Айдентити — это основной вектор атак злоумышленников
Директор продуктового офиса Андрей Лаптев в интервью для TAdviser рассказал, почему айдентити становится ключевым элементом в стратегиях безопасности, и зачем нужен комплексный подход к защите.
В последнее время мы все чаще слышим об айдентити в контексте информационной безопасности. Расскажите, что такое айдентити и как это понятие связано с учетными данными?
— В цифровом мире понятие айдентити обозначает не только учетные данные, как часто трактуют этот термин. Учетные данные — это всего лишь запись в информационной системе, которая позволяет аутентифицировать конкретного пользователя. Понятие айдентити гораздо шире: это информация, которая помогает идентифицировать человека или устройство в корпоративной системе. Она включает в себя как учетные данные, так и пароли, сведения о ролях и привилегиях, а также исторические данные об активности пользователей. То есть айдентити — это тот набор признаков, который дает нам возможность отличить одну сущность в информационной системе от другой. Например, айдентити могут быть у человека: это набор учетных данных для доступа к различным системам, паттерны поведения, сведения о месте или времени работы. Айдентити бывают и у машин, то есть устройств, которые используются не людьми, а программами, сервисами и системами для аутентификации и доступа к другим компонентам ИТ-инфраструктуры.
Мыслить категориями айдентити нас побуждает динамика развития технологий. Сейчас специалистам по безопасности гораздо удобнее оперировать терминами «айдентити» и «доступ», нежели «IP-адрес» и «доступ», как раньше. За последние годы ИТ-инфраструктура предприятий существенно изменилась: она стала гибридной и более динамичной, а срок жизни информационных систем сократился. Поэтому гораздо проще оперировать не IP-адресами, а сущностями: человек, система, права доступа.
Таким образом, защита айдентити (Identity Security) становится для организаций главной задачей в сфере ИБ и ИТ. Ее необходимо решать, чтобы обеспечивать безопасность информационных систем, предотвращая компрометацию учетных данных. Несмотря на то что в России этот сегмент рынка только формируется, процессы защиты айдентити и связанные с ними технологии развиваются весьма динамично.
C какими главными вызовами в области Identity Security компании сталкиваются сегодня?
— Сегодня айдентити — это основной вектор атак злоумышленников. Статистика подтверждает эту тенденцию: в прошлом году с компрометации учетных данных начиналась каждая третья успешная кибератака, а к 2025 году объем скомпрометированных айдентити вырос более чем на 150%. Злоумышленники все реже атакуют компании «в лоб», предпочитая более легкий путь проникновения в ИТ-инфраструктуру — использование легитимных учетных данных. Эта угроза является вызовом не только для крупных корпораций, но и для компаний малого и среднего бизнеса. Набирает силу тренд на атаки через подрядчиков, когда злоумышленники атакуют крупную компанию не напрямую, а через ее поставщиков — чаще всего через небольшие или средние организации с менее надежной системой безопасности. Например, компрометация учетных данных одной компании-поставщика может открыть доступ к ИТ-системам десятков ее клиентов. Человеческий фактор, слабая парольная политика, отсутствие надежных механизмов аутентификации и разграничения прав доступа остаются самыми уязвимыми местами в системе безопасности компаний.
Как вы считаете, почему растет количество атак на айдентити?
— Традиционный периметр защиты сети становится все более размытым. Сотрудники активно переходят на дистанционные сервисы и форматы работы, сами компании все чаще размещают свои системы в облачной инфраструктуре (причем даже критически важные для бизнеса ресурсы). Кроме того, растет доля проектов и работ, передаваемых сторонним подрядчикам на аутсорс. Доступ к ресурсам и системам компаний получают не только сотрудники, но и многие внешние специалисты: партнеры, клиенты, контрагенты и так далее. В результате ИТ-инфраструктура выходит за рамки корпоративного периметра, а классическая модель его защиты становится менее эффективной. Злоумышленники понимают это и все чаще атакуют организации, компрометируя учетные данные пользователей и процессы двухфакторной аутентификации. Им проще получить доступ к инфраструктуре компании с помощью кражи айдентити, чем обходить многочисленные средства защиты. Таким образом, в современном мире айдентити становится новым периметром безопасности, который необходимо защищать.
Как в таком случае нужно изменить подходы к обеспечению безопасности?
— Атаки с целью скомпрометировать учетные данные затрагивают все компоненты инфраструктуры айдентити — от служб каталогов пользователей до процессов аутентификации и управления жизненным циклом учетных записей. Противодействие этим угрозам требует комплексного и упреждающего подхода. Чтобы реализовать его, нужно, в частности, внедрять процессы управления айдентити и применять передовые средства защиты, в том числе управлять аутентификацией, контролировать привилегированный доступ, отслеживать угрозы и управлять доступом в режиме реального времени. При этом забота о безопасности айдентити не должна подменять другие средства защиты: нужно гармонизировать и согласовывать работу всех систем безопасности.
С чего, по вашему мнению, нужно начинать защиту айдентити в организации?
— Создание надежной системы защиты айдентити начинается с внедрения регламентированных процессов управления идентификацией. На начальном этапе нужно разработать и формализовать процедуры, охватывающие полный жизненный цикл учетных записей: их создание, своевременное обновление, назначение полномочий и регулярный мониторинг действующих прав доступа. В организациях малого бизнеса все эти операции допустимо осуществлять в ручном режиме, но только при наличии четких внутренних регламентов.
Следующая обязательная мера защиты — применение средств многофакторной аутентификации. Это базовый минимум для обеспечения безопасного доступа пользователей к корпоративным ресурсам. При этом, когда численность персонала превышает тысячу человек, а количество информационных систем и бизнес-процессов значительно возрастает, управлять учетными записями и правами доступа становится намного сложнее. Добавьте к этому еще и управление доступом в крупной распределенной ИТ-инфраструктуре, к которой подключаются контрагенты — поставщики, партнеры и клиенты. В таких условиях ручное администрирование практически невозможно.
Чтобы эффективно решать эту задачу, требуется системный подход, который можно реализовать, внедрив специализированные решения для управления доступом (IdM). Одно из них — Octopus IdM (компания Octopus Identity входит в группу «Индид»). Мы включили его в наше комплексное предложение для заказчиков. Это полнофункциональная система управления правами доступа, построенная на современном технологическом стеке. Она позволяет автоматизировать все этапы жизненного цикла учетных записей и обеспечивает эффективный контроль доступа даже в сложной распределенной инфраструктуре.
Какие технологии и решения лежат в основе комплексной защиты айдентити Индид ?
— На наш взгляд, фундаментом комплексного подхода должны быть решения класса Identity Threat Detection and Response (ITDR), поскольку их функционал нацелен именно на айдентити. ITDR — относительно новый класс систем, обеспечивающий идентификацию, сдерживание и предотвращение атак на учетные данные. Такие системы непрерывно ведут мониторинг активности пользовательских и сервисных учетных записей, выявляя нехарактерные последовательности событий и паттерны, которые могут указывать на подготовку или проведение атаки на учетные данные.
Если опираться на экспертизу Индид в этом вопросе, то в нашем продукте Indeed ITDR реализованы одновременно две ключевые функции — как обнаружение, так и противодействие. С его помощью можно формировать политики безопасности в привычных для бизнеса терминах, не требуя от сотрудников отделов ИБ глубоко погружаться в технические особенности того, как протоколы аутентификации реализуются различными вендорами.
Например, c Indeed ITDR администраторы могут отслеживать любые попытки использования учетных записей — как людей, пользователей системы, так и машин, то есть компьютеров, информационных систем. Кроме того, в системе видны все используемые протоколы аутентификации. На основе этой информации строятся статистические модели, которые впоследствии определяют тренды поведения пользователей. При выявлении аномального поведения можно блокировать взаимодействие пользователя с контроллерами домена, прекращать его доступ к информационным системам. Другое важное преимущество — возможность выявлять определенные признаки атак на различные протоколы аутентификации: kerberos, NTLM, LDAP. Для этого используется информация, которая содержится в структуре сетевого обмена между пользователем и контроллером домена. Такая возможность позволяет в режиме онлайн противодействовать атакам на учетные данные и блокировать сетевое взаимодействие, имеющее признаки атаки.
Основываясь на вашей практике, можно ли использовать ITDR совместно с другими, традиционными системами защиты доступа?
— Безусловно. Применение Indeed ITDR в комплексе с другими решениями для защиты учетных данных и доступа может дать организации максимальный эффект с точки зрения безопасности. В частности, в портфеле Индид есть решения, позволяющие обеспечивать защиту айдентити различных типов на всех этапах их жизненного цикла.
Как я уже говорил, внедрение средств многофакторной аутентификации — минимальная и обязательная мера безопасности для компаний из любых отраслей и сегментов бизнеса. С данной целью наши заказчики применяют Indeed Access Manager (Indeed AM). Это программный комплекс, который обеспечивает строгий контроль и единую процедуру проверки подлинности пользователей при доступе к корпоративным информационным системам. Он поддерживает множество методов аутентификации, в том числе технологию Single Sign-On, использование одноразовых паролей и push-уведомлений.
В то же время наивысший уровень безопасности достигается за счет внедрения механизмов строгой аутентификации. Чаще всего для этого используются смарт-карты и токены, а пользователям выдаются цифровые сертификаты. Чтобы обеспечить строгую аутентификацию, нужно построить внутри организации надежную платформу доверия: создать корпоративный удостоверяющий центр (УЦ), выстроить процессы выпуска, обновления и отзыва цифровых сертификатов, наладить процедуры учета и контроля ключевых носителей и СКЗИ. Мы предлагаем упростить этот трудоемкий процесс с помощью Indeed Certificate Manager (Indeed CM). Это система управления инфраструктурой открытых ключей, которая обеспечивает полную автономность процессов аутентификации, позволяя обходиться без оператора УЦ. Indeed CM можно запустить как в среде Windows, так и на Linux. Решение также совместимо с целым рядом популярных УЦ, в том числе и российских. Таким образом, корпоративные клиенты могут привести процессы использования PKI в соответствие с потребностями бизнес-подразделений, департамента ИТ, службы безопасности и внешних регуляторов.
Отдельная задача — защита привилегированных учетных записей, которая обеспечивается за счет управления ими и строгого контроля их использования. Современные системы PAM имеют множество функций, позволяющих исключить возможность доступа пользователей с расширенными правами в обход средств защиты. Так, например, в Indeed Privileged Access Manager (Indeed PAM) все действия внутренних и внешних пользователей в рамках привилегированных сессий фиксируются и записываются в системе. Это позволяет минимизировать риски несанкционированного доступа к важным информационным ресурсам, а также автоматизировать работу ИТ-специалистов. Важное преимущество нашего продукта — возможность добавить дополнительный фактор для аутентификации даже в таких системах, архитектура которых вообще не предусматривает многофакторную аутентификацию.
Какие еще потребности клиентов в области защиты айдентити вы закрываете?
— В последние годы мы наблюдаем устойчивый спрос на облачные услуги со стороны не только малых и средних компаний, но и крупных клиентов. Это связано с растущей необходимостью реализовывать гибридные форматы работы, защищать удаленный доступ и упрощать управление айдентити в сложных ИТ-ландшафтах. Облака как раз обеспечивают необходимые для этого условия — гибкость и масштабируемость. Принимая во внимание запросы рынка и заказчиков, в этом году мы расширили наше продуктовое предложение сервисом многофакторной аутентификации (MFA) на базе нашей облачной инфраструктуры — «Индид Облако». Он позволит компаниям из разных сегментов бизнеса и отраслей ускорить внедрение продуктов для защиты айдентити.
Другая важная задача — эффективное управление корпоративными секретами. Сегодня компаниям важно выстраивать такую систему управления доступом и паролями, которая отвечает современным стандартам безопасности. Это достигается с помощью решения BearPass (компания BearPass входит в группу «Индид»), которое стало еще одним важным элементом комплексного предложения Индид в сфере защиты айдентити. BearPass обеспечивает выполнение строгой парольной политики и безопасность доступа даже к критически важным данным. Продукт позволяет автоматически генерировать стойкие пароли для различных служб и сервисов, а также задавать политики их сложности. Требования к сложности паролей можно настроить отдельно как для каждой группы, так и для каждой учетной записи.
Как будет развиваться сфера Identity Security в ближайшие три-пять лет?
— Уже сейчас очевидно, что количество атак на айдентити в дальнейшем будет только расти. Следовательно, защита айдентити будет становиться все более актуальной задачей. Концепция Identity Security найдет воплощение в технических решениях: к ее реализации подключатся другие вендоры, и информационные системы будут изначально строиться так, чтобы надежно обеспечивалась безопасность айдентити. Учитывая это, Индид считает своей миссией способствовать распространению идеи о том, что айдентити необходимо эффективно защищать. В частности, уже второй год подряд мы проводим ежегодную конференцию «Айдентити Конф», в ходе которой эксперты по кибербезопасности и представители бизнес-сообщества обсуждают различные аспекты защиты айдентити и подходы к решению этой задачи. Кроме этого, в этом году мы расширили формат взаимодействия и создали «Айдентити Клуб» — сообщество, в котором профессиональный диалог ведется круглый год.
