Интервью с начальником службы безопасности «СТС Медиа» о внедрении Indeed PAM

Александр Лавров, начальник службы безопасности «СТС Медиа», рассказал журналу Information Security о специфике обеспечения информационной безопасности в компаниях телерадиовещательной и телекоммуникационной отраслей, а также о тонкостях защиты периметра с учетом возрастающего количества сотрудников, работающих удаленно, и поделился своим опытом работы с системой класса Privileged Access Management, в частности, Indeed PAM. Приводим текст интервью ниже.

Какова специфика организации информационной безопасности в телерадиовещательных и телекоммуникационных компаниях?

Ключевой особенностью работы медиакомпаний является организация и обеспечение непрерывного функционирования основных ИТ-систем, в первую очередь тех, которые отвечают за выпуск в эфир видеоконтента. Это наша критическая инфраструктура.

При этом важно не только сохранить непрерывность вещания, но и не допустить выход в эфир несанкционированной информации. Отмечу, что результаты негативного несанкционированного воздействия на эфир будут заметны сразу и то может привести к репутационным ифинансовым потерям. Схожие ситуации наблюдаются и в банковской сфере, где цепочка от атаки до потерь очень короткая. Если текстовый материал на сайте можно оперативно скорректировать, то при вещании в реальном времени такой возможности нет. Трансляция передачи закончится, а компании придется отвечать за последствия.

Следовательно, с точки зрения информационной безопасности нам необходимо создать условия, при которых несанкционированная замена контента будет невозможна. Исходя из этого, очерчиваются основные направления защиты информации: это защита целостности всех ИТ-систем, связанных с трансляцией нашего контента, а также обеспечение его доступности для вещания.

Что вы можете рассказать про особенности функционирования периметра вашей сети?

На текущий момент периметр нашей ИТ-инфраструктуры по большей части совпадает с физическими границами офисов компании, имеется несколько контуров безопасности и выделенных сегментов, включая критичные, доступ в которые мы стараемся ограничить и минимизировать.

В настоящее время усилилась тенденция к увеличению числа сотрудников, работающих удаленно с использованием как корпоративных, так и личных мобильных устройств, и эпидемиологическая ситуация в стране в разы ускорила этот процесс. Большая часть современных сотрудников использует в работе личные мобильные девайсы (планшеты, телефоны), которые они приносят в офис и подключают к корпоративному Wi-Fi.

В режиме реального времени мы наблюдаем, как периметр корпоративной сети все больше и больше размывается, и порой бывает сложно определить, что в него входит, а что нет. К примеру, у вас есть сотрудник, который работает удаленно со своего личного ноутбука. По классическому определению, такое устройство находится вне периметра. Однако с него можно подключиться к корпоративным веб-приложениям, на нем установлены приложения для корпоративных коммуникаций, имеется синхронизация с определенными каталогами из корпоративного облака. В таких условиях уже невозможно однозначно утверждать, что данное устройство находится за пределами периметра сети компании.

Аналогичная ситуация складывается и в отношении внешних исполнителей – подрядчиков, сотрудников технической поддержки, аутсорсеров и пр. Вроде бы они не относятся к компании напрямую, но отвечают за поддержку и работоспособность компонентов внутренних ИТ сервисов, на их устройствах имеется специализированное ПО, данные, документы, и они имеют удаленный доступ в наши системы. Все чаще таким пользователям предоставляются довольно широкие полномочия на действия в ИТ системе. А если эти пользователи находятся вне нашего физического периметра, то к ним необходимо применять инструменты особого контроля.

Как в вашей организации возникла задача обеспечения контроля привилегированного доступа? Что послужило мотивом поиска решения и реализации такого проекта?

Как я пояснил ранее, возникла острая необходимость в управлении доступом и обеспечении контроля за действиями удаленных сотрудников компании и сотрудников подрядных организаций.

Изучив рынок, мы начали с внедрения системы управления доступом и двухфакторной аутентификации линейных сотрудников. После этого практически сразу исчезла проблема с забытыми паролями, необходимостью их сброса и восстановления через администраторов системы.

Человеческий ресурс – самый дорогой! Особенно если это ресурс высококлассных специалистов. Поэтому для нашей компании важно, чтобы администраторы систем решали действительно значимые и ключевые задачи, исключая рутинные операции из своего ценного рабочего времени. Однако контроль доступа и решение проблем с управлением пользовательским доступом – это только верхушка айсберга информационной безопасности. Интернет пестрит новостями о том, что источником инцидентов все чаще становятся сотрудники, которые по специфике работы имеют доступ к привилегированным учетным записям системы. В «СТС Медиа» такой доступ есть не только у штатных администраторов систем, но и у подрядчиков. Здесь необходимо подчеркнуть, что компания, занимающая лидирующие позиции в своей сфере, не может рисковать, оставляя этот доступ без необходимого контроля и защиты.

Любой инцидент или внештатная ситуация должны быть максимально оперативно локализованы для устранения последствий. По этой причине возникает серьезная необходимость в осуществлении контроля за лицами, имеющими доступ к учетным записям с расширенными правами.

Скажите, внедрена ли такая система в вашей компании?

Поскольку классические меры контроля работы не могут быть применены к сотрудникам с доступом к привилегированным учетным записям и работающим вне физических офисов, мы пришли к выводу, что здесь необходимо использовать систему класса Privileged Access Management (PAM). Как я говорил ранее, многие сотрудники работают удаленно и с личных устройств администрируют нашу систему – сетевое оборудование, гипервизоры, серверы на базе Windows, Linux и т.д. При таком подходе должный мониторинг организовать довольно сложно, так как возможности установки контрольных устройств на рабочей станции администратора или подрядчика либо на администрируемом узле крайне ограниченны. И даже при установке такого устройства администратор имеет возможность его удалить или отключить.

Примерно полгода назад мы завершили внедрение системы класса Privileged Access Management, к тестированию которой приступили год назад, после завершения развертывания системы управления доступом и идентификацией сотрудников.

В рамках проекта мы протестировали программные комплексы различных вендоров и выбрали оптимальное для себя решение. Затем внедрили программное обеспечение для контроля действий привилегированных пользователей, которое учитывает указанные ранее ограничения, особенности работы и функционирует между рабочим местом и целевым администрируемым ресурсом.

Чтобы заказать демонстрацию Indeed Privileged Access Manager для вашей компании, напишите на почту sales@indeed-company.ru

А по каким ключевым критериям вы осуществляли поиск подходящего решения?

Сначала мы протестировали и внедрили программный комплекс для управления пользовательским доступом. В процессе его эксплуатации поняли, что требуется дополнительный функционал, который будет закрывать потребности контроля и защиты сотрудников, использующих привилегированный доступ в систему. Кроме двухфакторной аутентификации нужна была запись действий таких сотрудников, а также логирование всех открываемых ими сессий, которые имеют важное значение для работоспособности системы.

Дополнительным требованием была необходимость функционирования системы в безагентском режиме. Учитывая количество целевых ресурсов, для нас также было важно, чтобы решение умело автоматически находить иставить под контроль привилегированные учетные записи на целевых ресурсах.

И наверное, самый важный аспект, на который стоит обратить внимание, – взаимодействие между собой систем, выполняющих разные функции, чтобы впроцессе работы не возникали перебои из-за их несогласованной работы, аесли возникнет необходимость, специалист технической поддержки оперативно мог исправить ситуацию.

Расскажите, как проходило внедрение РАМ-системы.

От тестового внедрения до запуска в производственную эксплуатацию в полном объеме прошло несколько месяцев. Больше всего времени заняла подготовка, а не установка и настройка программного обеспечения.

Необходимо было проработать пользовательские сценарии, продумать, как перевести своих пользователей на работу через систему РАМ, оценить мощности и докупить недостающее оборудование. Весь процесс внедрения, как пилотируемый, так и производственный, сопровождался службой технической поддержки разработчика. Подготовили, получили лицензии, внедрили, используем.

Кроме того, отмечу, что была проведена очень глубокая проработка вопросов разделения труда в рамках разработки матрицы доступа. Если в отношении пользователей задача больше сводилась к корректному распределению полномочий, то в отношении администраторов все оказалось значительно сложнее. В первую очередь из-за того, что необходимо было не парализовать техническую работу и одновременно грамотно распределить полномочия, чтобы не появились так называемые суперадминистраторы. Это очень кропотливая работа с множеством нюансов.

Как оцениваете результаты внедрения?

За время эксплуатации мы уже успели оценить удобство системы и, самое главное, что теперь привилегированный доступ не только защищен, но и находится под полным контролем. К логам сессий мы имеем доступ в любое время, и при необходимости можем оперативно расследовать инциденты.

Мы успели завершить внедрение системы до начала проблем, связанных с мировой эпидемиологической ситуацией и, таким образом, оказались заранее подготовленными к массовой удаленной работе ключевых сотрудников компании и сотрудников подрядных организаций. Безусловно, это отличное конкурентное преимущество для любой серьезной компании.

Чтобы заказать демонстрацию Indeed Privileged Access Manager для вашей компании, напишите на почту sales@indeed-company.ru

Какие рабочие процессы изменились и как они повлияли на работу сотрудников?

Положительные изменения налицо: улучшились сценарии доступа, обеспечивается качественная проработка прав и ограничений для учетных записей, упорядочились все процессы, связанные с работой и доступом в сессии через РАМ-систему. И это только часть положительных изменений.

Что касается сотрудников, то одним из условий, которое требовалось реализовать для аутентификации администраторов системы и других аналогичных пользователей, была необходимость сохранения в секрете паролей доступа к привилегированным учетным записям. То есть сотрудник осуществляет вход в сессию к целевому ресурсу по своим учетным данным, а данные административной учетной записи скрыты от него. Плюс, конечно, запись и логирование сессий теперь не дают такому сотруднику расслабиться и потерять бдительность. В большой степени мы исключили человеческий фактор.

Какие функциональные особенности работы системы вас впечатлили?

Прозрачный мониторинг событий, происходящих в любой сессии. Появилась также возможность иметь прозрачный доступ (без раскрытия пароля) по RDP к системе и при этом вести видеозапись сессии.

Кроме того, полезной оказалась функция импорта учетных записей пользователей и компьютеров из каталога Active Directory, это позволило сократить сроки наполнения базы PAM и оперативно контролировать необходимые учетные записи.

Скажите, в итоге смогла ли данная система повысить уровень информационной безопасности компании?

Построение системы информационной безопасности компании – не одномоментное, можно сказать длящееся мероприятие. Каждый из шагов – и многофакторная аутентификация основной массы сотрудников, и контроль действий администраторов, подрядчиков, и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании, и мы их уже прошли.

Сейчас мы как минимум закрыли «парольную брешь» линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Мы также переработали внутренние процессы для создания психологического комфорта и удобства работы конечных пользователей в новых условиях, и эти меры, конечно, не последние.

Мое неизменное мнение: сотрудники подразделения информационной безопасности должны стараться всегда идти в ногу со временем, постоянно совершенствоваться, изучать и брать на вооружение лучшие практики как российских, так и зарубежных компаний.

Что повлияло на выбор конкретного поставщика решения?

Реалии таковы, что при выборе продукта нам нужно было принять во внимание множество факторов, а именно ценовую привлекательность, удобство и выгоды внедряемого продукта, полноту и комплексность предлагаемого решения, функциональность и безотказность системы, возможность его технологической интеграции с уже используемыми продуктами. Разумеется, важно в полном объеме выполнять имеющиеся требования регуляторов и законодательства РФ. Скажу честно, выбор был сложным. Мы рассматривали несколько программных комплексов. У каждого есть свои плюсы и минусы. Но мы нашли, как показала практика, оптимальное для нас решение. Внедренный нами Privileged Access Manager полностью соответствует нашим требовательным запросам. У вендора работает качественная служба технической поддержки, которая оперативно помогает и решает любые возникающие вопросы. Немаловажным также является тот факт, что выбранный нами программный комплекс внесен в реестр отечественного ПО. Кстати, наша система аутентификации сотрудников разработана той же компанией. В совокупности все эти факторы и повлияли на выбор.

К каким изменениям функционирования корпоративной ИТинфраструктуры, по вашему мнению, в перспективе трех-пяти лет нужно готовиться вашей компании?

Подчеркну, что в настоящее время классический подход к защите периметра компании, когда основное внимание концентрируется в основном на защите компонентов внутренней ИТ-инфраструктуры и фильтрации сетевых коммуникаций, теряет свою актуальность.

Дальнейшее увеличение количества личных мобильных устройств (смартфоны, планшеты, умные часы и т.д.) и использование их для корпоративных коммуникаций, на мой взгляд, еще больше будет размывать понятие периметра. Противостоять этим тенденциям бессмысленно, рано или поздно все столкнутся с ситуацией, когда нужно будет оперативно перестраиваться на контроль такого доступа, включая вопросы нейтрализации различных новых рисков и угроз. И чем раньше начнется эта работа, тем более значимой и качественной она будет.

Современная система защиты должна сместить акценты в сторону более глубокого и централизованного управления доступом, контроля полномочий, поведения, выявления аномалий в сетевой активности и в действиях пользователей.

Управление доступом считается одной из классических задач информационной безопасности, наряду с фильтрацией, резервированием и защитой от вирусов. Практически все крупные организации обладают масштабными и централизованными системами защиты от вирусов, эшелонированными системами много
уровневой защиты периметра, в их распоряжении находятся комплексные системы резервного копирования, резервирования вычислительных ресурсов, различные отказоустойчивые кластеры.

Тем не менее еще далеко не все отказались от использования паролей вкачестве единственного аутентификатора. Причем из-за уязвимости парольной защиты подразделения безопасности вынуждены предъявлять требования об использовании различных паролей для разных сервисов и о постоянной их смене. Это, безусловно, решает ряд проблем, но порождает множество других, создавая значительную нагрузку на службу безопасности и службу ИТ-администрирования.

Думаю, что в ближайшие годы существенно возрастет потребность в централизованной и масштабной системе идентификации и аутентификации, объединенной в единый комплекс, включающий в себя возможность работы не только с корпоративными ресурсами, но и с разными личными устройствами сотрудников.

Грамотные руководители предприятий (не только ИТ-компаний) понимают, что все больше и больше угроз и рисков переходит в информационную цифровую плоскость, в связи с чем информационная безопасность компании выходит на первые позиции и стоит, можно сказать, на первой линии обороны.

Глобализация экономических и культурных связей, развитие информационных ресурсов, внедрение больших данных и аналитических систем, с одной стороны, раздвигают рамки возможностей для развития компаний, а с другой – несут реальную угрозу моментальной потери бизнеса.

Таким образом, внедряемые системы безопасности на предприятии должны соответствовать актуальным угрозам и выполнять роль надежного цифрового щита компании.

Интервью опубликовано в журнале Information Security

Чтобы узнать подробнее о том, какими возможностями обладает переходите на страницу продукта Indeed Privileged Access Manager.

Заказать демонстрацию для вашей компании или провести внедрение — по телефону 8(800)333-09-06 или email на sales@indeed-company.ru