Подвергалась ли когда-либо система Keeper взлому?

опубликованный , дата публикации: 03 августа, 2022

Поделитесь этим блогом

Написано Craig Lurey

Нет. Система Keeper® никогда не была объектом взлома или утечки данных. В этой статье мы рассмотрим, почему миллионы потребителей и тысячи компаний по всему миру доверяют Keeper защиту своих паролей и другой личной информации.

Что такое Keeper Security?

Keeper Security меняет способы, которыми организации и частные лица защищают свои пароли и конфиденциальные цифровые активы, значительно сокращая утечки данных, связанных с паролями, и киберугрозами.

Keeper — ведущий поставщик программного обеспечения для обеспечения безопасности и шифрования с нулевым разглашением, включая управление паролями, ключами доступа, секретами, соединениями и управление привилегированным доступом, а также мониторинг даркнета, хранилище цифровых файлов, зашифрованные сообщения и многое другое. Мы защищаем как потребителей, так и предприятия любого размера во всех основных отраслях промышленности. Keeper имеет старейшую в отрасли сертификацию SOC 2 и ISO27001, а также соответствие FIPS 140-2 и FedRAMP.

Keeper был назван лучшим менеджером паролей по версии журнала PC Magazine и выбором редакции, лучшим менеджером паролей в целом по версии US News & World Report, лидером G2 Enterprise, популярной компанией в IAM, самой инновационной в области безопасности конечных точек и передовой компанией года в сфере безопасности. Keeper имеет более чем 275 000 5-звездочных оценок в магазинах приложений.

Keeper для потребителей и семей

Менеджер паролей Keeper Password Manager для частных лиц и семей хранит все ваши пароли, коды MFA и ряд других конфиденциальных данных в безопасном цифровом web-хранилище с возможностью автоматически заполнять ваши учетные данные для входа на всех ваших веб-сайтах и в приложениях. В наших потребительских решениях используется то же запатентованное нулевое шифрование, что и в коммерческих продуктах, что обеспечивает потребителям безопасность корпоративного уровня. Только пользователь может получить доступ к своим сохраненным паролям и файлам и расшифровывать их. Никто больше не может использовать главный пароль пользователя, ключи шифрования или содержимое хранилища — даже сами сотрудники Keeper.

Keeper для организаций

Корпоративная платформа управления паролями и безопасности Keeper:

Предоставляет каждому сотруднику безопасное зашифрованное цифровое хранилище для хранения его паролей, файлов и других конфиденциальных данных. Сотрудники могут получить доступ к своему хранилищу практически с любого устройства и из всех основных веб-браузеров, автоматически генерировать уникальные сложные пароли для всех учетных записей и автоматически вводить учетные данные для входа на все сайты и в приложения.
Предоставляет ИТ-администраторам полную информацию о методах использования паролей сотрудниками, позволяя им отслеживать использование паролей и обеспечивать соблюдение политик безопасности паролей во всей организации, включая требования к сложности паролей, двухфакторную аутентификацию (2FA), ролевой контроль доступа (RBAC) и другие правила безопасности.

Безопасен ли Keeper в использовании?

Keeper полностью безопасен в использовании. Сами сотрудники Keeper используют наш менеджер паролей внутри компании для защиты паролей и данных компании и безопасного обмена файлами.

Keeper является поставщиком безопасности с нулевым доверием и нулевым разглашением. Все шифрование и дешифрование происходит только на устройстве пользователя при входе в хранилище, а это означает, что пользователь Keeper — единственный человек, который может шифровать и расшифровывать свои данные.

Keeper’s secure, reliable cloud vault is protected by APIs, which are validated through authorization by the client device. The client retrieves a session token upon login and sends it with each API call. The session token is tracked on the server. Login is performed either by a private Master Password or SAML 2.0 Single Sign-On (SSO) authentication.

При использовании главного пароля для входа в систему клиентское устройство получает 256-битный ключ аутентификации, используя PBKDF2-HMAC-SHA256 и случайные элементы дополнения. Хеш аутентификации генерируется путем хеширования ключа аутентификации с использованием SHA-256. Для входа в систему хеш аутентификации сравнивается с хешем аутентификации, хранящимся в Cloud Security Vault. После входа в систему на сервере генерируется токен сеанса, который отправляется клиенту для использования клиентским устройством при последующих запросах API. Сеанс должен быть активным, чтобы можно было продолжать использовать связь между клиентом и сервером.

