые используют компании, средства доставки одноразовых паролей, наличие API и готовых плагинов для интеграции, цены, доступность решений on-premises или в облаке, а также косвенно упомянуты основные функции решений.

В этой статье мы подробно описали каждую функцию, доступную администраторам и пользователям сервисов мультифакторной аутентификации Duo и Protectimus. Для удобства навигации, воспользуйтесь этой таблицей.

Пользовательский селф-сервис Пользовательский селф-сервис
Географические фильтры Географические фильтры
Контроль доступа по IP или сети Адаптивная аутентификация
Разные правила доступа в зависимости от должности Разграничение и делегирование полномочий в системе
Мониторинг и идентификация опасных устройств Возможность назначать разным пользователям разные типы токенов
Временные фильтры
Функция подписи данных CWYS

Duo Security


Note: Практически все функции, рассматриваемые в этом пункте, активируются только в самых дорогих тарифных пакетах Duo — Access и Beyond. Селф-сервис доступен уже в минимальном тарифном пакете Duo MFA.

Пользовательский селф-сервис


Пользователи могут сами выпускать токены и управлять ими. Это экономит время администратора, а экономия времени администратора — это экономия бюджета компании, что хорошо.

Географические фильтры


Позволяет администратору открыть доступ к своему ресурсу только из определенной геолокации. Или, наоборот, запретить доступ из отдельных стран (например, из Северной Кореи).

Контроль доступа по IP или сети


Эту функцию в Duo еще называют адаптивной аутентификацией. У администратора есть возможность заблокировать доступ к ресурсу из анонимных сетей (например, Tor). Также можно запретить или разрешить доступ определенному диапазону IP-адресов.

Разные правила доступа в зависимости от должности


Возможность ужесточить правила аутентификации для отдельного пользователя или группы пользователей в зависимости от их должности и уровня доступа к данным. Например, бухгалтер для входа в систему сможет выбрать любой из способов аутентификации — SMS, Push или ввести одноразовый пароль с приложения, а администратор сети должен обязательно пользоваться только аппаратным токеном.

Мониторинг и идентификация опасных устройств

Это уникальная технология, которая позволяет следить за “гигиеной” смартфонов пользователей, на которых установлено приложение Duo Mobile. С помощью этой системы можно контролировать насколько хорошо защищено устройство: активирована ли биометрическая аутентификация и скринлокеры; установлен ли антивирус; какая используется операционная система, браузеры, плагины, обновляются ли они; личное ли это устройство или корпоративное; рутировано ли устройство и т.п. Администратор может запретить доступ к системе с устройства, которое не соответствует определенным требованиям (например, если не установлен антивирус).

Protectimus


Note: Все функции, рассматриваемые в этом пункте, доступны во всех тарифных планах и даже в бесплатном тарифном плане Protectimus Free.

Пользовательский селф-сервиc


Функция, которая снимает нагрузку с системного администратора, позволяя экономить его время и, соответственно, деньги компании. Пользователи сами выпускают себе токены и управляют ими.

Географические фильтры


Возможность открыть доступ только из определенных стран. Также можно запретить доступ из избранных стран.

Временные фильтры


Эта функция позволяет открывать доступ к ресурсу только в определенные часы, например, только в рабочее время. Такой подход значительно повышает уровень защиты аккаунтов от несанкционированного доступа. Отлично подходит для корпоративного сектора, даже если сотрудник забыл токен на рабочем месте, никто не сможет войти в его аккаунт в нерабочие часы.

Адаптивная аутентификация


Эту функцию можно еще назвать интеллектуальной идентификацией или анализом окружения пользователя. Мы создали ее для удобства конечных пользователей в системах, где подобная лояльность допустима. Никто не любит вводить одноразовые пароли, поэтому мы научились анализировать окружение пользователя (название и версию браузера, операционную систему и язык системы, размер окна и разрешение экрана, глубину цвета, наличие или отсутствие Java, плагины и т.п.) и запрашивать одноразовый пароль только когда допустимы порог несовпадений превышен.

Разграничение и делегирование полномочий в системе

Ресурсы служат для логического объединения пользователей в группы и удобного управления ими. В рамках одного аккаунта можно создать несколько ресурсов, а также назначить разных администраторов для управления разными ресурсами.

Рассмотрим как это работает на примере платежной системы. У платежной системы есть 2 задачи — защитить обычных пользователей и защитить админ панели. Для пользователей двухфакторная аутентификация должна быть, в первую очередь, удобной. Доступ к админке должен быть защищен максимально надежно.

В этом случае для обычных пользователей в сервисе Protectimus создается отдельный ресурс, где им предоставляется возможность выбора токенов (можно заказать аппаратный OTP токен, скачать программный токен или подключить чат-бот Protectimus в любом мессенджере). А для защиты аккаунтов администраторов, разработчиков и службы поддержки в рамках этого же аккаунта в сервисе Protectimus создается другой ресурс с более строгими правилами аутентификации — устанавливаются временные и географические фильтры и подключаются только аппаратные токены. Так можно удобно управлять разными группами пользователей и устанавливать разные требования безопасности в зависимости от уровня доступа конкретной группы к чувствительным данным.

Возможность назначать разным пользователям разные типы токенов


Как описано выше, используя механизм распределения пользователей по ресурсам, администраторы могут контролировать свободу выбора средств доставки одноразовых паролей пользователями. Также администратор может сам создавать и назначать токены каждому пользователю отдельно, если это необходимо.

Функция подписи данных CWYS (Confirm What You See)

Функция CWYS защищает от фишинга, атак человек-посередине, автозаливов, инжектов и прочего зловредного ПО, целью которого является перехват одноразовых паролей. Одноразовые пароли генерируются на основе текущих данных операции, которую совершает пользователь. Например, если речь идет о денежном переводе, при генерации OTP пароля учитывается сумма, валюта, данные получателя. Таким одноразовым паролем можно подтвердить только ту операцию, которую действительно совершает пользователей. Даже если злоумышленник перехватит такой пароль, он не сработает для подтверждения нелегальной транзакции. Больше о том как работает функция CWYS читайте тут.

Выводы

В сервисах строгой аутентификации Duo и Protectimus доступно много похожих функций: пользовательский селф-сервис, географические фильтры, адаптивная аутентификация, возможность устанавливать разные требования к аутентификации для пользователей с разным уровнем доступа.

Но есть и отличия. Специфика решения Duo Security, где основным способом доставки OTP служит мобильное приложение, стала причиной разработки системы мониторинга устройств пользователей и выявления проблем с защитой этих устройств. В сервисе Protectimus такой функции нет. Но есть возможность подписи данных (CWYS), просто не заменимая для платежных и банковских сервисов, а также фильтры по времени, которые в разы повышают эффективность защиты корпоративной инфраструктуры.

Функции

Duo

Protectimus

Селф-сервис да да
Географические фильтры да да
Временные фильтры нет да
Адаптивная аутентификация да да
Возможность устанавливать разные требования к аутентификации для пользователей с разным уровнем доступа да да
Мониторинг и идентификация опасных устройств да нет
Подпись данных нет да

Читайте также

Источник фото и лого: duo.com

Author: Cyber Max

Макс может похвастаться огромным опытом в разных направлениях IT. Но его основной интерес направлен на разработку решений для финансового сектора, мобильных приложений и решений информационной безопасности. В своих предыдущих проектах Макс успел побывать в роли инициатора, разработчика, руководителя, менеджера проекта и совладельца.

Share This Post On

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This