6 ноября 2024 г.

Продолжение, начало тут

Акцент на сопутствующих задачах обеспечения инфобезопасности крайне важен — это существенно повышает киберустойчивость предприятия, расширяет фронт работ для ИБ, но и приносит дополнительную прибыль. Причем прибыль и ИБ-компаниям (по понятным причинам), и заказчику (например, из-за снижения рисков, экономии средств из-за их целевых вложений и т. д.).

Заметим, что «сопутствующие» задачи зачастую занимают заметную долю рынка ИБ в денежном выражении и демонстрируют позитивную динамику, существенно опережающую весь «инфобез». Например, софт для обеспечения информационной безопасности в доступе к корпоративным ИКТ-ресурсам составляет 10-15% от российского рынка ИБ в целом, говорит Алексей Баранов, генерального директор компании «Индид», а рост упомянутого сегмента примерно вдвое превышает рост всего рынка ИБ.

Интересно, что многие корпоративные заказчики все еще смотрят на данное направление всего лишь как на «сопутствующую задачу», хотя значение Identity Security быстро растет. Это неудивительно — оно направлено на работу с самым уязвимым компонентом.

Про самый уязвимый компонент

Самый уязвимый компонент во всех корпоративных системах — люди. Программные и аппаратные составляющие работают более предсказуемо, лучше поддаются контролю и настройке, чем живые сотрудники. Векторов атак, использующих «уязвимости» сотрудников, существует множество — от злонамеренных действий до фишинга (см. врезку), от похищения учетных данных до провоцирования ошибочных действий — поэтому вопросы организации защиты от этой составляющей касаются не только ИБ, но и, например, HR.

«Важно формировать комплексный подход к ИБ, который включает в себя не только технические средства защиты информации, но и повышение киберграмотности сотрудников для минимизации риска пресловутого „человеческого фактора“, так как безопасность — едина и неделима», — подчеркнул Александр Соколов, руководитель направления Security Awareness в ГК «Солар».

Рассмотрим сегмент, составляющий лишь часть проблемы — защиту учетных записей. Это важно, так как все системы безопасности можно обойти, получив данные к «учеткам» пользователей. Образно говоря, строить заборы, ставить на окна решетки и менять двери на более прочные нужно, конечно, но все это потеряет смысл, если в руки злоумышленников попадут ключи.

«Захват учетных данных — важный этап кибератак, благодаря которому хакеры расширяют свои возможности в инфраструктуре», — отметил Айнур Акчурин, эксперт группы ИБ промышленных систем управления в Positive Technologies. Отметим, что это может быть одним из первых шагов на пути к реализации недопустимого события у корпоративного заказчика и нести серьезные риски.

Злоумышленники: снаружи и внутри

Пара логин/пароль, открывающие доступ к корпоративным информационным ресурсам, достаточно распространенный товар в даркнете. Продавцами выступают случайно получившие эту информацию, укравшие методами фишинга, нелояльные сотрудники — как действующие, так и уволенные — и т. д. Опытный хакер при наличии таких данных может сделать достаточно много, причем используя эти данные как напрямую, так и в процессе подготовки сложной целевой атаки (про варианты мы рассказывали). Этот пример показывает важность управления учетными записями сотрудников.

Управление учетными записями гораздо шире, чем назначение пары логин/пароль, контроль устойчивости пароля, требование его периодической замены и защита от попадания в чужие руки. IAM/IDM (Identity and Access Management/Identity Management, управление идентификацией и контролем доступа) — совокупность решений, созданные для обеспечения идентификации пользователя и для настроек доступа, которые должны соответствовать корпоративным политикам безопасности.

В условиях постоянно усложняющихся киберугроз недостаточно внедрять только технические средства защиты от кибератак, говорит Александр Соколов, отмечая, что большинство сложных атак (71%) начинаются с фишинга посредством электронной почты. Более трети (34%) входящих электронных писем в российских организациях содержат спам, фишинговые ссылки и вредоносное ПО, сообщают эксперты сервиса управления навыками кибербезопасности Security Awareness (SA) в ГК «Солар». Вредоносы чаще маскируют под офисные документы в форматах doc/docx (53%), xls (26%) и pdf (15%), по данным SA, реже их можно встретить в файлах exe (3%) и jar (3%).

