Интервью с руководством департамента безопасности «СберРешения» о применении Indeed AM

Отечественный рынок ИБ за минувшие два года претерпел заметные изменения, которые коснулись широкого спектра компаний.

О многолетнем применении продукта Indeed AM, потребностях и тенденциях рынка рассказали в интервью на Anti-Malware эксперты компании «СберРешения» — Григорий Ушаков, директор департамента безопасности, и Андрей Митяшин, руководитель направления в управлении централизованной инфраструктуры и технической поддержки.

Для вашего удобства часть интервью опубликовали здесь. Полную версию можно прочитать на anti-malware.ru

Работая со внешними клиентами, вы видите потребности разных организаций, особенно малого и среднего бизнеса. Насколько важной является сейчас тема информационной безопасности для компаний, с которыми вы работаете, и как изменилась потребность в ИБ за минувшие полтора года?

Григорий Ушаков: Российский рынок ИБ значительно перестроился за последнее время, появилось множество решений со стороны отечественных производителей средств ИБ. Но восприятие потребностей в ИБ для широкого рынка практически не изменилось. 

Несмотря на то что крупные российские организации имеют необходимые средства защиты и обученных сотрудников, утечки всё равно происходят, причём по примерно одинаковым сценариям. В чём кроется причина этой тенденции?

Г. У.: В большинстве случаев объяснение утечек банально — это человеческий фактор. Всё предусмотреть невозможно.

Чем больше в компании инструментов и систем, тем сложнее управлять, отслеживать и настраивать, необходимо больше контроля.

Что можно сделать, чтобы попытаться снизить риски утечек конфиденциальных данных?

Г. У.: В нашей компании человеческий фактор сведён к минимуму. Уже много лет мы используем решение для усиленной аутентификации пользователей — Indeed Access Manager. Эта платформа обеспечивает многофакторную аутентификацию пользователей, усиливает защиту подключений к определённым ИТ-системам и безопасность доступа в целом. Вместо привычных паролей, которые не всегда соответствовали требованиям безопасности и были трудны для запоминания, используется двухфакторная система аутентификации.

Как должен выстраиваться процесс управления правами доступа к конфиденциальным данным и ИТ-ресурсам в целом?

Г. У.: Здесь можно ответить одной фразой: принцип минимальных привилегий.

Согласно концепции «нулевого доверия» (Zero Trust), каждый пользователь должен иметь минимальный необходимый набор прав и проходить безопасную аутентификацию, что подразумевает в том числе отказ от использования паролей в пользу иных способов усиленной аутентификации (биометрия, смарт-карты, одноразовые пароли).

Вы упоминали, что пользуетесь системой Indeed Access Manager (Indeed AM). Для каких целей применяется это решение?

А. М.: Мы используем Indeed AM для доступа внешних клиентов в изолированном сценарии по сервисам SaaS. Доступ внутренних клиентов в настоящий момент мы защищаем с помощью других инструментов.

Давайте поговорим о внешних пользователях. Речь идёт о ваших клиентах, верно?

А. М.: Да, мы предоставляем сервис работы на нашей инфраструктуре SaaS. Клиентам, которые эту услугу запросили, оплатили и готовы ею пользоваться, мы предоставляем доступ к некоторой изолированной инфраструктуре. Понятно, что таких клиентов никто не пустит во внутреннюю сеть с неограниченным набором прав доступа.

Почему вы выбрали именно эту систему для внешних пользователей? Сегодня на рынке есть конкурирующие продукты, в том числе российские.

А. М.: Мы сотрудничаем с «Компанией Индид» по вопросам доступа внешних клиентов более десяти лет. Нас полностью удовлетворяют в том числе возможность использования аппаратных OTP-токенов и механизм интеграции с Active Directory. Мы рассматривали альтернативные решения, но по соотношению цены и качества победила «Компания Индид».

Когда вы говорите об OTP, речь идёт о мобильном приложении?

А. М.: Нет, для внешних клиентов используются аппаратные токены. Мы отправляем клиенту физический токен с генератором паролей.

Какие рекомендации можете дать компаниям, которые находятся в процессе выбора аналогичной системы защиты доступа или только планируют её внедрять?

Г. У.: Проводить «пилотирование», выбирать решение, которое вам больше подходит с точки зрения ваших требований.

А. М.: Да, надо опираться на то, к чему вы хотите предоставить доступ, и выбирать решение, которое гарантированно охватывает ваши потребности по предоставлению доступа. Здесь надо отталкиваться от той системы, которую вы хотите защищать, и уже под неё искать решение на рынке.

Можете ли вы рассказать о выгодах и улучшениях, связанных с Indeed Access Manager, для клиентов, себя и ИБ в целом?

А. М.: Начать нужно с нашей реализации, что используется для доступа внешних клиентов. Григорий подтвердит, что у нас практически от всех внешних клиентов, как минимум — от крупных, идут свои требования по обеспечению безопасности. Проходят постоянные аудиты, причём довольно жёсткие. Одно из обязательных требований — многофакторная аутентификация с точки зрения контроля доступа. И даже если бы мы хотели что-то упростить со своей стороны, мы не можем отказаться от определённых процедур, потому что это требование клиента.

Indeed Access Manager побеждает, потому что это российское производство. Требования к системам аутентификации и доступа он полностью удовлетворяет. И ещё важный фактор — цена. С точки зрения наших масштабов Indeed AM выигрывает у большого количества продуктов. Насколько я знаю, в российском сегменте у него не так много конкурентов.

И, наверное, играет свою роль выбор в пользу облачного или локального решения?

А. М.: Да, был и такой фактор. Часть клиентов требовала именно локального (in-house) решения. Indeed Access Manager в этом плане выгоден и надёжен.

Пришлось ли вам каким-то образом индивидуализировать саму систему? Дорабатывалось что-то под конкретные задачи?

А. М.: Практически нет. Indeed AM в сценарии удалённого терминального доступа нас полностью устроил. В процессе внедрения некоторые подводные камни были, но техподдержка «Компании Индид» оперативно помогла нам решить все вопросы.

Много ли времени заняло у вас внедрение системы?

А. М.: Если считать пилотный проект, который проверялся на департаменте ИТ, то около трёх месяцев. В большей степени это были вопросы внутреннего согласования. Развернуть, поднять систему — не очень долгий процесс: порядка двух недель со всей перепиской с поддержкой, получением соответствующего софта, лицензии и так далее. Плюс около двух месяцев внутреннего тестирования и согласования для вывода в промышленную эксплуатацию.

Как для самих себя и для руководства аргументировать необходимость внедрения подобных систем?

Г. У.: Руководству необходимо транслировать возможные риски и потери, которые мы можем понести, если это не будет внедрено.

А. М.: Добавлю аргумент: все современные сервисы с доступом либо уже используют многофакторную аутентификацию, либо стремительно к ней переходят.

Чтобы идти в ногу со стандартами безопасности, крайне необходимо использовать многофакторную аутентификацию для контроля доступа ко критически важным системам.

И тут уже возникает вопрос, что вы выберете в качестве второго фактора и какая система будет его обрабатывать. Дальше будут учитываться простота внедрения, стоимость и так далее. В нашем случае для аутентификации внешних пользователей, как уже упоминалось ранее, полностью подошла система многофакторной аутентификации Indeed Access Manager.

Чтобы узнать подробнее о том, какими возможностями обладает продукт переходите на страницу продукта Indeed Access Manager или закажите демонстрацию работы решения для вашей компании: