Оценка защищенности ПО Avanpost FAM от F.A.C.C.T.: миссия пройдена
Москва, Россия, 26 декабря 2024 года — Компания Avanpost, российский вендор в области безопасности идентификационных данных, успешно прошла анализ защищенности своего программного обеспечения Avanpost FAM/MFA+. Работы выполнялись одним из лидеров в области кибербезопасности — компанией F.A.C.C.T.
Продукты Avanpost FAM и Avanpost MFA+ активно применяются для обеспечения безопасной удалённой и гибридной работы компаниями от нескольких десятков пользователей до сотен тысяч сотрудников. Именно поэтому в продуктах линейки аутентификации предусмотрен целый ряд архитектурных решений для максимально безопасного размещения интерфейсов продукта, публикуемых в интернет.
Проведенное тестирование подтвердило высокий уровень защищённости решений Avanpost FAM и Avanpost MFA+. В ходе тестирования были проведены проверки по различным значимым направлениям безопасности, такие как нарушение контроля доступа, сбои криптографии, внедрение кода, небезопасный дизайн, неправильную конфигурацию, уязвимые и устаревшие компоненты, подделку запросов на стороне сервера, а также ошибки идентификации и аутентификации.
В целом методика анализа защищенности веб-приложений, примененная при тестировании ПО Avanpost FAM/MFA+, основывается на OWASP Top 10 и 20-летнем опыте компании F.A.C.C.T. Для тестирования был подготовлен стенд с типовой схемой размещения Avanpost FAM/MFA+ с применением специализированных компонентов (Avanpost FAM SelfService, Avanpost FAM Mobile Services) для безопасной публикации API и веб-интерфейсов продукта в интернет.
«В ходе анализа защищенности веб-приложения был выполнен поиск уязвимостей в механизмах аутентификации и авторизации, таких как OAuth2/OpenID и SAML в режиме Identity Provider, а также протестировано API мобильного приложения Avanpost Authenticator, и все работы были проведены успешно, — рассказал Евгений Янов, руководитель департамента аудита и консалтинга компании F.A.C.C.T. — Выявленные при тестировании незначительные недостатки не могут негативно повлиять на уровень безопасности инфраструктуры заказчиков при соблюдении ими рекомендаций и указаний, приведенных в документации на продукт».
«Мы постоянно инвестируем в повышение защищенности ПО Avanpost и продолжим работу по его совершенствованию, чтобы обеспечивать клиентам надежную защиту данных. Базой каждого нашего продукта являются технологические знания, а также философия ответственности перед клиентами. Это означает, что мы стремимся не только к созданию высококачественного программного обеспечения, но и к формированию доверительных отношений, которые основаны на прозрачности и заботе о безопасности данных пользователей», — комментирует технический директор Avanpost Александр Махновский.
Avanpost Federated Access Manager (сокращённо Avanpost FAM) — флагманское on-premise решение класса Enterprise IAM (Enterprise Identity & Access Management) производства компании Avanpost с развитой поддержкой федерации и масштабирования для крупных геораспределённых, гибридных и кластеризованных инфраструктур. «Любое средство защиты информации должно эффективно решать задачи бизнеса и выполнять свое предназначение — это закон. И тот факт, что само СЗИ должно быть хорошо защищено — это тоже закон. Для нас контроль и повышение защищённости наших продуктов — каждодневный, рутинный процесс. Прохождение тестирования на проникновение стало для нас подтверждением, что архитектура Avanpost FAM/MFA+, применённая в продукте для публикации интерфейсов аутентификации в интернет, позволяет обеспечить высокий уровень защиты данных сотрудников и не создаёт дополнительных рисков безопасности для инфраструктур наших заказчиков», — говоритДмитрий Грудинин, руководитель развития продуктовой линейки аутентификации Avanpost FAM/MFA+.
О компании Avanpost Avanpost — российский вендор в области безопасности идентификационных данных. Компания помогает бизнесам перейти от разрозненных систем аутентификации к единому подходу к безопасности. Все продукты Avanpost — результат собственных разработок с нуля, без использования open source технологий. Они сертифицированы ФСТЭК и включены в реестр отечественного ПО, что гарантирует соответствие самым высоким стандартам безопасности, а также применимы в ГИС, ИСПДн, КИИ, КВО.
F.A.C.C.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.C.C.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB. В основе технологического лидерства F.A.C.C.T. — 20-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT. Решения компании основаны на знаниях, полученных в ходе реагирований на инциденты и исследований киберпреступности. Они обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.C.C.T. входят в реестр отечественного ПО.
Обращайтесь к нам для получения дополнительной информации:
Седаков Павел Руководитель по коммуникациям (Россия и СНГ) +7 909 979 87 77 sedakov@facct.ru