Актуальность вопроса обеспечения безопасности «чувствительных» данных в компаниях неуклонно растёт. Очень явно эта проблема обозначилась в свете увеличившейся популярности удалённой работы, которая при всём своём удобстве значительно усиливает риск возможных утечек.
Сейчас бизнес всё больше сосредотачивается на защите критически важных данных и применяет для этого разные организационные методы. Один из них — управление доступом сотрудников в корпоративные ИТ-системы и контролем за действиями, которые они в ней совершают.
Ведь часто конфиденциальные сведения «утекают» вовне из-за человеческого фактора, когда специалисты — штатные и особенно внештатные — не следуют простым правилам кибербезопасности: из-за своей невнимательности, некомпетентности или же ввиду спланированных злонамеренных действий.
Для предотвращения таких инцидентов и оперативного реагирования на них компании ищут инструменты, которые не только могут отслеживать действия пользователей, но и позволяют гибко управлять их привилегированными правами доступа. Мониторинг деятельности таких сотрудников — основная задача, которую решают РАМ-системы (Privileged Access Management), способные управлять и контролировать их учётные записи.
Но как бизнесу решиться перейти на такую систему? На каком этапе его развития это становится явной необходимостью? Об этом рассуждают эксперты ИБ — Филипп Ружковский и Лев Семёнов.
НУЖНО ВНЕДРЯТЬ РАМ
— На каком этапе ИБ-зрелости компании решение «можно внедрить PAM» переходит в «нужно внедрить PAM»?
Филипп Ружковский. PAM, как и любое централизованное решение, позволяет автоматизировать тот или иной ИТ-процесс и при необходимости свести к минимуму участие в нём человека.
Когда рутинные операции, связанные с организацией доступа к критически важным данным корпоративных систем, требуют вовлечения в них на постоянной основе более одного ИБ-специалиста, возникает вопрос эффективности работы подразделения в целом. И тут значим не сам факт загрузки отдельно взятого сотрудника. Тут стоит обратить внимание на сами процессы: систематизацию предоставления доступа и контроль действий администраторов целевых систем. Зачастую важно не оценить их масштаб, а предотвратить — сработать на опережение, предугадать. В таких случаях PAM-система является главным элементом kill chain для блокировки возможных нежелательных действий.
Также не нужно забывать про потенциальные кибер-риски при работе с внешними подрядчиками: при передаче на их сопровождение инфраструктуры в целом или отдельных её подсистем. Потому что при расследовании ИБ-инцидентов, которые часто возникают именно по вине контрагентов, не последнюю роль играет то, что те или иные действия просто невозможно доказать. И тогда PAM становится «судом последней инстанции» с объективной позицией. А в качестве «доказательной базы» приоритет отдаётся журналам сертифицированных средств защиты, поэтому выбор конкретного решения основывается и на этом факторе.
Лев Семёнов. Внедрять РАМ в компании нужно на этапе, когда в результате её роста для администрирования корпоративных систем требуется привлекать более одного сотрудника, зачастую — внешнего подрядчика, или распределять ответственность между несколькими штатными сотрудниками. И тут важен не столько уровень доверия к своему персоналу и подрядчикам, сколько необходимость в обеспечении контроля за его работой, чтобы, с одной стороны, защитить от подозрений, с другой — исключить возможность и желание обходить ИТ-систему. При этом, разумеется, в организации должен быть ИБ-специалист или наделённый его полномочиями сотрудник, иначе функциональность РАМ-системы будет востребована не полностью.
Как итог: внедрение необходимо для всех компаний при совмещении функций по обслуживанию систем нескольким сотрудниками при наличии службы по информационной безопасности.
НЕОБХОДИМОЕ УСЛОВИЕ
— Есть ли какое-то условие для организации любой формы, некая условная точка в развитии её инфраструктуры, когда можно сказать: теперь вам точно нужен РАМ?
Филипп Ружковский. Конечно: это ИБ-зрелость компании, о которой многократно говорилось. А также — развитие бизнеса, его масштабы, конкретная деятельность, внутренние бизнес-процессы и т. д.
