Современное состояние рынка разовых паролей
Валерий Васильев, PC Week/RE №46
"Черные" хакеры становятся наглее, растет их техническая и организационная подготовка. Они нацелены на персональную информацию (хранимые на корпоративных серверах постоянные пароли и номера социального страхования, адреса электронной почты, учетные записи) и используют эти данные для незаконного обогащения. По этой причине слабые, редко изменяемые или просто одни и те же пароли для доступа к разным ресурсам превращаются в факторы высокого ИБ-риска и важной причиной взлома информационных систем.
Многие пользователи записывают свои пароли и pin-коды на клочках бумаги, в памяти КПК и мобильных телефонов, на флэшках и оставляют эти записи в легко доступных для злоумышленников местах. Их без особого труда находят специалисты по социальной инженерии и "разгребатели мусора". Злоумышленники используют и более изощренные технологии — взлом паролей, фишинг, снифинг, атаки типа "человек посередине" и т. д.
По этим причинам в настоящее время рынок устройств аппаратной аутентификации, использующих многофакторную идентификацию, которая позволяет противостоять перечисленным выше методам атак и существенно снижает возможность кражи паролей, все больше привлекает внимание корпоративных пользователей.
Главные результаты исследований
Согласно данным аналитической компании Frost & Sullivan, в 2008 г. объем мирового рынка разовых паролей (One Time Password, OTP) оценивался в 430 млн. долл. и может составить в 2015 г. 690,4 млн. долл. (см. диаграмму 1), демонстрируя за этот период среднегодовой рост в 7,8%. По оценкам экспертов, этот рынок остается развивающимся. Главным стимулом его развития является усиливающаяся тенденция замены устройств аппаратной аутентификации смарт-картами и усилением спроса на ПО для средств OTP корпоративного и розничного применения.
Аппаратная аутентификация по-прежнему активно используется в решениях для вертикальных рынков, где на вертикали (к примеру, здравоохранение и рынки, использующие электронные банковские транзакции) дополнительно действуют регулятивные требования (такие как закон HIPPA и стандарт PCI DSS). Продукты OTP хорошо себя чувствуют также в государственных учреждениях.
Такие компании как, к примеру, RSA, Vasco, Aladdin Knowledge Systems и ActivIdentity, понимают, что аутентификация сегодня опирается не только на устройства, поэтому, чтобы удовлетворить специфические запросы разных заказчиков, они объединяют несколько решений для аутентификации. Многие вендоры добавили к своим продуктам USB-токены, смарт-карты, ПО для OTP и системы управления аутентификацией.
Проведенный в 2008 г. компанией Frost & Sullivan опрос 20 вендоров аппаратной аутентификации показал, что укоренившиеся здесь игроки, в частности RSA и Vasco Data Security International, продолжают лидировать, сохраняя за собой около 80% рынка, при этом важно отметить, что 62% рынка принадлежат RSA. Конкуренцию лидерам составляют активные вендоры смарт-карт. Frost & Sullivan отмечает рост применения смарт-карт из-за признания инфраструктуры открытых ключей (PKI) и потребности хранить личные ключи в безопасном и портативном устройстве, способном одновременно служить для контроля физического доступа.
Эксперты отмечают, что рынок OTP чутко реагирует на цены продуктов благодаря разнообразию лицензионных стратегий его участников. Вендоры сочетают различные межплатформенные технологии и схемы лицензирования, которые влияют на стоимость предлагаемых ими продуктов. Растут масштабы внедрений, растет число заказов, что ведет к снижению стоимости токенов. Тем не менее ввиду большого количества предлагаемых многоуровневых решений стоимость токенов варьируется в широких пределах. В 2008-м этот диапазон простирался от 3 до 90 долл. в зависимости от числа покупаемых токенов и реализуемых с их помощью опций.
Ввиду схожести существующих решений аппаратной аутентификации для достижения конкурентных преимуществ многие вендоры обращают внимание на пограничные варианты своих предложений. Крупные вендоры, предлагающие различные варианты аппаратных аутентификаторов, сегодня сосредоточены на разработке и усовершенствовании систем управления аутентификацией, которые они предлагают вместе со своими решениями аппаратной аутентификации. Эти системы позволяют развертывать и управлять устройствами, имеющими различные конструкции.
Многие вендоры предлагают системы управления как самостоятельные продукты или как отдельные компоненты полных решений, ориентируясь на спрос в управлении аутентификацией. Основная часть лидирующих вендоров рассматривает используемые для аутентификации токены только как одно из звеньев в цепи многих инструментов обеспечения безопасности, отвечающих современных корпоративных запросам в области ИБ.
Конкуренция
До недавнего времени рынок OTP был самым большим сегментом рынка средств строгой аппаратной аутентификации. Это привело к тому, что многие вендоры пришли на этот рынок с различными OTP-решениями, ориентированными именно на строгую аутентификацию. Компанию RSA, которая рынке OTP с самого начала, считают основателем OTP-токенов. Такие вендоры, как Vasco и Secure Computing (приобретенная компанией Aladdin), пытались конкурировать с RSA, снижая цены на токены до 3 долл. (при крупных закупках) и продвигая решения OTP в сегменте СМБ. Хотя эта тактика приводила к победе в отдельных сделках, RSA продолжает доминировать на рынке.
В 2008 г. главной угрозой для RSA стали не традиционные OTP-вендоры, а разработчики, предлагающие альтернативные классическим OTP-токенам продукты, заполнившие рынок строгой аутентификации: аутентификация на базе ПО, биометрические сканеры, USB-токены. В ответ на это RSA добавила в свой продуктовый портфель и такие продукты.
Начиная с 2007 г. на рынке OTP не появилось новых крупных вендоров. Причину эксперты видят в большом количестве игроков, предлагающих как на мировом рынке, так и на локальных рынках свои OTP-решения по весьма конкурентным ценам. На рис. 2 отражена расстановка сил на рынке OTP.
Особенности российского рынка OTP
Как отмечает Антон Крячков, директор по продуктам российской компании Aladdin, в нашей стране технология OTP стартовала с заметным отставанием от стран с развитой экономикой, и оказалась востребованной в крупных предприятиях и организациях, далеко не всегда относящихся к кредитно-финансовой сфере (как это было в передовых странах), и до сих пор в России по объёмам поставок они остаются основными потребителями OTP, заметно опережая кредитно-финансовую отрасль. Как следствие, отмечает г-н Крячков, ведущими игроками российского рынка OTP являются компании, разрабатывающие корпоративные решения на основе аутентификации с применением динамически создаваемого, единожды используемого пароля.
Аналитики отмечают активное развитие ОТР-токенов в России и высоко оценивают его перспективы, обращая внимание на три стимулирующих развитие этого направления аспекта. Первый — рост спроса среди организаций кредитно-финансовой сферы, продиктованный стремлением к усилению защищенности банковских сервисов. Второй — распространение средств мобильной коммуникации (телефонов с поддержкой Java, смартфонов на базе Symbian OS, Windows Mobile, BlackBerry), позволяющих загружать в память и исполнять программные генераторы OTP, эмулирующие функциональность ОТР-токенов. Эксперты считают, что это — удобный способ аутентификации, поддерживающий мобильность и обеспечивающий приемлемый уровень защиты доступа. Третий и, по мнению экспертов, наиболее важный аспект — довлеющая сегодня над российским рынком ИБ необходимость соответствия требования регуляторов.
В поисках схем аутентификации удалённых пользователей, альтернативных строгой аутентификации на основе PKI-технологий, банки оценили плюсы OTP-аутентификации: OTP-токены дешевле и проще в развертывании и эксплуатации по сравнению с PKI.
Как считают в компании Aladdin, средства аутентификации на базе ОТР окончательно займут свою нишу на российском ИТ-рынке в течение ближайших двух-трех лет (на западных рынках этот процесс фактически завершён). Рост спроса продолжится, на что будет влиять острая необходимость поиска недорогих и эффективных решений, оптимальных по соотношению цена/качество. Сдерживающим фактором дальнейшего распространения ОТР-токенов, по мнению аналитиков, станет переход в фазу зрелости российского банковского бизнеса (эту тенденцию уже наблюдают в сегменте крупных корпоративных заказчиков). На смену OTP придут средства строгой аутентфикации, аппаратно поддерживающие российскую криптографию, интегрированные в инфраструктуру открытых ключей. Пока этого не произойдет — рынок автономных генераторов одноразовых паролей будет насыщаться.
Новых игроков эксперты на российском рынке OTP не ожидают. Однако возможно перераспределение сил вследствие ухода одного из поставщиков с рынка, причиной чему может послужить его недостаточное внимание к требованиям регуляторов. Долевое перераспределение также может произойти из-за слияний или поглощений игроков.