Михаил Абрамович, Octopus Identity: Учетные данные образуют новый периметр безопасности

Михаил Абрамович, генеральный директор Octopus Identity, рассказал порталу Cyber Media об изменениях в подходах к безопасности в последнее время, о том, какие векторы атак сегодня все чаще используют злоумышленники и почему вопрос эффективного управления и контроля доступа к информационным системам в условиях размытия сетевого периметра становится все острее.

Cyber Media: Каковы основные причины размытия периметра безопасности?

Михаил Абрамович: На размытие корпоративного периметра влияют три ключевых фактора. Во-первых, это происходит за счет географической распределенности пользователей информационных систем: высокий процент сотрудников работает на удаленке, часть специалистов находится в региональных офисах или у них бывают частые командировки в другие города. Во-вторых, ИТ-инфраструктура компаний тоже выходит за рамки корпоративного периметра. Если раньше все информационные системы располагались строго на локальных серверах компании, то есть по модели on-premise, то за последние годы, с развитием облаков, многие клиенты размещают свои системы в облачных инфраструктурах, в том числе даже бизнес-критичные.

И в-третьих, увеличивается доля проектов и работ, передаваемых внешним подрядчикам на аутсорс. В последнее время мы все чаще наблюдаем тенденцию среди наших заказчиков, что не только собственные сотрудники получают доступ к ресурсам и системам компаний, но и много внешних специалистов со стороны: партнеры, клиенты, контрагенты и др.

Cyber Media: Какие изменения в подходах к безопасности это явление требует от компаний?

Михаил Абрамович: Из-за того, что периметр корпоративной сети размывается, крайне важным становится комплексный подход к identity security. Раньше нужно было защищать сеть физически,условно говоря, входную дверь, чтобы никто в нее не вошел, а сейчас концепция поменялась: нужно защищать айдентити — сегодня это новый периметр безопасности.

Если следовать концепции Zero Trust, которая подразумевает нулевое доверие к кому-либо, когда-либо и где-либо, то периметром в таком случае становится одна система, один человек, одно устройство и так далее. И каждый отвечает за сохранность своего периметра. В то же время размытие корпоративных границ сети, то есть потеря зоны контроля, должна компенсироваться ростом другого контроля. Поэтому востребованными становятся дополнительные факторы аутентификации, биометрия, one time passport и другие технологии, направленные на защиту и контроль доступа. Появляется требование, чтобы человек, подключающийся к системе, соответствовал определенным условиям, например, смог подключаться только в свое рабочее время с учетом своей тайм-зоны.

Кроме этого, размытие периметра накладывает определенные требования на устройство пользователя, который подключается: оно должно быть оснащено различными антивирусами и другими программами защиты, работать в соответствии с общей концепцией безопасности в компании. При этом ИБ-отдел задает определенные требования к подключающимся устройствам и правила, по которым они действуют. Поэтому подключиться с любого устройства, как правило, не получится.

Cyber Media: Какие основные векторы атак используют злоумышленники?

Михаил Абрамович: Основные векторы атак можно условно разделить на два типа. Первый — строго технические. К ним относятся DDos-атаки, атаки на фаервол, через уязвимости, обход средств защиты, SQL-инъекции и так далее. Они давно изучены.

Второй вектор — это атаки, в которых большую роль играет человеческий фактор, такие как фишинг, компьютерные черви и тому подобное. В этих случаях конечный результат атаки очень сильно зависит от человека, его компетенций и настроя, в том числе морального, а также иногда и от его мотивации.

В последние годы растет число атак, связанных с компрометацией учетных данных: злоумышленникам проще получить доступ к инфраструктуре компании с помощью кражи айдентити, чем обходить многочисленные средства защиты.

Cyber Media: Что необходимо контролировать за периметром?

Михаил Абрамович: Как уже говорил, само понятие периметра, в традиционном понимании, уже теряет свою актуальность. Современный периметр — это айдентити и мы рекомендуем заниматься именно его безопасностью.

В своей практике мы часто сталкиваемся с тем, что у кого-то из пользователей или сотрудников компаний оказывается излишний доступ к информационным ресурсам, что повышает риски безопасности и создает потенциальную поверхность атаки.

Обычно, когда в организации нет системы управления доступами, сотрудник за десять лет работы может получить права практически везде, независимо от размера бизнеса и процессов, в которых задействован этот специалист. Это увеличивает вероятность несанкционированного использования имеющихся у него доступов: например, пользователь может утвердить определенный бюджет и израсходовать его, запросить финансовые средства и найти поставщика на них. Или, например, сотрудник увольняется, а используемые им учетные записи для доступа к системам забывают удалить. Получается, что человек уже давно не работает в компании, но при этом его привилегии сохраняются. Тогда могут возникнуть как внутренние ситуации из-за рискованных комбинаций доступа, так и угрозы со стороны внешних атакующих, которые могут воспользоваться забытой учетной записью.

Cyber Media: С учетом текущих тенденций, как компаниям защищаться от несанкционированного доступа к корпоративным системам и учетным данным? Как выстроить эффективное и централизованное управление доступом?

Михаил Абрамович: Для начала компаниям нужно выявить все уязвимые места в инфраструктуре, которые злоумышленники могут использовать для атак, а также их   их цели, мотивы. И, исходя из этого, подбирать инструменты. Например, чтобы отслеживать соблюдение регламентов на стадии выдачи доступов, необходимо применять решения класса IdM (Identity management). А чтобы минимизировать риски от несанкционированного доступа — внедрять принцип минимальных привилегий и централизованное управление доступом.

В компаниях обычно используется много разных систем, а пользователь, как правило, — один (айдентити). Для выполнения работы сотруднику требуется определенный набор доступов и прав в каждой системе. Если выдавать каждому сотруднику права доступа вручную, то увеличивается риск предоставить лишние привилегии. Поэтому ИБ-отдел заранее формирует роли, например, по должности, которая описывает функционал специалиста полностью в этих десяти системах. При этом применяется принцип минимальных привилегий: роль не получает ничего лишнего, только то, что утверждено и необходимо для выполнения его задач. Таким образом, при приеме на работу или к приходу нового подрядчика ему назначают роль, и он за минуту получает доступ во все нужные системы. Это уже сокращает поверхность атаки, которая может произойти.

Другая задача — централизация управления и контроля доступом, которая включает в себя описание всех доступов и привилегий и позволяет получать отчеты по событиям из журналов активности. Обычно в компаниях устроено так, что для каждой отдельной системы существуют отдельные правила. Например, в системе 1С один администратор настраивает доступы по своим правилам, в Windows-системах другой администратор настраивает, в Unix-системах — третий. Централизация подразумевает переход от управления каждой индивидуальной системой к созданию единой точки для управления доступом в компании со всеми правилами, ролями и коннекторами, которые четко прописаны для всех систем.

На самом деле эта концепция не новая, она начала развиваться с 2010 года, и многие компании давно ее используют. Но теперь это становится “ must have”. В современном мире, где постоянно меняется ландшафт ИТ- систем, добавляются облачные технологии, увеличивается количество удаленных сотрудников, эту концепцию нужно реализовывать по-новому.

Cyber Media: Какова роль IdM-систем в современном подходе к Identity Security?

Михаил Абрамович: IdM — это основа identity security, решение, которое помогает инвентаризировать все с точки зрения доступа пользователей и эффективно этим доступом управлять: с одной стороны, учесть все системы, к которым потенциально можно получить доступ, с другой — персоны, то есть сотрудников компаний, внешних подрядчиков, партнеров, клиентов и др. IdM позволяет контролировать весь доступ к корпоративными системам в компании, а ИБ-специалистам всегда быть в курсе того, кто, куда и на каком основании имеет доступ. Они также сразу узнают, если доступ изменился, перестал соответствовать политике или роли.

IdM — это центр управления, который автоматизирует процессы назначения прав доступа, избавляет от рутины. Если такой системы в компании нет, то ИТ-специалисты заводят вручную все учетные записи и назначают права доступа. Кроме того, IdM позволяет соответствовать стандартам и выполнять требования к информационной безопасности со стороны государства: дает возможность аудиторам, комплаенс-офицерам и ИБ-отделу в любой момент узнать, кому какие доступы выданы, сделать отчет и передать его регуляторам.

Cyber Media: Каким компаниям необходима IdM?

Михаил Абрамович: Когда мы говорим про IdM, то речь идет, как правило, о крупном и среднем бизнесе. Малый бизнес — это небольшое количество пользователей, систем и несколько администраторов, которые могут все сделать вручную и с помощью нативных средств, существующих в службе каталога.

В IdM появляется необходимость, когда компания становится достаточно крупной больше 500 сотрудников. Увеличивается количество систем, требования от регуляторов становятся строже. Естественно, к таким компаниям относятся банки, промышленность, телекомы, финтех и другие компании из ключевых отраслей экономики.

Cyber Media: Какие еще технологии и подходы к кибербезопасности вы видите наиболее перспективными для защиты организаций в условиях размытия периметра?

Михаил Абрамович: Identity Security — это комплекс решений, которые дополняют друг друга, а не просто система двухфакторной аутентификации, IdM, PAM или ITDR. Поэтому и подход к защите айдентити, как я уже говорил, должен быть комплексным. Тогда мы действительно можем выстроить эффективную защиту, уменьшить рутину и снизить влияние человеческого фактора за счет новых технологий.

В частности, IdM-система должна подключаться к другим системам, чтобы помогать принимать решения, то есть быть частью одного большого организма, а не просто автоматизированной выдачей доступа. Когда ИБ-зрелость компании повышается, то недостаточно просто давать или закрывать доступ, возникает множество других процессов. Тогда нужно пересматривать подходы, проводить аналитику рисков.

Если говорить о совсем перспективных вещах — это повышение когнитивных способностей IdM-систем. Для этого требуется искусственный интеллект во всех его проявлениях. Например, процессы Маркова для определения векторов атак или LLM-модели для разбора текста сотрудников, если ему следует решить определенную задачу, но не знает, какой доступ ему конкретно нужен. В таком случае доступ часто приходится запрашивать у коллеги, который может быть занят, отсутствовать или отказать, потому что запрос был неверно оформлен. LLM решает эту проблему, с ее помощью можно также эффективно отслеживать нарушения.

Кроме этого, для повышения безопасности сеть нужно превращать в конвергированную: чтобы все системы работали не изолированно друг от друга, а вместе. Если это IdM-система, то при принятии решений она должна выдавать или отзывать права, опираться не только на подтверждение от ответственного сотрудника, но в том числе и на другие системы. И помогать тем, кто принимает решения, предоставляя информацию из других систем.

Cyber Media: Как можно обеспечить защиту данных при использовании мобильных устройств и облачных сервисов?

Михаил Абрамович: Мобильные устройства и облачные сервисы защищают разными способами. Мобильное устройство многократно опаснее, потому что используется для личных нужд. Принцип bring your own device упрощает управление устройствами: каждый сотрудник приносит свой ноутбук, телефон или планшет и ИБ-отдел учитывает его, ставит определенную систему и обеспечивает обслуживание находящимся на устройстве сервисам, чтобы нивелировать риски. В этом случае ИБ-специалистам необходимо обеспечить безопасность Inscription in rest и Inscription transition. То есть защищать данные на этом устройстве в их статическом состоянии и при передаче.

Также необходимо обезопасить корпоративную сеть от этого устройства как в случае атаки с третьей стороны, так и в случае злонамеренных действий самого владельца устройства.

Когда речь идет об облачных сервисах, то большая часть ответственности за безопасность корпоративных данных лежит на провайдере. Компания-заказчик должна помнить, где проходит зона ответственности. А также брать в расчет риски, связанные с тем, что провайдер — это сторонняя компания, которая хоть и прошла всевозможные аттестации, все равно не гарантирует полную защищенность. Например, компания может оказаться в другой юридической плоскости относительно тех, кто держит у нее свои данные, и это станет неожиданным событием. Поэтому нужно отслеживать ресурсы, которые размещают айдентити, отслеживать доступы, которые есть у айдентити, с учетом именно этого фактора.

Cyber Media: Сейчас не существует публично распространенных стандартов и практик обеспечения информационной безопасности внешнего периметра. Какие рекомендации вы могли бы дать?

Михаил Абрамович: Компании хотят расти: нанимать подрядчиков, принимать людей на работу из самых разных точек мира. Расширение периметра — необходимое условие для развития бизнеса. Если сужать периметр искусственно, то организация будет медленнее развиваться.

Не надо сдерживать периметр компании и ее развитие. Учетные данные, по сути, образуют новый периметр безопасности. Именно их нужно защищать. Тогда расширение периметра не будет пугать.