Keeper использует проверенные модули шифрования FIPS 140-2 для удовлетворения строгих требований безопасности правительственных организаций и государственного сектора. Шифрование Keeper сертифицировано NIST CMVP и подтверждено на соответствие стандарту FIPS 140 аккредитованными сторонними лабораториями.

Дополнительную информацию о модели аутентификации и шифрования Keeper можно найти в нашей онлайн-базе знаний.

Keeper обеспечивает поддержку самых популярных и безопасных методов двухфакторной аутентификации: SMS, приложения для аутентификации на основе TOTP, такие как Google или Microsoft Authenticator, RSA SecurID, DUO Security, Keeper DNA (аутентификация носимых устройств с помощью устройств Apple Watch и Android Wear) и устройства FIDO2 WebAuthn, такие как Yubikey. Организации могут применять двухфакторные аутентификационные системы, используя политики Keeper по обеспечению соблюдения на основе ролей.

Подвергалась ли когда-либо система Keeper взлому?

Нет, система Keeper никогда не была объектом взлома. В 2017 году исследователь безопасности обнаружил ошибку в браузерном расширении Keeper, которое представляет собой приложение, отличное от Keeper Desktop. Мы исправили ошибку в течение 24 часов с момента ее подтверждения, объявили устаревшими предыдущие версии браузерного расширения Keeper и сообщили об инциденте в блоге. Мы написали еше одну публикацию с дальнейшим объяснением ситуации нашим клиентам и заверением в том, что фактического нарушения безопасности или потери информации о клиентах в связи с этой ошибкой зарегистрировано не было.

С 2017 года многое изменилось! Keeper сотрудничает с Bugcrowd в рамках программы с вознаграждением за обнаружение ошибок и раскрытие уязвимостей (VDP). Программу Keeper Security VDP можно найти по ссылке https://bugcrowd.com/keepersecurity.

Further, Keeper began working with world-renowned leader NCC Group and CyberTest to perform quarterly pen testing. The results of our quarterly pen tests are available to our business customers upon execution of a mutual Non-Disclosure Agreement (NDA). If your organization would like a copy, please contact our sales team.

Keeper также придерживается очень строгих правил внутренней безопасности, которые регулярно проверяются третьими сторонами, чтобы гарантировать, что мы продолжаем разрабатывать безопасное программное обеспечение и предоставлять самую безопасную в мире платформу кибербезопасности, включая следующее:

Keeper uses GitHub vulnerability scanning to monitor for vulnerabilities in dependencies and CodeQL for automated source code analysis.
Keeper выполняет SAST/DAST с использованием встроенных инструментов CodeQL Github Enterprise, а также периодически проводит тестирование с помощью Synopsys/Black Duck. Команда инженеров Keeper просматривает результаты статического анализа, чтобы определить достоверные результаты.
Keeper использует лучшие практики и рекомендации, представленные в Руководстве разработчика OWASP и серии шпаргалок OWASP, для реализации и улучшения нашей разработки безопасного программного обеспечения. Keeper использует Руководство по тестированию OWASP и/или Руководство по проверке кода OWASP для поиска и устранения уязвимостей в нашем сервисе/приложении.
Keeper выполняет всю разработку программного обеспечения самостоятельно на локальных рабочих станциях. Мы не предоставляем третьим лицам технический доступ к нашим системам.
Каждый проект обычно состоит из репозитория GitHub, проекта Jira, доски Kanban и конвейера сборки GitHub Actions. По мере разработки программного обеспечения репозиторий GitHub регулярно обновляется. Автоматические сборки GitHub Actions выполняются либо при фиксации, либо через регулярные специальные интервалы сборки. Тикеты Jira и доски Kanban используются для организации разработки проекта.
Перед принятием контроля качества весь исходный код проходит экспертную оценку руководителя группы, которая включает проверки безопасности, несанкционированный доступ, атаки путем внедрения данных и т. д.
Усиление защиты и настройка серверной ОС, веб-серверов, серверов приложений и серверов БД стандартизируются с использованием шаблонов конфигурации и скриптовых вызовов API к Amazon AWS.
Keeper ежемесячно и ежедневно выполняет сканирование уязвимостей системной инфраструктуры Keeper.
Keeper регулярно проводит внутренние и внешние тесты на проникновение. Тесты на проникновение проводятся ежемесячно с использованием комбинации сторонних сервисов и внутренних инструментов и систем.
Критические уязвимости исправляются в течение 48 часов, а некритические (средние) уязвимости — за 10 рабочих дней.