В большинстве случаев пользователь проходит идентификацию при входе в корпоративную ИТ-систему (SSO, Single Sign-On удобно и экономит время сотрудников), а дальше по мере необходимости получает доступ к различным подсистемам — от корпоративных коммуникаций до решений для документооборота, от принтеров до файлохранилищ, а также к другим ресурсам: сети, данным и централизованным, приложениям и прочим технологическим активам. Это доступ должен быть управляем, чтобы сотрудники получали возможность пользоваться инструментами, нужными для выполнения служебных обязанностей, и не имели доступа к другим корпоративным системам. Все это — как разрешения, так и запреты — должны быть настроены в соответствии с корпоративными политиками безопасности.

Децентрализованное управление доступом к приводит к разным проблемам — неисполнению регламентов и политик, накоплению излишних полномочий, появлению бесхозных «учеток», растягиванием процессов согласований доступа и т. д. — а все это ведет к увеличению рисков несанкционированных действий в корпоративных системах.

Офисный сотрудник работает с десятками информационных систем, поэтому для корпоративных заказчиков с персоналом от тысячи и более для решения таких задач уже нужен специализированный инструмент. IAM/IDM-платформа упрощает назначение прав доступа, при онбординге нового сотрудника в зависимости от назначенной ему роли предлагая шаблон, стандартный для данной организации, позволяет открывать на заданный срок дополнительные права (с фиксацией дополнительной информации: кто открыл, кто запросил, кто согласовал и т. д.), переустанавливать права в соответствии с изменениями в политиках безопасности, перемещениям сотрудника по службе и пр. Наконец, IAM/IDM-системы должна отрабатывать процедуры офбординга: при увольнении сотрудника отключать его учетные записи во всех компонентах корпоративного рельефа.

IAM/IDM: что дальше?

Особенность текущего момента том, что IAM/IDM-системы должны поддерживать работу не только со штатными офисными сотрудниками. Доступ к корпоративной информационной системе могут получать «удаленщики», временные сотрудники, клиенты, работники партнеров/подрядчиков и даже роботы, отмечает Алексей Баранов. Для минимизации рисков нужна система гибкого управления всеми этими разнообразными доступами, что приводит к росту популярности IAM/IDM.

Системы IAM/IDM получают возможности интеграции с другими компонентами ИТ-рельефа. Например, интегрировать DLP с IAM/IDM, чтобы эффективнее выявлять подозрительное поведение к 2027 году будут 70% компаний, уверены в Gartner. Защита от внутренних угроз — важнейший пласт кибербезопасности, отмечает Юрий Губанов, руководитель отдела развития бизнеса и поддержки продаж Solar inRights в ГК «Солар», напоминая, что большинство инцидентов по статистике относятся именно к этой категории: сотрудники по ошибке или со злым умыслом могут компрометировать чувствительные данные своей организации.

IAM/IDM успешно интегрируют и с другими элементами корпоративного рельефа, отмечает Михаил Абрамович, генеральный директор компании Octopus Identity, начиная от систем контроля и управления доступом (СКУД) и заканчивая внутренними информационными ресурсами. Удобно, например, командируя сотрудника на площадку, временно открывать ему физический доступ на территорию, обеспечить подключение к беспроводной сети, возможность печати на локальных принтерах, получение информационных рассылок, имеющих отношение к данному филиалу, и т. д.

Вместо заключения

Identity Security — процессы, которые следует трактовать как действия, направленные на защиту и управление «цифровой проекции» сотрудника в ИТ-инфраструктуре компании, а в ряде случаев и «смежников», которые зачастую открывают доступ представителям партнеров — набирает обороты. Задача внедрения IAM/IDM в инфраструктуру корпоративного заказчика, по сути, интеграционная, занимающая, по оценкам Михаила Абрамовича, от четырех до шести месяцев. Но это задача не столько техническая, сколько организационная — кроме коннекторов к ИТ-компонентам нужно прописать политики, роли и пр.

Заметим, что концепция Identity Security несколько шире, чем внедрение IAM/IDM. Например, в ряде случаев нужно отдельное управление привилегированными записями — PAM (Privileged Access Management) — которые выдают сотрудникам с расширенными правами: руководству, ИТ-инженерам и пр. Динамика подсегмента PAM выше рынка решений управления доступом в целом: по прогнозу «Солар», рынок PAM будет расти на 7% ежегодно и превысит отметку в два миллиарда рублей к 2025 году, отмечает Юрий Губанов. Но рассмотрение специфики PAM выходит за пределы тематики этой серии статей.

Окончание следует

Источник: Александр Маляревский, внештатный обозреватель IT Channel News