Разработчики: | VK (ранее Mail.ru Group) |
Дата премьеры системы: | 2021/12/22 |
Дата последнего релиза: | 2022/11/16 |
Технологии: | ИБ - Аутентификация, ИБ - Предотвращения утечек информации |
Содержание |
Основные статьи:
- Многофакторная (двухфакторная) аутентификация
- DLP - Data Loss / Leak Prevention - Технологии предотвращения утечек конфиденциальной информации
2022
Усиление защиты аккаунтов с помощью двухфакторной аутентификации
16 ноября 2022 года VK поделилась результатами запуска программы по защите пользователей своих цифровых сервисов VK Protect, которая была запущена в конце 2022 года. Ранее в рамках неё компания расширила применение двухфакторной аутентификации, позволила пользователям более гибко управлять своими данными, начала уведомлять об утечках паролей в сторонних сервисах — и многое другое.
Забота о безопасности пользователей — основной приоритет для VK. Аудитория только ВКонтакте (по данным на ноябрь 2022 года) составляет более 100 млн человек в мире, это крупная социальная сеть в России. VK осознаёт, что несёт большую ответственность за безопасность каждого из пользователей. Поэтому VK не только растит технологическую экспертность, но и внедряет обновления, чтобы обеспечить их передовыми способами защиты данных, а также проводит ряд образовательных инициатив, направленных на развитие цифровой культуры, отметил Рустэм Газизов, директор департамента защиты клиентов VK, директор по безопасности ВКонтакте.
|
По данным VK, количество пользователей ВКонтакте, подключивших двухфакторную аутентификацию, выросло на 30%. В Одноклассниках этот показатель вырос на 12% за аналогичный период. В Почте Mail.ru — на 9%. С 2022 года двухфакторную аутентификацию подключили более 5 млн пользователей сервисов VK.
Двухфакторная аутентификация обеспечивает защиту, добавляя дополнительный этап верификации входа (по SMS, звонку или с помощью генератора одноразовых паролей). По данным VK, подавляющее большинство попыток взломов было инициировано на аккаунтах, не имеющих двухфакторную аутентификацию, что подтверждает эффективность этой меры безопасности. В сервисах VK, а также партнёров двухфакторная аутентификация обеспечивается через единую систему входа VK ID.
Двухфакторная аутентификация является одной из самых эффективных мер для сокращения риска компрометации аккаунта. Однако при этом пользователи, к сожалению, редко задумываются о подключении этой функции, пока сами не станут жертвами взлома. Пароль может попасть в руки злоумышленнику разными путями, например в результате фишинговой атаки. Кроме того, утечки паролей происходят регулярно, а базы с утёкшими данными часто оказываются в публичном доступе, и если человек использует один пароль в разных сервисах, то его аккаунты оказываются под угрозой. Поэтому VK, партнёру по информационной безопасности, удалось меньше чем за год так существенно повысить количество защищённых пользователей, отметила Екатерина Килюшева, руководитель группы аналитики информационной безопасности Positive Technologies.
|
С момента запуска в августе 2022 года инициативы по уведомлению пользователей о необходимости сменить пароль из-за обнаружения его в базах утечек сторонних сервисов такие оповещения получили более 1,5 млн профилей. А после усложнения требований к паролям более 3,5 млн пользователей сменили пароли на более сложные через кабинет VK ID. VK регулярно анализирует скомпрометированные базы данных и оперативно уведомляет пользователей об утечке. Этот процесс полностью автоматизирован, вся информация обрабатывается исключительно в зашифрованном виде.
Внедрение функции для защиты аккаунтов и персональных данных
В рамках программы защиты данных VK Protect социальная сеть внедрила специальную функцию, чтобы обезопасить аккаунты и личную информацию пользователей от недобросовестных разработчиков сторонних приложений. Об этом сообщила компания ВКонтакте 12 апреля 2022 года.
Данная функция поможет защитить личные данные от недобросовестного использования и утечек, а также предотвратить взлом профилей через потенциально опасные приложения, которые могут применяться для вредоносных действий, рассылки спама и сбора конфиденциальной информации.
В целях безопасности функция защиты будет включена по умолчанию для пользователей ВКонтакте на устройствах с Android. Она не повлияет на работу официального приложения VK, а также альтернативных клиентов от сторонних разработчиков — если приложения были созданы с помощью открытых методов API, разрешённых социальной сетью. Их разработчики могут связаться с Поддержкой ВКонтакте, чтобы добавить надёжные средства защиты в альтернативные приложения и обезопасить аудиторию сервиса.
Обновления стали частью глобальной инициативы VK Protect — она объединяет все технологические решения, которые обеспечивают защиту в сервисах экосистемы VK. Обновленная функция доступна на Android и основана на технологии SafetyNet.
ВКонтакте поддерживает инициативу Ассоциации профессиональных пользователей соцсетей и мессенджеров (АППСИМ) и неравнодушных интернет-пользователей в борьбе с пиратскими приложениями. Команда соцсети всегда уделяла внимание вопросам безопасности, в частности, мы давно ведём разработку функции защиты от таких сервисов, и на начало апреля 2022 года действительно актуальное время для её запуска.
