Интервью с руководством департамента безопасности «СберРешения» о применении Indeed AM
Отечественный рынок ИБ за минувшие два года претерпел заметные изменения, которые коснулись широкого спектра компаний.
О многолетнем применении продукта Indeed AM, потребностях и тенденциях рынка рассказали в интервью на Anti-Malware эксперты компании «СберРешения» — Григорий Ушаков, директор департамента безопасности, и Андрей Митяшин, руководитель направления в управлении централизованной инфраструктуры и технической поддержки.
Для вашего удобства часть интервью опубликовали здесь. Полную версию можно прочитать на anti-malware.ru
Работая со внешними клиентами, вы видите потребности разных организаций, особенно малого и среднего бизнеса. Насколько важной является сейчас тема информационной безопасности для компаний, с которыми вы работаете, и как изменилась потребность в ИБ за минувшие полтора года?
Григорий Ушаков: Российский рынок ИБ значительно перестроился за последнее время, появилось множество решений со стороны отечественных производителей средств ИБ. Но восприятие потребностей в ИБ для широкого рынка практически не изменилось.
Несмотря на то что крупные российские организации имеют необходимые средства защиты и обученных сотрудников, утечки всё равно происходят, причём по примерно одинаковым сценариям. В чём кроется причина этой тенденции?
Г. У.: В большинстве случаев объяснение утечек банально — это человеческий фактор. Всё предусмотреть невозможно.
Чем больше в компании инструментов и систем, тем сложнее управлять, отслеживать и настраивать, необходимо больше контроля.
Что можно сделать, чтобы попытаться снизить риски утечек конфиденциальных данных?
Г. У.: В нашей компании человеческий фактор сведён к минимуму. Уже много лет мы используем решение для усиленной аутентификации пользователей — Indeed Access Manager. Эта платформа обеспечивает многофакторную аутентификацию пользователей, усиливает защиту подключений к определённым ИТ-системам и безопасность доступа в целом. Вместо привычных паролей, которые не всегда соответствовали требованиям безопасности и были трудны для запоминания, используется двухфакторная система аутентификации.
Как должен выстраиваться процесс управления правами доступа к конфиденциальным данным и ИТ-ресурсам в целом?
Г. У.: Здесь можно ответить одной фразой: принцип минимальных привилегий.
Согласно концепции «нулевого доверия» (Zero Trust), каждый пользователь должен иметь минимальный необходимый набор прав и проходить безопасную аутентификацию, что подразумевает в том числе отказ от использования паролей в пользу иных способов усиленной аутентификации (биометрия, смарт-карты, одноразовые пароли).
Вы упоминали, что пользуетесь системой Indeed Access Manager (Indeed AM). Для каких целей применяется это решение?
А. М.: Мы используем Indeed AM для доступа внешних клиентов в изолированном сценарии по сервисам SaaS. Доступ внутренних клиентов в настоящий момент мы защищаем с помощью других инструментов.
Давайте поговорим о внешних пользователях. Речь идёт о ваших клиентах, верно?
А. М.: Да, мы предоставляем сервис работы на нашей инфраструктуре SaaS. Клиентам, которые эту услугу запросили, оплатили и готовы ею пользоваться, мы предоставляем доступ к некоторой изолированной инфраструктуре. Понятно, что таких клиентов никто не пустит во внутреннюю сеть с неограниченным набором прав доступа.
Почему вы выбрали именно эту систему для внешних пользователей? Сегодня на рынке есть конкурирующие продукты, в том числе российские.
А. М.: Мы сотрудничаем с «Компанией Индид» по вопросам доступа внешних клиентов более десяти лет. Нас полностью удовлетворяют в том числе возможность использования аппаратных OTP-токенов и механизм интеграции с Active Directory. Мы рассматривали альтернативные решения, но по соотношению цены и качества победила «Компания Индид».
Когда вы говорите об OTP, речь идёт о мобильном приложении?
А. М.: Нет, для внешних клиентов используются аппаратные токены. Мы отправляем клиенту физический токен с генератором паролей.
Какие рекомендации можете дать компаниям, которые находятся в процессе выбора аналогичной системы защиты доступа или только планируют её внедрять?
Г. У.: Проводить «пилотирование», выбирать решение, которое вам больше подходит с точки зрения ваших требований.
А. М.: Да, надо опираться на то, к чему вы хотите предоставить доступ, и выбирать решение, которое гарантированно охватывает ваши потребности по предоставлению доступа. Здесь надо отталкиваться от той системы, которую вы хотите защищать, и уже под неё искать решение на рынке.
Можете ли вы рассказать о выгодах и улучшениях, связанных с Indeed Access Manager, для клиентов, себя и ИБ в целом?
А. М.: Начать нужно с нашей реализации, что используется для доступа внешних клиентов. Григорий подтвердит, что у нас практически от всех внешних клиентов, как минимум — от крупных, идут свои требования по обеспечению безопасности. Проходят постоянные аудиты, причём довольно жёсткие. Одно из обязательных требований — многофакторная аутентификация с точки зрения контроля доступа. И даже если бы мы хотели что-то упростить со своей стороны, мы не можем отказаться от определённых процедур, потому что это требование клиента.
Indeed Access Manager побеждает, потому что это российское производство. Требования к системам аутентификации и доступа он полностью удовлетворяет. И ещё важный фактор — цена. С точки зрения наших масштабов Indeed AM выигрывает у большого количества продуктов. Насколько я знаю, в российском сегменте у него не так много конкурентов.
И, наверное, играет свою роль выбор в пользу облачного или локального решения?
А. М.: Да, был и такой фактор. Часть клиентов требовала именно локального (in-house) решения. Indeed Access Manager в этом плане выгоден и надёжен.
Пришлось ли вам каким-то образом индивидуализировать саму систему? Дорабатывалось что-то под конкретные задачи?
А. М.: Практически нет. Indeed AM в сценарии удалённого терминального доступа нас полностью устроил. В процессе внедрения некоторые подводные камни были, но техподдержка «Компании Индид» оперативно помогла нам решить все вопросы.
Много ли времени заняло у вас внедрение системы?
А. М.: Если считать пилотный проект, который проверялся на департаменте ИТ, то около трёх месяцев. В большей степени это были вопросы внутреннего согласования. Развернуть, поднять систему — не очень долгий процесс: порядка двух недель со всей перепиской с поддержкой, получением соответствующего софта, лицензии и так далее. Плюс около двух месяцев внутреннего тестирования и согласования для вывода в промышленную эксплуатацию.
Как для самих себя и для руководства аргументировать необходимость внедрения подобных систем?
Г. У.: Руководству необходимо транслировать возможные риски и потери, которые мы можем понести, если это не будет внедрено.
А. М.: Добавлю аргумент: все современные сервисы с доступом либо уже используют многофакторную аутентификацию, либо стремительно к ней переходят.
Чтобы идти в ногу со стандартами безопасности, крайне необходимо использовать многофакторную аутентификацию для контроля доступа ко критически важным системам.
И тут уже возникает вопрос, что вы выберете в качестве второго фактора и какая система будет его обрабатывать. Дальше будут учитываться простота внедрения, стоимость и так далее. В нашем случае для аутентификации внешних пользователей, как уже упоминалось ранее, полностью подошла система многофакторной аутентификации Indeed Access Manager.
Чтобы узнать подробнее о том, какими возможностями обладает продукт переходите на страницу продукта Indeed Access Manager или закажите демонстрацию работы решения для вашей компании:
Читайте еще по теме
Айдентити Конф 2024 — первая в России конференция на тему безопасности Identity
Открылась регистрация на Айдентити Конф 2024, которая состоится 31 октября в пространстве Кибердома в Москве. Конференция состоится впервые и станет ежегодным событием и центром притяжения экспертизы в области […]
Обновление Indeed Privileged Access Manager (Indeed PAM): версия 2.10
Компания Индид представляет версию 2.10 продукта Indeed Privileged Access Manager (Indeed PAM). Теперь Indeed PAM помимо Active Directory и FreeIPA поддерживает службы каталогов OpenLDAP и ALD PRO. В […]
Безопасное управление доступом к информационным ресурсам банка
Санкт-Петербург, март 2012 — в ОАО «Банк «Санкт-Петербург» завершился пилотный проект по внедрению централизованной системы строгой сквозной аутентификации и управлению доступом Indeed-Id, реализованный совместно компаниями CSBI и “Индид”. […]
«СТРОЙПРОЕКТ» дивизион Реновация строит безопасное будущее с Indeed Access Manager
ООО «СТРОЙПРОЕКТ» Дивизион Реновация совместно с Компанией Индид объявляют о завершении проекта по внедрению программного комплекса для централизованной защиты доступа на базе продукта Indeed Access Manager (Indeed АМ). […]
Интервью с директором по информационной безопасности ПАО «Сегежа Групп» о внедрении Indeed AM
Вынужденное импортозамещение на рынке информационных технологий ставит перед службами информационной безопасности серьезные вопросы о том, как контролировать права доступа и учетные записи пользователей. Как с помощью продукта Indeed […]