Indeed Access Manager в Альфа-Банке: отечественное решение оказалось лучше западного
Сергей Крамаренко, руководитель департамента кибербезопасности Альфа-Банка рассказал журналу Information Security о реальном опыте внедрения российской системы многофакторной аутентификации пользователей Indeed Access Manager, которая не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение. Приводим текст интервью ниже.
– Сергей, знаю, что вы не готовы раскрывать подробности вашей биографии, поэтому начнем с вопроса о том, как пришли в ИБ. Почему именно ИБ?
– Это был долгий путь, я не хотел бы его подробно описывать, скажу лишь, что длился он более 20 лет как на стороне исполнителя (в компаниях – ИБ-интеграторах), так и на стороне заказчика (в компаниях – операторах сотовой связи и в банках топ-5). ИБ – крайне интересная и динамично развивающаяся технологичная сфера, в которой нет предела совершенству и в то же время есть широкий диапазон возможностей для реализации новых идей и передовых технологий. Сфера, в которой всегда было, есть и будет противостояние в киберпространстве между атакующими и защитниками, что и делает ее, на мой взгляд, такой привлекательной и интригующей, сложной и ответственной.
– Какие задачи и цели вы, будучи руководителем, ставите перед собой?
– Одна из основных задач – организовать в банке в области информационной безопасности те процессы, которые до меня не были внедрены. А важной целью является привнесение безопасности в социальную функцию банка как неотъемлемой части его деятельности.
– Раз уж мы затронули тему организации новых ИБ-процессов в банке, перейдем к основной теме интервью. Как возникла потребность обеспечить усиленную/двухфакторную/многофакторную аутентификацию для сотрудников?
– Изначально система двухфакторной аутентификации появилась в банке в 2018 г. в связи с необходимостью соблюсти требования стандарта PCI DSS, предъявляемые к процессинговому контуру банка. Требования гласят, что при доступе к данным платежных карт с рабочих станций пользователей должна осуществляться многофакторная аутентификация. Похожие требования о применении двухфакторной аутентификации есть и у платежной системы SWIFT, прописаны в регламентных документах Банка России и ФСТЭК. То есть одна из целей, которую мы хотели достичь, внедряя 2FA решение, направлена на выполнение требований регуляторов.
Помимо этого, в связи с развитием инфраструктуры банка и формирования новых бизнес-процессов возникла потребность в повышении общего уровня защищенности корпоративной сети, что стало дополнительным поводом для решения о внедрении системы многофакторной аутентификации.
– По каким критериям выбирали систему в рамках импортозамещения?
– Основополагающим критерием был выбор решения, которое мы могли бы разместить непосредственно в контуре банка – on-premises.
Вторым важным условием была разновидность интерфейсов интеграции с конечными системами, где и производится процесс аутентификации пользователя. Необходимо было предусмотреть бесшовный переход на новое решение с сохранением текущих бизнес-процессов.
И еще один немаловажный момент – разновидность доступных в системе аутентификаторов: многообразие методов и способов доставки второго фактора пользователю.
– Какую систему в итоге выбрали?
– В 2022 г. мы инициировали оценку российского рынка решений двухфакторной аутентификации и после тестирования пришли к выводу, что единственной достойной альтернативой продукту RSA был только Indeed Access Manager.
Программный комплекс Indeed Access Manager – платформа для централизованного управления доступом пользователей к корпоративным приложениям, разработанная российским вендором – Компанией Индид. Indeed AM реализует строгую и многофакторную аутентификацию пользователей при доступе к информационным ресурсам, дополняя или заменяя пароли. Платформа поддерживает множество различных способов аутентификации, таких как одноразовые пароли, аппаратные носители, биометрические технологии, а также адаптируется к требуемым сценариям доступа и в каждом конкретном случае предоставляет возможность выбора оптимальной технологии.
– Насколько быстро проходило внедрение новой системы? Были сложности, связанные с этим?
– Официально Indeed Access Manager введен в промышленную эксплуатацию в прошлом году, но процесс масштабирования решения продолжается по сей день.
Это был комплексный мегапроект, который потребовал предварительной подготовки плана миграции: было необходимо определить группы пользователей, которые в первую очередь необходимо перевести на новое решение, и группы, которым еще доступны лицензии предыдущего решения, которыми они могут пользоваться. Дополнительно перед нами стояло множество интеграционных задач по причине того, что RSA, в отличие от Indeed Access Manager, встраивался нативно в некоторые из ИТ-систем.
Все проблемы, которые возникали в рамках внедрения, были успешно устранены при взаимодействии нашей внутренней команды с командой вендора, которая достаточно быстро реагировала на все изменения и своевременно выполнила все технические задания, предоставленные нами для доработки их системы под требования банка.
Компания Индид гордится своими специалистами, в частности командой технической поддержки, которая оперативно решала все вопросы сотрудников банка круглосуточно.
– Вы заметили какие-нибудь изменения эффективности работы сотрудников после внедрения решения усиленной аутентификации? Рабочие процессы изменились?
– Да, можно выделить сразу несколько серьезных изменений в лучшую сторону. Для примера возьмем проект создания умных офисов, в котором ранее коллеги использовали многофакторную аутентификацию, вводя OTP-пароли. С появлением нового решения мы переключили сотрудников на использование подтверждения второго фактора с помощью push-уведомлений, которые передаются им на телефоны, предлагая пользователю простой выбор: нажать кнопку «подтвердить» или «отклонить». Таким образом мы повысили скорость обслуживания клиентов нашего банка, минимизировали число случаев ошибок наших операторов.
Мы также интегрируем данное решение в наше корпоративное приложение, в котором читаем новости, ведем каталог пользователей, бронируем переговорные или коворкинги и т.д. Встраиваем в него некоторые функции из системы многофакторной аутентификации, а именно регистрацию аутентификатора для сотрудников, что позволит улучшить внутренние процессы доставки второго фактора, а также мы переносим отображение самих аутентификаторов из мобильного приложения Компании Индид в наше корпоративное приложение, чтобы избавиться от необходимости устанавливать множество программ на телефоны наших сотрудников – будет все в одном.
Платформа Indeed Access Manager обеспечивает контролируемый доступ как из внутренней сети компании, так и к системам, доступным из внешней сети (почта, VPN, VDI и веб-порталы). Такой подход позволяет построить централизованную систему предоставления доступа, которая охватывает все используемые целевые системы, сокращает расходы на сопровождение инфраструктуры и повышает эффективность работы пользователей.
– То есть этот проект позволил повысить уровень защищенности корпоративной инфраструктуры Альфа-Банка?
– Да. Ранее я рассказал больше про пользовательский опыт, но если говорить про безопасность в целом, то стоит отметить, что в процессе масштабирования Indeed Access Manager мы расширили зоны покрытия инструментом двухфакторной аутентификации: 2FA стали использовать в большем количестве ИТ-систем и СЗИ. Мы смогли этого достичь за счет широкого интеграционного функционала решения и оперативной поддержки со стороны команды Компании Индид. Это позволило нам повысить уровень защищенности корпоративной инфраструктуры и закрыть часть требований регуляторных органов (Банк России, ФСТЭК).
– Какие рекомендации вы хотели бы дать тем, кто находится в процессе выбора подобного решения?
– Рекомендации простые. Исходя из задач – меняете ли прежнюю систему на новую или строите новую систему с нуля – подходите к этому процессу комплексно, изучив весь доступный рынок.
В первую очередь определите, какие потребности вы хотите закрыть системой, какие виды аутентификаторов необходимо будет использовать. Например, у нас это одноразовые пароли (OTP) либо push-уведомления. Может быть, для кого-то будет принципиально важно использовать физические токены или биометрию.
На старте необходимо выработать определенные и четкие требования, которые вы будете предъявлять к системе, а потом провести анализ рынка на предмет наличия вендоров, которые предлагают и поддерживают такие решения. Обязательно нужно провести пилоты с нагрузочным тестированием: сколько система может одномоментно аутентифицировать пользователей, как она ведет себя под этой нагрузкой, как масштабируется. Далее решить вопросы с ее отказоустойчивостью и архитектурой. Потом определить, важно ли быстрое внедрение – в этом случае лучше посмотреть облачные решения, которые позволяют быстрее использовать функционал такого рода систем.
Если нужно больше безопасности, тогда стоит рассмотреть on-premises-решения, которые полностью изолированы от сети Интернет и находятся внутри периметра компании.
– Чем именно решение Indeed Access Manager отличается от других аналогичных решений по многофакторной аутентификации?
– Принципиальные различия – именно в работе второго фактора. Если сравнивать аутентификацию в RSA и в продукте Компании Индид, то, не вдаваясь в подробности, можно сказать, что они работают одинаково, по метке времени. Но у Компании Индид больше различных доступных для использования аутентификаторов.
Из дополнительных приятных различий – то, что теперь мы можем отправлять одноразовые пароли на почту, по СМС, в различные мессенджеры, то есть можем создать интеграцию с привязкой к профилю пользователя. Возможностей по сравнению с предыдущим решением – масса.
Предыдущее иностранное решение, которым мы пользовались, RSA, – решение мирового уровня. Оно очень хорошо зарекомендовало себя на международном рынке. Но решение Компании Индид по сравнению с RSA имеет более широкий функционал и даже в какой-то степени превосходит его.
Indeed AM, с целью усиленной аутентификации пользователей, поддерживает множество различных технологий, таких как биометрическая аутентификация, push-аутентификация, аутентификация с помощью аппаратных средств или одноразовых паролей (выдаваемых локальными генераторами либо отправляемых по СМС или электронной почте).
– Компания Индид – российский разработчик, функциональность решений компании больше соответствует потребностям российских заказчиков, что в ситуации, связанной с импортозамещением, плюс. Тем не менее идеальных решений пока не существует. Какие доработки системы потребовались на этапе ее внедрения?
– Было несколько важных для нас доработок, которые команда Компании Индид реализовала.
В банке используется почтовая система, которая доступна с мобильных устройств сотрудников. Для повышения уровня безопасности и закрытия регуляторных требований были приняты меры по применению встроенного инструмента почтовой системы – карантин, или белые списки устройств. При первичном подключении устройства сотрудника к почтовой системе оно попадает в карантин, то есть доступ блокируется. Для оптимизации скорости предоставления доступа сотрудникам у Компании Индид мы запросили доработку портала самообслуживания в части интеграции с почтовой системой на новом уровне и добавление функционала вывода устройства из карантина самим же сотрудником.
Другая принципиально значимая доработка заключалась в привязке аутентификатора к некоему уникальному коду устройства – Device ID. При регистрации токена мы хотим быть уверены в том, что он будет зарегистрирован на том устройстве, с которого был запрос на его выпуск. У каждого сотрудника есть персональное устройство, на которое он устанавливает приложение, считывающее уникальный идентификатор мобильного устройства. В тот момент, когда происходит запрос на генерацию, выпускается токен, который может быть активирован только на этом личном устройстве. Если вдруг каким-то образом произойдет перехват регистрационных данных, применить их на другом устройстве будет невозможно. Эта функция в целом повышает базовую защищенность использования системы многофакторной аутентификации.
В рамках проекта было реализовано несколько существенных функциональных возможностей системы.
- Доработки политик Indeed AM под требования банка. Пользователь может состоять в нескольких политиках Indeed AM, что позволяет реализовать гибкую и простую настройку прав на работу с модулями Indeed AM и аутентификаторами.
- Реализация Secured TOTP. Секретный ключ для генерации одноразового кода зашифрован и расшифровывается только ключом на основе идентификатора устройства. Таким образом, аутентификатор защищен от регистрации на нескольких устройствах.
- Реализация 2FA для сценария вывода устройств из карантина. Пользователь настраивает почтовый аккаунт на новом устройстве через Exchange ActiveSync, устройство автоматически попадает в карантин. Чтобы начать получать почту, необходимо вывести устройство из карантина. Теперь это нужно делать с помощью специального сервиса подготовки мобильных устройств, доступ в который осуществляется после двухфакторной аутентификации в системе AM.
- Подсчет лицензий для каждой отдельной политики AM. Система позволяет задать доступное количество лицензий для определенной политики, чтобы ограничить количество используемых лицензий для подразделения.
– Какие отличия вы видите в сотрудничестве с Компанией Индид по сравнению с зарубежным вендором?
– Да, это важный момент, который необходимо отметить. Взаимодействие с зарубежными вендорами напрямую либо через интеграторов было затруднительным, они очень неохотно шли на контакт. Добиться реализации актуального функционала было практически невозможно либо приходилось ждать его годами. На этом фоне взаимодействие с российским вендором, Компанией Индид, как российским производителем – беспрецедентно. Вендор идет навстречу заказчику, оперативно реагирует на запрос и принимает во внимание потребности в функциональности. Indeed Access Manager постоянно наращивает технологические возможности и развивается на Linux, чтобы поддерживать установку в российских операционных системах.
Преимущества Компании Индид:
— собственная разработка на территории РФ;
— бесплатное пилотное тестирование продуктов;
— полная поддержка на всех этапах внедрения;
— один год бесплатной техподдержки после запуска;
— круглосуточная техподдержка 24/7.
– Каковы дальнейшие планы по использованию Indeed Access Manager?
– В следующем году мы планируем пилотировать решение Indeed ITDR. Это совершенно другой подход к многофакторной аутентификации, который позволяет заказчику избавиться от необходимости проработки интеграций с системами по протоколам, поскольку решение Indeed ITDR встраивается в протокол LDAPS, Kerberos и множество других. Мы сможем перехватывать запросы к домен-контролерам, направлять на систему ITDR и там уже строить многофакторную аутентификацию. Таким образом, конечные системы подключать не нужно. Это должно сэкономить массу времени на проработку, реализацию и запуск интеграций новых систем с многофакторной аутентификацией. Мы будем тратить время только на настройку политик. Но опять же, если смотреть в сторону Indeed ITDR, то это совершенно другой диалог с вендором. И хотя класс систем остается такой же, подход к реализации многофакторной аутентификации отличается от Indeed Access Manager.
Дополнительно ожидаем готовность системы Indeed Access Manager к переходу на отечественную операционную систему. Это поможет закрыть регуляторные задачи по импортозамещению. Все решения должны работать на отечественных операционных системах.
– То есть сейчас вы используете два вида токенов – OTP и PUSH, но рассматриваете еще и третий способ аутентификации – биометрию?
– Да, на текущий момент со стороны бизнес-подразделений есть потенциальный интерес к применению инструментов аутентификации сотрудников по биометрическим данным в целях оптимизации времени подключения к АРМ. Совместно с ИТ-подразделениями прорабатываем данный подход, проведем пилотирование.
– С точки зрения финансовой составляющей как на вас отразился переход с зарубежного решения на российское?
– В банке обычно считают все не одномоментно, а в разрезе владения системой в течение нескольких лет, например трех-пяти. Когда мы принимали решение о замене зарубежной системы на российскую, то проводили финансовую оценку, которая показала, что уход от решения западного вендора в течение двух лет позволил банку в четыре раза сократить финансовые затраты на лицензирование системы многофакторной аутентификации.
– Каким вы видите ближайшее будущее ИТ и ИБ в России?
– Сдержанно оптимистичным. Все зависит от множества факторов и не в последнюю очередь от государственно-коммерческого партнерства, создания венчурного финансирования перспективных направлений с облегченными правилами ведения бизнеса в сфере кибербезопасности.
Таким образом, внедряемые системы безопасности на предприятии должны соответствовать актуальным угрозам и выполнять роль надежного цифрового щита компании.
Интервью опубликовано в журнале Information Security
Чтобы узнать подробнее о том, какими возможностями обладает переходите на страницу продукта Indeed Access Manager.
Заказать демонстрацию для вашей компании или провести внедрение — по телефону 8(800)333-09-06 или email на sales@indeed-company.ru
Читайте еще по теме
Айдентити Конф 2024 — первая в России конференция на тему безопасности Identity
Открылась регистрация на Айдентити Конф 2024, которая состоится 31 октября в пространстве Кибердома в Москве. Конференция состоится впервые и станет ежегодным событием и центром притяжения экспертизы в области […]
Обновление Indeed Privileged Access Manager (Indeed PAM): версия 2.10
Компания Индид представляет версию 2.10 продукта Indeed Privileged Access Manager (Indeed PAM). Теперь Indeed PAM помимо Active Directory и FreeIPA поддерживает службы каталогов OpenLDAP и ALD PRO. В […]
ЦНИИ Эпидемиологии Роспотребнадзора повышает кибербезопасность с помощью продуктов Компании Индид
Центральный научно-исследовательский институт Эпидемиологии Роспотребнадзора объявил о завершении проекта по внедрению комплексной системы защиты доступа на основе продуктов российского вендора Компании Индид – Indeed Access Manager (Indeed AM) […]
Страховая компания «Согласие» надежно защитила удаленный доступ сотрудников с помощью Indeed AM
ООО «СК «Согласие» и Компания Индид объявляют о завершении проекта по внедрению комплексной системы защиты удаленного доступа Indeed Access Manager (Indeed AM). Проект осуществлялся совместно с авторизованным партнером […]
Indeed PAM теперь защищает Сколково
В новом выпуске журнала «Information Security» директор департамента информационных систем и сервисов Фонда «Сколково» Игорь Соловьев рассказал о том, как обеспечивается безопасность огромной инфраструктуры и почему для этого […]