Безопасность пользователей и их данных — ключевой приоритет для нашей команды. Мы хорошо понимаем, как важно идти на опережение и находить решения для защиты от угроз до того, как они причинят вред. Отвечая за месячную аудиторию больше 100 миллионов пользователей, мы не забываем и про человеческий фактор. На первый взгляд не всегда легко распознать мошенника: обещания особых функций вроде возможности посмотреть «гостей страницы» могут перевесить чувство самосохранения. И если у себя на платформе мы можем заблокировать таких злоумышленников, для внешних угроз важно создавать специальные технические решения. Так появилась функция защиты. Мы ожидаем, что она поможет значительно повысить безопасность пользователей ВКонтакте, сказал Александр Тоболь, технический директор ВКонтакте.
|
В основе продуктов VK лежат открытость, безопасность и удобство распространения информации. В 2021 года мы запустили обновлённую программу защиты данных пользователей — VK Protect. Её цель — помочь людям эффективно управлять приватностью и использовать инструменты для защиты информации. Мы подходим к вопросу безопасности комплексно: занимаемся не только обеспечением технической защиты, но и просвещением. VK объединяет крупные коммуникационные площадки в стране, прокомментировал Алексей Волков, директор по информационной безопасности VK.
|
2021: Запуск VK Protect
VK 22 декабря 2021 года запустил программу защиты пользователей и их данных — VK Protect. Программа объединит все технические решения, которые обеспечивают защиту в рамках экосистемы VK, и поможет людям управлять приватностью и использовать инструменты для защиты информации.
Мы создаем комплексную систему повышения безопасности пользователей. Наша цель — не просто обеспечить техническую защиту профилей и данных с помощью существующих инструментов, таких как двухфакторная аутентификация и шифрование, но и помочь людям грамотно ими пользоваться. VK объединяет крупнейшие коммуникационные площадки в стране, поэтому нам под силу повысить уровень осведомленности о безопасности и ответственного отношения к своим данным среди всех пользователей рунета, – сказал Антон Антропов, директор по информационной безопасности VK. |
В рамках VK Protect компания расширила применение двухфакторной аутентификации. Благодаря VK ID она доступна во всех сервисах экосистемы VK, где есть авторизация через единую учётную запись, а также при входе на сторонние партнерские сайты и в приложения. Улучшенная защита доступна всей многомиллионной аудитории экосистемы VK. Подключить ее можно в настройках личного кабинета VK ID.
Для администраторов сообществ ВКонтакте с более чем 10 000 подписчиков двухфакторная аутентификация станет обязательной в феврале 2022 года. Таких сообществ на площадке на декабрь 2021 года более 140 тысяч. Это поможет дополнительно защитить сообщества, где администраторы ещё не включили двухфакторную аутентификацию.
Единые сервисы безопаснее и надежнее, чем десятки разных учеток, за каждой из которых надо следить отдельно. В личном кабинете VK ID можно управлять подключенными к аккаунту проектами, завершать сессии VK ID — или менять пароль, если заметишь подозрительную активность. Двухфакторная аутентификация — еще один дополнительный слой защиты для всех, — отметил Рустэм Газизов, директор по информационной безопасности ВКонтакте. |
В начале 2021 года Центр появится в личном кабинете VK ID. В нем можно будет подключить опции для повышения безопасности аккаунта и узнать, как ответственно управлять своими данными. Например, можно будет оценить статус безопасности своей учетной записи VK ID и получить персональные рекомендации по защите данных. Кроме того, в нем появятся гибкие настройки уровней приватности и доступа.
В основе наших продуктов лежат открытость, безопасность и удобство распространения информации. Мы постоянно боремся с фишингом и максимально оперативно оповещаем наших пользователей о любой подозрительной активности. Мы планируем и дальше развивать это направление — вкладывать в него ещё больше ресурсов и активно просвещать пользователей рунета, – добавила Ольга Фролова, директор по экосистемным продуктам VK. |
В рамках инициативы VK Protect также планируется перезапуск программы по выплатам исследователям безопасности (Bug Bounty) ВКонтакте и VK ID: она будет расширена, а уровень вознаграждения — повышен.
Подрядчики-лидеры по количеству проектов
Инфосистемы Джет (66)
Softline (Софтлайн) (57)
SearchInform (СёрчИнформ) (54)
ДиалогНаука (44)
Информзащита (40)
Другие (923)
Инфосистемы Джет (5)
Национальный аттестационный центр (НАЦ) (4)
Солар (ранее Ростелеком-Солар) (4)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Другие (62)
Солар (ранее Ростелеком-Солар) (8)
SearchInform (СёрчИнформ) (4)
А-Реал Консалтинг (3)
Информзащита (3)
BI.Zone (Безопасная Информационная Зона, Бизон) (2)
Другие (44)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
SearchInform (СёрчИнформ) (19, 58)
InfoWatch (ИнфоВотч) (14, 49)
Солар (ранее Ростелеком-Солар) (4, 48)
FalconGaze (Фалконгейз) (1, 38)
Positive Technologies (Позитив Текнолоджиз) (8, 37)
Другие (408, 310)
R-Vision (Р-Вижн) (1, 4)
Инфосекьюрити (Infosecurity) (2, 2)
Солар (ранее Ростелеком-Солар) (2, 2)
Makves (Маквес) (1, 2)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
Другие (10, 13)
Солар (ранее Ростелеком-Солар) (2, 7)
SearchInform (СёрчИнформ) (2, 4)
А-Реал Консалтинг (1, 3)
Makves (Маквес) (1, 2)
Softscore UG (1, 2)
Другие (5, 6)
SearchInform (СёрчИнформ) (2, 2)
Инфосекьюрити (Infosecurity) (1, 1)
Киберполигон (1, 1)
ARinteg (АРинтег) (1, 1)
Cloud4Y (ООО Флекс) (1, 1)
Другие (8, 8)
SearchInform (СёрчИнформ) (2, 16)
Перспективный мониторинг (1, 4)
Positive Technologies (Позитив Текнолоджиз) (1, 2)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Makves (Маквес) (1, 1)
Другие (3, 3)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 54 (52, 2)
InfoWatch Traffic Monitor Enterprise (IWTM) - 47 (46, 1)
FalconGaze SecureTower - 38 (38, 0)
MaxPatrol SIEM - 33 (33, 0)
DeviceLock Endpoint DLP Suite - 31 (31, 0)
Другие 308
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
SETERE: ПК ИСУ Терминал (Интегрированная система управления терминалами защищенного доступа) - 2 (2, 0)
Makves DCAP (Data-Centric Audit and Protection) - 2 (2, 0)
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2 (2, 0)
MaxPatrol SIEM - 2 (2, 0)
Другие 11
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 4 (4, 0)
Solar Dozor DLP-система - 4 (4, 0)
А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
Solar JSOC - 3 (3, 0)
Softscore UG: Anwork Бизнес-коммуникатор - 2 (2, 0)
Другие 9
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 2 (2, 0)
Langame Software Программный комплекс для управления компьютерным клубом - 1 (1, 0)
CyberPeak Спектр - 1 (1, 0)
BI.Zone Brand Protection - 1 (1, 0)
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1 (0, 1)
Другие 7
Контур информационной безопасности SearchInform (КИБ Сёрчинформ) - 16 (16, 0)
SearchInform FileAuditor - 5 (5, 0)
Перспективный мониторинг: Ampire Киберполигон - 4 (4, 0)
MaxPatrol SIEM - 2 (2, 0)
Security Vision Next Generation SOAR (NG SOAR) - 1 (1, 0)
Другие 3
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (56)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (33)
Другие (854)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
СэйфТек (SafeTech) (3)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Информзащита (2)
Deiteriy (Дейтерий) (2)
Softline (Софтлайн) (2)
Национальный аттестационный центр (НАЦ) (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 57)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (473, 231)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Мультифактор (Multifactor) (1, 1)
Samsung Electronics (1, 1)
Аладдин Р.Д. (Aladdin R.D.) (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
СэйфТек (SafeTech) (1, 1)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
Т-Банк (Тинькофф Банк) (1, 1)
Другие (2, 2)
Индид, Indeed (ранее Indeed ID) (2, 3)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
VK (ранее Mail.ru Group) (1, 1)
Мобильные ТелеСистемы (МТС) (1, 1)
Другие (9, 9)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Indeed Access Manager (Indeed AM) - 45 (45, 0)
FalconGaze SecureTower - 38 (38, 0)
3-D Secure (3D-Secure) - 26 (23, 3)
PayControl - 26 (23, 3)
Avanpost IDM Access System - 20 (20, 0)
Другие 223
PayControl - 3 (3, 0)
МегаФон Мобильный ID - 2 (2, 0)
Samsung Knox - 1 (1, 0)
Multifactor Сервис многофакторной аутентификации - 1 (1, 0)
Shenzhen Chainway C-серия RFID-считывателей - 1 (1, 0)
Другие 2
Indeed Access Manager (Indeed AM) - 6 (6, 0)
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2 (2, 0)
Indeed PAM - Indeed Privileged Access Manager - 2 (2, 0)
PayControl - 1 (1, 0)
Solar webProxy Шлюз веб-безопасности - 1 (1, 0)
Другие 0
Indeed Access Manager (Indeed AM) - 7 (7, 0)
Shenzhen Chainway C-серия RFID-считывателей - 6 (6, 0)
PayControl - 4 (4, 0)
Aladdin 2FA - 3 (3, 0)
Indeed PAM - Indeed Privileged Access Manager - 3 (3, 0)
Другие 4
PayControl - 3 (3, 0)
Indeed Access Manager (Indeed AM) - 2 (2, 0)
Indeed PAM - Indeed Privileged Access Manager - 2 (2, 0)
Shenzhen Chainway C-серия RFID-считывателей - 2 (2, 0)
IT-Lite: IDM.Управление учетными данными - 1 (1, 0)
Другие 9