Сертификаты и соответствие требованиям Keeper

Keeper — это самая безопасная, сертифицированная, протестированная и проверенная платформа для защиты паролей в мире. Keeper имеет самую давнюю в отрасли сертификацию SOC 2 и ISO 27001. Keeper соответствует требованиям FedRAMP и StateRAMP и сертифицирован TrustArc для обеспечения конфиденциальности в Интернете в соответствии с рамочным соглашением о конфиденциальности данных (DPA). Бизнес-клиенты могут получить копии наших отчетов SOC 2 и ISO 27001, если свяжутся с отделом продаж.

Keeper соответствует требованиям Общего регламента по защите данных (GDPR), CCPA, PCI DSS и акта HIPAA, и мы имеем экспортную лицензию Министерства торговли США в соответствии с EAR. Мы соблюдаем все местные нормативные требования к безопасности данных и сертифицированы TrustArc для обеспечения конфиденциальности в Интернете.

GDPR определяет два типа организаций, которые могут обрабатывать персональные данные. Контроллер данных решает, какие данные собирать и какая обработка персональных данных производится. Обработчик данных действует по указанию контроллера данных для сбора, хранения, извлечения и/или удаления персональных данных. Keeper Security является контроллером данных, когда мы продаем наш менеджер паролей непосредственно потребителям. Мы являемся обработчиком данных, когда продаем их бизнесу, который, в свою очередь, будет считаться контролером данных.

Для получения дополнительной информации о соответствии Keeper GDPR или для загрузки соглашений GDPR об обработке данных для загрузки посетите https://www.keepersecurity.com/GDPR.html

Будучи авторизованным поставщиком облачных услуг FedRAMP (умеренное воздействие), Keeper имеет все возможности помочь организациям соблюдать Порядок международного оборота оружия (ITAR), который регулирует импорт и экспорт товаров и услуг, связанных с космосом и обороной, в США.

Для получения дополнительной информации о наших сертификатах соответствия посетите https://www.keepersecurity.com/security.html?s=compliance

Keeper авторизован FedRAMP

Решение Keeper Security Government Cloud (KSGC) разрешено FedRAMP на уровне умеренного воздействия. Давайте поговорим о том, что это означает.

Федеральная программа управления рисками и авторизацией (FedRAMP) была создана правительством США для достижения стандартизированного подхода к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и услуг. Федеральные агентства обязаны использовать облачные сервисы, сертифицированные FedRAMP.

Чтобы попасть на торговую площадку FedRAMP, поставщики облачных услуг (CSP), такие как Keeper, должны пройти многомесячный строгий процесс авторизации, который включает в себя очень подробный аудит всех систем. Даже после получения авторизации FedRAMP работа CSP-провайдера не завершена! CSP должен постоянно поддерживать свои системы в соответствии с требованиями FedRAMP. Программа FedRAMP подтверждает это, требуя от CSP предоставлять ежемесячные результаты непрерывного мониторинга агентствам, использующим их услуги, включая обновленный отчет о Плане действий и основных этапах (POA&M), а также результаты/отчеты сканирования. Кроме того, CSP также должен проводить ежегодную оценку безопасности.

Хотя FedRAMP был разработан для федеральных государственных учреждений, выбор FedRAMP и решения для управления паролями, сертифицированного StateRAMP, такого как Keeper Security Government Cloud, выгоден для правительственных и местных государственных учреждений, а также для организаций частного сектора в отраслях с жестким регулированием.

Craig Lurey

Крейг Люрей — технический директор и соучредитель Keeper Security. Крейг возглавляет команду Keeper по разработке программного обеспечения и технологической инфраструктуры. Крейг и Даррен уже более 20 лет являются активными деловыми партнерами в ряде успешных предприятий. До создания Keeper Крейг работал в Motorola инженером-программистом, создавая микропрограммное обеспечение для инфраструктуры базовых станций сотовой связи, и основал Apollo Solutions, онлайн-платформу программного обеспечения для компьютерных реселлеров, которая была приобретена CNET Networks. Крейг получил степень бакалавра в области электротехники в Университете штата Айова.

Получайте последние новости и обновления в области кибербезопасности прямо в свой почтовый ящик

Поделитесь этим блогом

Вам также может понравиться

Как Keeper защищает от введения учетных данных во вредоносных приложениях?

Стремление Keeper Security защищать данные пользователей влияет на все, что мы делаем. Keeper имеет самую давнюю в отрасли сертификацию SOC 2 и ISO 27001. Keeper соответствует требованиям GDPR, CCPA, а также FedRAMP и StateRAMP. Мы заботимся...