Юрий Губанов, Ростелеком-Солар: Кибератаки становятся более качественными, и их цель не только нанести поверхностный ущерб
На вопросы TAdviser о том, как изменились основные принципы обеспечения кибербезопасности в новых условиях ответил Юрий Губанов, руководитель отдела развития бизнеса центра компетенций управления доступом Solar inRights «Ростелеком-Солар».
Губанов
Как изменились основные принципы обеспечения кибербезопасности в новых условиях? В чём актуальность использования IDM/IGA-системы в компании сегодня?
Юрий Губанов: В нынешних условиях, количество кибератак продолжает расти, атаки эти меняют направленность: злоумышленники закладывают в них не только получение финансовой выгоды, но и политическую составляющую. Атаки становятся более качественными, и их цель не только нанести поверхностный ущерб (DDoS), но и закрепиться внутри инфраструктуры организации, сделать ущерб более масштабным — остановить работу энергетического предприятия или нарушить работу финансовой системы банка.
Поэтому сейчас мало обеспечить информационную безопасность (ИБ) в моменте — нужна работающая во времени техническая защита и информационная безопасность как бизнес-функция, как часть бизнес-процессов компании. Ведь построенная в моменте из набора технологий система безопасности через пару-тройку месяцев теряет свою актуальность. Выходят новые версии ПО, меняется периметр компании, системы интегрируются, сливаются в комплексы и т.п. Поэтому построение бизнес-ориентированной системы безопасности компании включает и управление ИТ, и управление всеми изменениями таким образом, чтобы система информационной безопасности оставалась всегда актуальной.
Современные решения класса IDM/IGA нацелены именно на создание в компании такой динамической системы безопасности в части управления доступом. В них закладываются принципы и процессы построения и поддержания в актуальном состоянии ролевой модели компании. Таким образом они позволяют постоянно поддерживать доступ пользователей к системам в актуальном состоянии на основании действующих рабочих функций сотрудников. Кроме того, системы управления доступом могут практически мгновенно выявлять любые нарушения и отклонения доступа и выстраивать сценарии реагирования на них.
В каких компаниях/организациях целесообразно использование IDM/IGA-систем, а в каких — не очень? Нужен ли определенный уровень цифровой зрелости, масштаб бизнеса, чтобы это было целесообразно?
Юрий Губанов: Абсолютно любая компания, в которой работает от 1000 сотрудников и у которой довольно широкий ландшафт ИТ-ресурсов, нуждается в эффективном подходе к вопросам управления доступом и его контроля. Сейчас размывается периметр организации, почти во всех компаниях 50% и более сотрудников работают удалённо, имеются внешние подрядчики и аутсорсеры. В компаниях используется много информационных систем с разными подходами к авторизации доступа для сотрудников. В ручном режиме держать все это в актуальном состоянии, а главное контролировать, просто невозможно.
Кроме того, компания не может быть статичной. Она меняется, развивается, бизнес растет. И использование таких решений, как IDM/IGA, позволяет сделать процессы изменений более гладкими, чтобы бизнес не только не остановился, но и получил помощь в развитии. Мы реализовываем проекты в крупных системообразующих предприятиях России, где наша система управления доступом на деле показывает высокую эффективность в решении этих задач. Потому что у крупных компаний множество филиалов, дочерних организаций, доступ в которых нужно постоянно держать под контролем. Руководитель компании должен понимать, кто имеет доступ к его инфраструктуре, какого уровня этот доступ, на основании чего он предоставлен, на какое время и т.п. Системы управления доступом помогают в этом лучшим образом.Трендвотчинг рынка DevOps. Аналитический отчет TAdviser 
Безусловно, зрелось процессов очень важна. Как говорят нам передовые практики, процесс является процессом только тогда, когда он определён, описан и соблюдается. Поэтому если в компании процессы определены не до конца, где-то есть пробелы, где-то отсутствует методология, тогда рано говорить об автоматизации, потому что автоматизация хаоса может нанести больше вреда, чем пользы. Но и здесь мы идем навстречу нашим клиентам и помогаем им достичь необходимого уровня зрелости. Наши опытные эксперты сопровождают клиента в выстраивании правильных процессов управления доступом в компании, а затем технологии платформы Solar inRights обеспечивают их эффективное исполнение.
В каких отраслях российской экономики системы управления учетными данными получили наибольшее распространение? Наименьшее? Почему?
Юрий Губанов: Как я уже упомянул, в этом вопросе решающее значение имеет не отрасль, а именно масштаб компании и разветвлённость её бизнес-процессов и инфраструктуры. Ведь в нашем цифровом мире с информационными ресурсами работают абсолютно все, начиная от поликлиник и заканчивая крупными промышленными холдингами. Поэтому наведение порядка в процессах управления доступом и исполнение соответствующих регламентов нужно всем. Просто для каких-то компаний нарушения могут быть менее болезненными, а для каких-то — просто фатальными.
Если обратить внимание на защищённость (на вопросы ИБ в целом и управление доступом как неотъемлемую часть этих процессов), то в нашей текущей геополитической обстановке особенно важно выстроить качественную систему управления доступом компаниям сферы энергетики, ВПК, госструктурам — всем тем предприятиям, которые относятся к объектам КИИ. Именно они сейчас испытывают наибольшее давление. И любые нарушения, которые могут возникнуть в их структуре, способны привести к необратимым последствиям для общества. Над повышением их защищенности сейчас работает и наше правительство, и лидеры отрасли информационной безопасности, и, в частности, мы берем на себя
Недавно компания «Ростелеком-Солар» представила рынку новый продукт Solar SafeInspect. Расскажите о нем подробнее. Что технически представляет из себя это решение?
Юрий Губанов: В каждой компании обязательно есть сотрудники, которые по роду своей деятельности являются привилегированными пользователями — это все сотрудники в организации, обладающие расширенными правами доступа к ее информационным системам. Они могут быть как внутренними системными администраторами, так и внешними поставщиками услуг, ответственными за удаленное управление или обслуживание ИТ-систем. Контролировать сотрудников с правами привилегированных пользователей очень сложно и организационно, и технически. А уж тем более внешних пользователей с такими привилегиями.
Наше новое решение класса PAM (Privilege Access Management) Solar SafeInspect представляет собой полнофункциональную платформу для эффективного управления привилегированными учетными записями и сессиями в информационных системах и реализует постоянный неусыпный контроль за деятельностью сотрудников с расширенными правами. Если говорить техническим языком, то наша система позволяет осуществлять безопасное подключение привилегированных пользователей и выполнять контроль в таких протоколах администрирования как SSH, RDP, HTTP/HTTPS, Telnet и др.
Контроль доступа к устройствам осуществляется на основе простых и эффективных правил. Эти правила основаны на различных критериях, таких как IP-адрес, имя пользователя, протокол или тип сеанса и другие. Solar SafeInspect позволяет контролировать работу администраторов в реальном времени, как будто вы смотрите на экран монитора контролируемого администратора. При необходимости есть возможность в режиме реального времени разорвать сессию.
Система обеспечивает надежную аутентификацию, чтобы всегда понимать и контролировать, кто подключается к внутренним системам, чтобы учётные записи привилегированных пользователей всегда находились под надежной защитой. Пароли от таких «учёток» не знает даже сам администратор, который подключается к системе — все подстановки делаются автоматически. Также решение отслеживает и записывает все сеансы работы таких сотрудников и для контроля в online-режиме, и для последующего анализа.
Стоит отметить, что хорошим подспорьем для пользователя системы является и встроенная функция создания отчетов. Большой руководитель не имеет возможности долго просматривать массивы статистики и выбирать нужное. Ему важно видеть результат здесь и сейчас. Наше решение позволяет строить отчёты в виде удобных графиков и диаграмм и получать консолидированную информацию в удобном формате.
Есть ли уже успешные кейсы пилотирования или внедрения этого продукта? Расскажите о них подробнее
Юрий Губанов: Безусловно есть. Компания-разработчик нашего PAM-решения, которая вошла в состав «Ростелеком-Солар» в конце прошлого года, успешно работает на рынке уже много лет и имеет богатый бэкграунд по внедрениям практически во всех отраслях. Поскольку PAM — это система, которая напрямую обеспечивает безопасность компании, практически все такие проекты не являются публичными. Но из последних значимых внедрений могу сказать, что решение было установлено в крупной холдинговой структуре, где обеспечивает удобное контролируемое подключение нескольких тысяч удалённых работников. Это говорит о том, что оно легко масштабируется и выдерживает высокие нагрузки, что важно для компаний такого размера.
Также приведу пример предотвращенного с помощью Solar SafeIspect инцидента. В одной из компаний, которая работает с внешними подрядчиками, внедрение нашего решения позволило вовремя обнаружить логическую бомбу, которую компания, занимающаяся разработкой, заложила в свой код для того, чтобы периодически возникали дефекты работы ПО и организация была бы вынуждена постоянно обращаться к внешнему разработчику за решением проблемы и соответственно платить за это деньги.
Ваша компания выступает за комплексный подход к решению задач управления доступом в организациях. Что в вашем понимании является составляющими этого подхода? Почему именно его вы считаете правильным?
Юрий Губанов: Как я уже говорил, сейчас клиентам требуется ИБ не как набор технологий, а как бизнес-функция, как часть бизнес-процессов компании. Понятно, что сама по себе та или иная технология ничего не решит. Купил ты лицензии, установил продукт, а что дальше? Нужен комплексный подход. Нужны четко выстроенные процессы, которые зачастую у заказчика могут быть незрелые или вовсе отсутствуют, или существуют на бумаге и не соблюдаются.
Мы накопили очень большой опыт по внедрениям. И каждый раз, приходя к заказчику, мы понимаем, насколько важна для него наша экспертная помощь не столько в развёртывании решения, сколько в налаживании процессов и выведении их на качественно новый уровень. Нужна методология, нужно соответствие регламентам, политикам, законодательным актам, стандартам отрасли. Необходимо провести анализ рисков и выявить серые зоны — определить, где и на каких этапах требуется более детальный подход и срочное решение вопросов, а где можно подождать и отложить решение задачи на более поздний срок.
При внедрении системы управления доступом нужно определить четкую дорожную карту проведения всех изменений. Включить в неё выработку соответствующих мер, разработку процессов, подготовку регламентов, а далее уже проектировать внедрение технических средств, которые помогут решить задачи по исполнению этих регламентов и процессов.
Внедрение различных средств автоматизации должно быть поэтапным, чтобы на каждом этапе заказчик мог получить определённую выгоду, значимый для бизнеса результат, и затем двигаться дальше. Именно поэтому мы говорим о комплексном подходе для наших заказчиков, который позволит совместно с экспертами пройти этот непростой путь и не просто внедрить ту или иную систему, а принести пользу, упростив и улучшив работу компании и защитив её ресурсы.
Если говорить о наших технологиях, мы стараемся предложить клиентам решение их задач с помощью интеграции различных продуктов в общую экосистему заказчика, чтобы компания получила защиту на более высоком уровне. Так, PAM-система Solar SafeInspect, о которой я говорил выше, может интегрироваться с системой DLP и позволяет направлять в неё на анализ как весь трафик целиком, так и отдельные его части для обеспечения контроля утечек информации или вредоносных действий внутри зашифрованных административных каналов. Кроме того, есть возможность формировать системный журнал в формате Syslog и передавать данные из наших решений IDM/IGA или PAM в систему SIEM для анализа реализации различных сценариев по расследованию инцидентов.
Таким образом мы обеспечиваем заказчикам не стационарную, а динамическую защиту, которую можно выстроить только используя комплексный подход.
Что мы увидим на рынке управления доступом в 2023 году?
Юрий Губанов: Если в начале 2022 год мы наблюдали рост массовых, несложных атак на инфраструктуру российских компаний, то к 2023 году атаки злоумышленников усложнились, нацелились на максимальный урон организациям. Какие факторы могут сделать атаку фатальной? Это отсутствие сегментирования сети и разграничения прав доступа к сегментам, необоснованно излишние права у сотрудников, неперсонифицированные учётные записи, прямые доступы разработчиков в продуктивные системы, открытое хранение и доступность привилегированных учетных записей и т.п. То есть необходимо навести порядок в процессах управления доступом и контролировать все изменения, с этим связанные.
Поэтому в 2023 году спрос на решения по управлению доступом будет расти. Мы прогнозируем в текущем году рост спроса на решения IDM/IGA и PAM на 7% и 11% соответственно. Кроме того, зрелость в вопросах ИБ в целом продолжит расти, а значит, будет понимание, что в основу бизнес-процессов и стратегию развития компании должны быть обязательно заложены принципы обеспечения безопасности, предусматривающие защиту организации в любых, даже самых сложных условиях.
