Юрий Губанов, Ростелеком-Солар: Кибератаки становятся более качественными, и их цель не только нанести поверхностный ущерб
На вопросы TAdviser о том, как изменились основные принципы обеспечения кибербезопасности в новых условиях ответил Юрий Губанов, руководитель отдела развития бизнеса центра компетенций управления доступом Solar inRights «Ростелеком-Солар».
Как изменились основные принципы обеспечения кибербезопасности в новых условиях? В чём актуальность использования IDM/IGA-системы в компании сегодня?
Юрий Губанов: В нынешних условиях, количество кибератак продолжает расти, атаки эти меняют направленность: злоумышленники закладывают в них не только получение финансовой выгоды, но и политическую составляющую. Атаки становятся более качественными, и их цель не только нанести поверхностный ущерб (DDoS), но и закрепиться внутри инфраструктуры организации, сделать ущерб более масштабным — остановить работу энергетического предприятия или нарушить работу финансовой системы банка.
Поэтому сейчас мало обеспечить информационную безопасность (ИБ) в моменте — нужна работающая во времени техническая защита и информационная безопасность как бизнес-функция, как часть бизнес-процессов компании. Ведь построенная в моменте из набора технологий система безопасности через пару-тройку месяцев теряет свою актуальность. Выходят новые версии ПО, меняется периметр компании, системы интегрируются, сливаются в комплексы и т.п. Поэтому построение бизнес-ориентированной системы безопасности компании включает и управление ИТ, и управление всеми изменениями таким образом, чтобы система информационной безопасности оставалась всегда актуальной.
Современные решения класса IDM/IGA нацелены именно на создание в компании такой динамической системы безопасности в части управления доступом. В них закладываются принципы и процессы построения и поддержания в актуальном состоянии ролевой модели компании. Таким образом они позволяют постоянно поддерживать доступ пользователей к системам в актуальном состоянии на основании действующих рабочих функций сотрудников. Кроме того, системы управления доступом могут практически мгновенно выявлять любые нарушения и отклонения доступа и выстраивать сценарии реагирования на них.
В каких компаниях/организациях целесообразно использование IDM/IGA-систем, а в каких — не очень? Нужен ли определенный уровень цифровой зрелости, масштаб бизнеса, чтобы это было целесообразно?
Юрий Губанов: Абсолютно любая компания, в которой работает от 1000 сотрудников и у которой довольно широкий ландшафт ИТ-ресурсов, нуждается в эффективном подходе к вопросам управления доступом и его контроля. Сейчас размывается периметр организации, почти во всех компаниях 50% и более сотрудников работают удалённо, имеются внешние подрядчики и аутсорсеры. В компаниях используется много информационных систем с разными подходами к авторизации доступа для сотрудников. В ручном режиме держать все это в актуальном состоянии, а главное контролировать, просто невозможно.
Кроме того, компания не может быть статичной. Она меняется, развивается, бизнес растет. И использование таких решений, как IDM/IGA, позволяет сделать процессы изменений более гладкими, чтобы бизнес не только не остановился, но и получил помощь в развитии. Мы реализовываем проекты в крупных системообразующих предприятиях России, где наша система управления доступом на деле показывает высокую эффективность в решении этих задач. Потому что у крупных компаний множество филиалов, дочерних организаций, доступ в которых нужно постоянно держать под контролем. Руководитель компании должен понимать, кто имеет доступ к его инфраструктуре, какого уровня этот доступ, на основании чего он предоставлен, на какое время и т.п. Системы управления доступом помогают в этом лучшим образом.Как «Полюс» отказывается от SAP. Опыт российского лидера золотодобычи представлен на TAdviser SummIT
Безусловно, зрелось процессов очень важна. Как говорят нам передовые практики, процесс является процессом только тогда, когда он определён, описан и соблюдается. Поэтому если в компании процессы определены не до конца, где-то есть пробелы, где-то отсутствует методология, тогда рано говорить об автоматизации, потому что автоматизация хаоса может нанести больше вреда, чем пользы. Но и здесь мы идем навстречу нашим клиентам и помогаем им достичь необходимого уровня зрелости. Наши опытные эксперты сопровождают клиента в выстраивании правильных процессов управления доступом в компании, а затем технологии платформы Solar inRights обеспечивают их эффективное исполнение.
В каких отраслях российской экономики системы управления учетными данными получили наибольшее распространение? Наименьшее? Почему?
Юрий Губанов: Как я уже упомянул, в этом вопросе решающее значение имеет не отрасль, а именно масштаб компании и разветвлённость её бизнес-процессов и инфраструктуры. Ведь в нашем цифровом мире с информационными ресурсами работают абсолютно все, начиная от поликлиник и заканчивая крупными промышленными холдингами. Поэтому наведение порядка в процессах управления доступом и исполнение соответствующих регламентов нужно всем. Просто для каких-то компаний нарушения могут быть менее болезненными, а для каких-то — просто фатальными.
Если обратить внимание на защищённость (на вопросы ИБ в целом и управление доступом как неотъемлемую часть этих процессов), то в нашей текущей геополитической обстановке особенно важно выстроить качественную систему управления доступом компаниям сферы энергетики, ВПК, госструктурам — всем тем предприятиям, которые относятся к объектам КИИ. Именно они сейчас испытывают наибольшее давление. И любые нарушения, которые могут возникнуть в их структуре, способны привести к необратимым последствиям для общества. Над повышением их защищенности сейчас работает и наше правительство, и лидеры отрасли информационной безопасности, и, в частности, мы берем на себя
Недавно компания «Ростелеком-Солар» представила рынку новый продукт Solar SafeInspect. Расскажите о нем подробнее. Что технически представляет из себя это решение?
Юрий Губанов: В каждой компании обязательно есть сотрудники, которые по роду своей деятельности являются привилегированными пользователями — это все сотрудники в организации, обладающие расширенными правами доступа к ее информационным системам. Они могут быть как внутренними системными администраторами, так и внешними поставщиками услуг, ответственными за удаленное управление или обслуживание ИТ-систем. Контролировать сотрудников с правами привилегированных пользователей очень сложно и организационно, и технически. А уж тем более внешних пользователей с такими привилегиями.
Наше новое решение класса PAM (Privilege Access Management) Solar SafeInspect представляет собой полнофункциональную платформу для эффективного управления привилегированными учетными записями и сессиями в информационных системах и реализует постоянный неусыпный контроль за деятельностью сотрудников с расширенными правами. Если говорить техническим языком, то наша система позволяет осуществлять безопасное подключение привилегированных пользователей и выполнять контроль в таких протоколах администрирования как SSH, RDP, HTTP/HTTPS, Telnet и др.
Контроль доступа к устройствам осуществляется на основе простых и эффективных правил. Эти правила основаны на различных критериях, таких как IP-адрес, имя пользователя, протокол или тип сеанса и другие. Solar SafeInspect позволяет контролировать работу администраторов в реальном времени, как будто вы смотрите на экран монитора контролируемого администратора. При необходимости есть возможность в режиме реального времени разорвать сессию.
Система обеспечивает надежную аутентификацию, чтобы всегда понимать и контролировать, кто подключается к внутренним системам, чтобы учётные записи привилегированных пользователей всегда находились под надежной защитой. Пароли от таких «учёток» не знает даже сам администратор, который подключается к системе — все подстановки делаются автоматически. Также решение отслеживает и записывает все сеансы работы таких сотрудников и для контроля в online-режиме, и для последующего анализа.
Стоит отметить, что хорошим подспорьем для пользователя системы является и встроенная функция создания отчетов. Большой руководитель не имеет возможности долго просматривать массивы статистики и выбирать нужное. Ему важно видеть результат здесь и сейчас. Наше решение позволяет строить отчёты в виде удобных графиков и диаграмм и получать консолидированную информацию в удобном формате.
Есть ли уже успешные кейсы пилотирования или внедрения этого продукта? Расскажите о них подробнее
Юрий Губанов: Безусловно есть. Компания-разработчик нашего PAM-решения, которая вошла в состав «Ростелеком-Солар» в конце прошлого года, успешно работает на рынке уже много лет и имеет богатый бэкграунд по внедрениям практически во всех отраслях. Поскольку PAM — это система, которая напрямую обеспечивает безопасность компании, практически все такие проекты не являются публичными. Но из последних значимых внедрений могу сказать, что решение было установлено в крупной холдинговой структуре, где обеспечивает удобное контролируемое подключение нескольких тысяч удалённых работников. Это говорит о том, что оно легко масштабируется и выдерживает высокие нагрузки, что важно для компаний такого размера.