Также существуют и требования регуляторов в области защиты информации, регламентирующие удалённое администрирование компонентов критической информационной инфраструктуры (КИИ). Это особенно важно для крупного (и очень крупного) бизнеса с ориентацией на промышленное производство, госорганизаций. Поэтому для КИИ-субъектов этап «можно», как правило, отсутствует. Доступ к таким данным однозначно должен контролироваться специализированными средствами киберзащиты.
Лев Семёнов. Да, это точка роста критичности той или иной информационной системы, после достижения которой невозможно или сильно осложнено функционирование бизнеса без неё. Соответственно, возрастает степень понимания того, что необходимо обеспечивать «отказоустойчивость» не только в аппаратно-программном обеспечении, но и в отношении сотрудников, обеспечивающих работу системы. Это создаёт условия для размытия или перекладывания ответственности между людьми, даёт предпосылки для злоупотребления доверием, при котором уже нельзя обойтись без применения автоматизированных средств контроля.
ОБРАТИТЕ ВНИМАНИЕ
— На что нужно обратить внимание при выборе РАМ-системы в первую очередь?
Филипп Ружковский. На первом месте однозначно — надёжность решения. И речь тут, разумеется, не столько о качестве аппаратных компонентов с точки зрения «железа», сколько об отказоустойчивости системы в целом, ведь она работает на сверхнагрузках. Также необходимо оценивать, каким образом разработчик реализовал резервирование информации на своём продукте и органично ли «вписывается» всё это в используемую в компании ИТ-архитектуру.
Второе место делят функционал и производительность. Я не могу точно сказать, что именно из этого важнее: всё зависит от сценариев использования PAM, потому как ИБ-приоритеты бизнеса могут меняться, и это вполне нормально. Функциональные возможности системы, конечно, важны при базовом сравнении решений от различных вендоров, и на это обращают внимание в первую очередь. Однако вероятны ситуации, в которых целесообразно отказаться от условной «красоты интерфейса» в пользу возможности «переварить» лавинообразную нагрузку.
Очевидно одно: РАМ должен работать «на полную катушку» и реализовать при обеспечении информационной безопасности весь свой функционал в полной мере.
Лев Семёнов. Я скажу про наш конкретный опыт. Когда мы выбирали систему контроля действий привилегированных пользователей, в частности, помимо основных функциональных возможностей PAM-решений мы ориентировались в первую очередь на возможность автоматизированного анализа сессии, чтобы снизить нагрузку на ИБ-специалистов, проверяющих сотрудников.
МИФЫ О РАМ
— По вашему мнению, какой главный миф о PAM-системах, который сложился сегодня в профессиональной среде?
Филипп Ружковский. Внедрение любой серьёзной (и, безусловно, дорогой!) системы зачастую создаёт у руководства компании и даже профильных сотрудников иллюзию абсолютной защищённости. Однако это не всегда так.
Не открою Америку, если скажу, что любое средство киберзащиты требует в первую очередь грамотной команды экспертов и технических специалистов, которая должна обеспечивать её слаженную и бесперебойную работу. Заплатить интегратору большие деньги за внедрение бывает недостаточно: необходимо развивать внутренние компетенции персонала для совершенствования всего цикла защиты информации в организации.
Лев Семёнов. Что можно обойтись в администрировании корпоративных систем без PAM.
ДО РАМ
— Какое решение до внедрения РАМа закрывало задачи по организации доступа?
Лев Семёнов. Доверие к администраторам. Всё остальное не про организацию безопасного доступа, а про технологию, а тут, конечно, всё как у всех: VPN, RDP, SSH и прочие. А если говорить про безопасное администрирование систем, то остаются только PAM или доверие. Сотрудников и подрядчиков, обеспечивающих работу информационных систем, у нас достаточно. Для авиакомпании ключевым является обеспечение безопасности полётов, вопросы информационно безопасности являются частью этого большого процесса, поэтому мы и приняли для себя решение о внедрении продукта данного класса.
Реклама ООО «АйТи БАСТИОН», ИНН: 7717789462 erid: LdtCKb8FG
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных