Интервью с директором по информационной безопасности ПАО «Сегежа Групп» о внедрении Indeed AM

Вынужденное импортозамещение на рынке информационных технологий ставит перед службами информационной безопасности серьезные вопросы о том, как контролировать права доступа и учетные записи пользователей.

Как с помощью продукта Indeed AM эти задачи решались в ПАО «Сегежа Групп», рассказал директор по информационной безопасности Максим Королёв в интервью на Anti-Malware.

Интервью получилось очень интересным и содержательным.

Для вашего удобства часть интервью публикуем ниже. Полную версию можно прочитать на Anti-Malware.

Как, на ваш взгляд, должен выстраиваться идеальный процесс управления правами доступа и учётными записями организации?

М. К.: Примерно с 2010 года существует методология «нулевого доверия» — Zero Trust. Она подразумевает выдачу минимальных необходимых прав для доступа только к той информации, которая нужна, и только на то время, которое требуется. Для того чтобы реализовать и поддерживать её в большой компании, необходимо приложить колоссальное количество усилий. Последнее время автоматизация и цифровизация компаний шли семимильными шагами, и за ними никто не успевал, включая информационную безопасность. Поэтому все сосредоточились на построении некоего «забора» вокруг. Выстраивание внутренних процессов — сегментация, управление доступом, ролями, всевозможные проверки — очень трудоёмкое дело. Как мы уже отметили, большинство компаний работают без внедрения этих процессов, и весьма успешно: они не ощущают, что где-то потеряли какие-то деньги, а ресурсы ИТ всегда ограничены. Поэтому такие факторы — трудоёмкость, стоимость и неочевидность результата — привели к тому, что эти решения внедрены либо в виде лозунгов, либо вообще никак.

Как вы управляете учётными записями и правами доступа, если у вас нет IdM? Что используется?

М. К.: Называть продукты я не буду, но это происходит децентрализованно. В разных системах (ERP, BI, системное ПО) мы управляем учётными записями и правами доступа через встроенные инструменты. Есть некоторые элементы интеграции этих систем, но централизованного управления ролями мы ещё не достигли.

А что касается управления доступом извне? С чем вы работаете здесь?

М. К.: Мы используем продукт «Компании Индид» — Indeed Access Manager в части реализации второго фактора аутентификации. Все удалённые пользователи у нас подключаются с помощью этого продукта. Также рассматриваем возможность применения Indeed Privileged Access Manager для верификации и контроля действий привилегированных пользователей — системных администраторов, что позволит снизить риски внутренних нарушений и более качественно проводить расследования инцидентов.

Сколько времени у вас ушло на внедрение системы многофакторной аутентификации и что из зарубежных аналогов у вас использовалось раньше?

М. К.: Мы не использовали зарубежные аналоги, а сразу внедрили Indeed Access Manager. На внедрение потребовалось около трёх месяцев, после чего система перешла в стадию промышленной эксплуатации и работает стабильно.

Почему выбрали именно эту систему?

М. К.: Мы посмотрели аналоги, стоимость, сравнили их, после чего приняли решение, какую систему выбрать. На тот момент было не так много вариантов, которые позволяли решать стоящие перед нами задачи.

Среди ключевых требований, которые вы предъявляли к такого рода системе, что вы ставили на первый план, что должно было поддерживаться? Что для вас было критически важным?

М. К.: Возможность работы с VPN, которые мы используем, поддержка мобильных устройств всех типов, которые применяют наши работники и подрядчики; удобство интерфейса и надёжность работы также были одними из ключевых аспектов. Конечно же, стоимость. Вот параметры, которые определили наш выбор.

Для чего была необходима поддержка работы с мобильными устройствами? Вы используете их как дополнительные факторы аутентификации?

М. К.: Да, продукт настроен на работу через пуш-уведомления. Если бы мы начали работать через СМС-уведомления, нам бы пришлось ставить у себя СМС-шлюз, платить абонентскую плату и так далее. У «Компании Индид» есть приложение для всех видов устройств, причём даже для эксклюзивных операционных систем, используемых, например, в телефонах Honor. Соответственно, пользователь устанавливает у себя приложение, в пару кликов настраивает его, а далее при входе в нашу инфраструктуру через VPN получает пуш-уведомления и подтверждает, что это он.

Что изменилось после внедрения Indeed Access Manager? Как сотрудники отнеслись к этому?

М. К.: Для сотрудников и для представителей подрядчика это дополнительная работа. В этом случае их нейтральная позиция является лучшей похвалой для продукта. Не было никаких особых нареканий на тему того, что неудобно, не работает и так далее. В адрес интегратора, который внедрял систему, и вендора хочется отметить, что они весьма быстро реагировали на замечания, то есть максимум в течение недели устранялись даже сложные проблемы, все трудности были оперативно решены и интеграция с нашей инфраструктурой прошла хорошо. Мы говорили об утечках учётных записей пользователей, это случается по разным причинам. Вторым фактором мы защищаемся от взлома с помощью утекшей «учётки». Теперь просто скачать VPN и зайти под похищенной учётной записью у злоумышленника не получится. Тем самым мы существенно усилили нашу защиту, построив ещё один эшелон, и это — большой шаг вперёд для нас.

Как вы смотрите на использование биометрии в качестве дополнительного фактора аутентификации?

М. К.: При реализации каких-то решений я всегда придерживаюсь принципа Парето: 80 % процентов результата можно получить за 20 % усилий. С биометрией мы вряд ли существенно усиливаем свою защиту (может, на какие-то доли процентов), не перекрываем никакого нового вектора атаки, однако сразу подпадаем под действие закона о защите персональных данных. Плюс усиливаются требования к аппаратной части, то есть должны быть камера или сканер отпечатков. Я считаю, что это чересчур для обеспечения второго фактора, и в эту сторону мы двигаться пока не собираемся.

Правильно ли я понимаю, что вы не используете токенов?

М. К.: Токенов мы не используем. Второй фактор аутентификации в настоящий момент мы применяем для удалённых пользователей в виде пуш-уведомлений на мобильные устройства. В редких случаях, когда это невозможно, мы переходим на отправку кода для второго фактора посредством почтовых сообщений. Для информации, которую мы защищаем, второго фактора в виде пуш-уведомлений достаточно. Токены и прочие ухищрения никаких новых векторов атак или моделей угроз не отрабатывают. Они защищают от нарушителя более высокого класса или от группы хакеров, которые работают профессионально и имеют дорогостоящие инструменты. Но надо исходить из того, что мы защищаем. В нашем случае довольно такого решения.

Для каких приложений в первую очередь используется продукт? Насколько серьёзным и сложным было внедрение?

М. К.: Мы используем Indeed Access Manager для всех приложений. Человек, который входит в нашу инфраструктуру, получает в соответствии со своей ролевой моделью доступ к тем или иным приложениям. Если этот человек подключается не из офиса, а снаружи, он должен включить VPN и установить соединение — без этого у него доступа не будет, — а VPN-соединение он не сможет установить без ввода второго фактора, то есть без подтверждения, что это действительно он. Вся интеграция касалась нашего VPN-клиента. В общем-то, достаточно просто.

Чтобы узнать подробнее о том, какими возможностями обладает продукт переходите на страницу продукта Indeed Access Manager или закажите демонстрацию работы решения для вашей компании: