Константин Родин, АйТи Бастион: Спрос на PAM-системы растет даже среди компаний без ИБ-отдела
Компания «АйТи Бастион» стояла у истоков разработки и внедрения PAM-систем на российском рынке и реализовала более 70% всех проектов в области предоставления привилегированного доступа. О том, как изменился спрос на PAM-системы, что волнует современных заказчиков и чего ждать в будущем, рассказал руководитель отдела развития продуктов «АйТи Бастион» Константин Родин.
Родин
Что такое PAM-системы и насколько они сейчас востребованы в России?
Константин Родин: Системы Privileged Access Management (PAM) обеспечивают контролируемый удаленный доступ к критически важной инфраструктуре компании привилегированным пользователям — системным администраторам, ИТ-менеджерам, а также контрагентам, с которыми она сотрудничает.
PAM-системы в России очень востребованы. Пять-десять лет назад нам приходилось объяснять, что это такое и зачем нужно. Людям не приходило в голову, что надо контролировать собственных системных администраторов. Киберугроз было в разы меньше, а доверия к ИТ-персоналу больше, ведь каждого знали в лицо.
Сейчас все усложнилось: цепочки поставок стали длиннее, контрагентов больше, удаленная работа все популярнее. Взламывают организации не через внутренний контур, а все чаще через контрагентов, которые имеют доступ к системам компании, но по разным причинам не могут обеспечить полноценную защиту. Так что у наших профильных заказчиков — крупных государственных компаний, нефтяной и добывающей отраслей, банков — необходимость PAM-систем не вызывает сомнений.
Если доверяешь своим системным администраторам, PAM-система не нужна?
Константин Родин: Наличие PAM-систем не говорит о том, что компания не доверяет собственным сотрудникам. Скорее, она не доверяет внешнему миру: например, людям на удаленке. И это логично, ведь невозможно увидеть, кто именно подключился. Учетку можно украсть, компании нанести вред, а самого сотрудника — подставить.
Наш собственный администратор не работает без PAM-системы и не думает при этом, что мы ему не доверяем. Наоборот, подключаясь удаленно, он знает, что все его действия защищены. Так и для многих сотрудников наших заказчиков это не усложнение их работы, а гарантия собственной безопасности и просто современный подход к выполнению рабочих обязанностей.
Много ли PAM-систем доступно на российском рынке, отечественных и иностранных?
Константин Родин: Иностранные решения из недружественных стран на территории РФ доживают последние дни. У заказчиков больше нет доступа к обновлениям, к технической поддержке, они не могут быть уверены в своей безопасности.
Есть опенсорсные решения, и некоторые компании их используют. Тут вопрос в размере организации и тех ресурсах, которые она готова вкладывать в эксплуатацию, поддержку и развитие своей системы. Если компания готова играть роль полноценного вендора для своей PAM-системы, то опенсорс может быть вполне рабочим вариантом.
Если говорить про государственные предприятия или крупных представителей бизнеса, то они предпочитают отечественные решения, потому что им важно понимать, кто отвечает за систему, устраняет уязвимости, занимается доработками и развитием. Эти вопросы для крупных заказчиков важнее, чем стоимость лицензии.
Российских разработчиков сейчас на рынке шесть-семь. Многие из них уже успели получить сертификат ФСТЭК и войти в реестр отечественного ПО и лично для нас это больше не является основным нашим конкурентным преимуществом, так что мы соревнуемся на уровне функционала и сервиса, который можем предложить нашим заказчикам. А возможностей приятно удивить у нас очень много, и мы продолжаем совершенствоваться.
Ваша доля российского рынка PAM-систем — более 70%. В чем секрет вашего успеха?
Константин Родин: В первую очередь заказчики ценят наш подход к решению задач. Мы работаем на этом рынке 10 лет, реализовали более 250 проектов по контролю доступа и анализу действий пользователей, у нас очень сильная команда, которая умеет задавать правильные вопросы, глубоко вникать в задачу и давать заказчику то, что ему действительно необходимо.
Во-вторых, у нашей PAM-платформы СКДПУ НТ богатый функционал, который закрывает все потребности по управлению привилегированным доступом подавляющего большинства компаний: построение матрицы доступа, возможности двухфакторной аутентификации, приведение пользователей к целевой системе, запись множества событий: клавиатурный ввод, заголовки окон, буфер обмена, текстовые элементы стандартных экранных форм, запуск и остановка процессов и другие. Практически все, что происходит в пользовательской сессии, мы фиксируем в видео и текстовом виде и далее предоставляем администратору для анализа. Мы проделали огромную работу, чтобы СКДПУ НТ можно было встраивать в различные бизнес-процессы, автоматизировать раздачу прав, максимально снизить ручные операции, которые, с одной стороны, повышают эффективность собственных сотрудников, а с другой — минимизируют риск ошибок, которыми так любят пользоваться злоумышленники для проникновения в систему.
В-третьих, наша система многократно проверена на масштабных и очень сложных проектах. Мы разворачиваем геораспределенные катастрофоустойчивые системы — пожалуй, все самые крупные инсталляции PAM в России на данный момент за нами. Есть проекты, где одновременно через наши системы проходят более 800 конкурентных сессий и защищают десятки тысяч целевых систем.
Расскажите подробнее о возможностях СКДПУ НТ
Константин Родин: Система СКДПУ НТ состоит из нескольких подсистем: Шлюз доступа, Мониторинг и аналитика, Портал доступа, Кабинет оператора.
Шлюз доступа включает модуль контроля сессий и менеджер паролей. Он поддерживает гибкую ролевую модель доступов с возможностью интеграции в существующую инфраструктуру (LDAP, AD, Radius), позволяет управлять паролями без установки агентов на целевые устройства по настраиваемым политикам, а также ведет полную запись видео и метаданных сессий с созданием долгосрочного архива. Именно этот модуль заказчики в первую очередь встраивают в свою систему управления доступом.
Мониторинг и аналитика собирает все данные, которые ему предоставляет шлюз доступа, проводит поведенческий анализ, анализ корреляции событий и выявление аномалий. Внутри этого модуля есть ряд специально запрограммированных детекторов, которые по определенным статистическим и математическим моделям, используя алгоритмы машинного обучения, оценивают, насколько действия пользователя укладываются в безопасную модель работы на конкретном предприятии. При нахождении отклонений система создает инцидент, который обрабатывает специалист по информационной безопасности. Также можно настроить автоматическую обработку инцидентов по заданному сценарию для реагирования без участия человека, либо передавать их в вышестоящую систему типа SOAR/IRP.
Портал доступа — это единый веб-интерфейс, который улучшает пользовательский опыт при работе с корпоративными ресурсами. Портал объединяет в одном списке все ресурсы, разрешенные пользователю в политиках доступных шлюзов. Доступна группировка доступов, добавление целевых систем и соединений в избранное, создание папок на их основе и поиск по всем доступным объектам.
Кабинет оператора — это инструмент предоставления и контроля привилегированного доступа при использовании СКДПУ НТ в сложных организационных структурах с возможностью делегирования полномочий между несколькими подразделениями и группами компании. В больших ИТ-инфраструктурах даже стандартные задачи по добавлению целевых устройств в систему, выдаче и отзыве доступов к ним, несмотря на простоту выполнения, требуют большого количества времени. Кабинет оператора помогает разграничить зоны ответственности предоставления доступа к системам компании между операторами (офицерами ИБ, руководителями и сотрудниками подразделений), делегируя им часть задач главного администратора. Таким образом снижается операционная нагрузка на основного администратора, а пользователи получают доступ к необходимым системам быстрее.
Как в СКДПУ НТ используется искусственный интеллект?
Константин Родин: Мы используем машинное обучение для анализа поведенческих сценариев. Это не такой хайповый ИИ, как ChatGPT, он не рисует картинки и не пишет диссертации. Алгоритмы СКДПУ НТ построены на основе нашего многолетнего опыта работы с различными типами инцидентов, а потом еще и обучаются «в поле» на специфике конкретной компании, и могут с высокой точностью выявлять подозрительную активность пользователя. Например, если пользователь напечатал в браузере слово «молоко», они определят, нормально ли это для данного предприятия или сотрудник использует корпоративные ресурсы, чтобы оформлять заказы на маркетплейсах.
Система составляет профиль каждого привилегированного пользователя, фиксируя признаки как типовых сценариев аномального поведения, таких как работа в нестандартное время, выполнение нестандартных команд и выполнение команд с необычной интенсивностью, так и специфические признаки, которым она обучилась в конкретной компании. Цифровой профиль позволяет офицеру безопасности максимально быстро оценить уровень доверия к конкретному пользователю.
Какие ИБ-методологии поддерживает СКДПУ НТ?
Константин Родин: Мы максимально поддерживаем все полезные методологии в области предоставления доступа. В частности, концепцию zero trust («нулевого доверия») и подход just in time (доступ предоставляется только тогда, когда он нужен). И, конечно, отслеживаем мировые тренды и подходы, перенимаем лучшие практики.
Как вы планируете развивать СКДПУ НТ? Будете ли создавать собственную экосистему ИБ-продуктов?
Константин Родин: Экосистемы — очень модная тема. Но я считаю, что это скорее маркетинговый инструмент, с помощью которого вендоры пытаются продать как можно больше своих решений в каждого конкретного клиента. Какая бы ни была у компании благая цель, очень редко у нее есть возможность сделать все продукты одинаково качественными. Чаще всего у нее есть флагманские продукты и немного по периферии.
Мы поняли, что так не можем и не хотим, поэтому «АйТи Бастион» фокусируется на нашей ключевой экспертизе и плотно работает с технологическими партнерами в сфере ИБ и IT. Сейчас у нас больше 14 интеграций с разными классами ИТ и ИБ-решений, которые закрывают все основные потребности наших заказчиков. Фактически, мы создаем мультивендорную экосистему, в которой заказчик может выбирать ИБ-решения на основе их качества и своих предпочтений.
Как на ваш взгляд будут развиваться PAM-системы в ближайшие годы?
Константин Родин: Мы получаем все больше запросов на объединение систем предоставления доступа, на минимизацию ручного труда и автоматизацию задач по раздаче прав: чтобы можно было из каталога с данными пользователей по понятным правилам в автоматическом режиме создавать доступы в PAM-системе, брать данные пользователей из IDM-системы и переносить их в PAM, автоматизировать предоставление доступа в VDI-системах. Основной тренд, на мой взляд, — как можно меньше привлекать людей для выполнения рутинных операций и задействовать их только для разбора сложных случаев, когда система не может понять контекст.
Безусовно, инновации проникают во все сферы. Внедрение ИИ, машинного обучения затронет и PAM-системы, но скорее в части аналитики, обработки данных.
По моим ощущениям, PAM-платформы типа СКДПУ НТ являются джентльменским набором в сфере информационной безопасности, необходимым любой средней и крупной организации, и все больше компании будут внедрять эти технологии. Мы чувствуем это на себе: запросы на предоставление качественного привилегированного удаленного доступа начали активно идти не только из компаний с сильным отделом ИБ, но и от компаний, где ИБ только зарождается. Специалисты все чаще сразу смотрят на весь джентльменский набор: PAM, DLP, SIEM, плюс дополнительная защита типа XDR и др. — то есть на те решения, которые мы, по большей части, и предоставляем вместе с нашими технологическими партнерами.