Также приведу пример предотвращенного с помощью Solar SafeIspect инцидента. В одной из компаний, которая работает с внешними подрядчиками, внедрение нашего решения позволило вовремя обнаружить логическую бомбу, которую компания, занимающаяся разработкой, заложила в свой код для того, чтобы периодически возникали дефекты работы ПО и организация была бы вынуждена постоянно обращаться к внешнему разработчику за решением проблемы и соответственно платить за это деньги.
Ваша компания выступает за комплексный подход к решению задач управления доступом в организациях. Что в вашем понимании является составляющими этого подхода? Почему именно его вы считаете правильным?
Юрий Губанов: Как я уже говорил, сейчас клиентам требуется ИБ не как набор технологий, а как бизнес-функция, как часть бизнес-процессов компании. Понятно, что сама по себе та или иная технология ничего не решит. Купил ты лицензии, установил продукт, а что дальше? Нужен комплексный подход. Нужны четко выстроенные процессы, которые зачастую у заказчика могут быть незрелые или вовсе отсутствуют, или существуют на бумаге и не соблюдаются.
Мы накопили очень большой опыт по внедрениям. И каждый раз, приходя к заказчику, мы понимаем, насколько важна для него наша экспертная помощь не столько в развёртывании решения, сколько в налаживании процессов и выведении их на качественно новый уровень. Нужна методология, нужно соответствие регламентам, политикам, законодательным актам, стандартам отрасли. Необходимо провести анализ рисков и выявить серые зоны — определить, где и на каких этапах требуется более детальный подход и срочное решение вопросов, а где можно подождать и отложить решение задачи на более поздний срок.
При внедрении системы управления доступом нужно определить четкую дорожную карту проведения всех изменений. Включить в неё выработку соответствующих мер, разработку процессов, подготовку регламентов, а далее уже проектировать внедрение технических средств, которые помогут решить задачи по исполнению этих регламентов и процессов.
Внедрение различных средств автоматизации должно быть поэтапным, чтобы на каждом этапе заказчик мог получить определённую выгоду, значимый для бизнеса результат, и затем двигаться дальше. Именно поэтому мы говорим о комплексном подходе для наших заказчиков, который позволит совместно с экспертами пройти этот непростой путь и не просто внедрить ту или иную систему, а принести пользу, упростив и улучшив работу компании и защитив её ресурсы.
Если говорить о наших технологиях, мы стараемся предложить клиентам решение их задач с помощью интеграции различных продуктов в общую экосистему заказчика, чтобы компания получила защиту на более высоком уровне. Так, PAM-система Solar SafeInspect, о которой я говорил выше, может интегрироваться с системой DLP и позволяет направлять в неё на анализ как весь трафик целиком, так и отдельные его части для обеспечения контроля утечек информации или вредоносных действий внутри зашифрованных административных каналов. Кроме того, есть возможность формировать системный журнал в формате Syslog и передавать данные из наших решений IDM/IGA или PAM в систему SIEM для анализа реализации различных сценариев по расследованию инцидентов.
Таким образом мы обеспечиваем заказчикам не стационарную, а динамическую защиту, которую можно выстроить только используя комплексный подход.
Что мы увидим на рынке управления доступом в 2023 году?
Юрий Губанов: Если в начале 2022 год мы наблюдали рост массовых, несложных атак на инфраструктуру российских компаний, то к 2023 году атаки злоумышленников усложнились, нацелились на максимальный урон организациям. Какие факторы могут сделать атаку фатальной? Это отсутствие сегментирования сети и разграничения прав доступа к сегментам, необоснованно излишние права у сотрудников, неперсонифицированные учётные записи, прямые доступы разработчиков в продуктивные системы, открытое хранение и доступность привилегированных учетных записей и т.п. То есть необходимо навести порядок в процессах управления доступом и контролировать все изменения, с этим связанные.
Поэтому в 2023 году спрос на решения по управлению доступом будет расти. Мы прогнозируем в текущем году рост спроса на решения IDM/IGA и PAM на 7% и 11% соответственно. Кроме того, зрелость в вопросах ИБ в целом продолжит расти, а значит, будет понимание, что в основу бизнес-процессов и стратегию развития компании должны быть обязательно заложены принципы обеспечения безопасности, предусматривающие защиту организации в любых, даже самых сложных условиях.