Журнал "Information Security/ Информационная безопасность" #1, 2018

Случайная ошибка при раздаче прав со стороны Helpdesk, и рядовой сотруд- ник получает доступ к конфиденци- альной информации и ключевым систе- мам. Далее информация попадает в открытый доступ, может быть отправ- лена злоумышленникам, продана кон- курентам, а каковы будут потери от таких действий, посчитать несложно. Статистика показывает, что большин- ство утечек из высокозащищенных систем происходят по методу соци- альной инженерии, а подобного рода ошибки попросту упрощают работу хакерам. Благодаря IdM-системе мы минимизируем такие риски, служба безопасности может фиксировать слу- чаи превышения уровня прав, требую- щие внимания. Алексей Плешков, независимый эксперт – Основными аргументами для руко- водства компании по внедрению IdM может стать расчет по снижению тру- дозатрат внутренних подразделений, в том числе в части сокращения штатной численности ИТ-администраторов (есть в организации много информационных ресурсов, и для каждого требуется отдельный администратор с уникаль- ными компетенциями) и/или уменьше- ние временных показателей в SLA по выходу на работу нового сотрудника (для крупных сетевых/розничных ком- паний это актуально). Не будут воспри- ниматься аргументы в стиле: "это" (внедрение IdM) поможет существенно повысить общую эффективность рабо- ты ИТ-отдела или "это" уменьшит время подготовки отчетов по правам доступа при проведении внешних и внутренних аудитов, или "это" позволит сделать прозрачнее внутренние процессы в ИТ и ИБ для бизнес-пользователей – эту "воду" лучше не передавать за пределы данного комментария. Андрей Ревяшко, Wildberries – В целом бизнес считает деньги, и в большинстве случаев финансовое обоснование необходимо. Говоря о IdM в больших компаниях – уверен, что все большее количество руководителей понимают и осознают ее необходи- мость на таком уровне, что финансовое обоснование нужно лишь при выборе той или иной IdM-системы, но не для обоснования ее существования в прин- ципе. Алексей Терехов, “Газпром Нефть” – На стадии приема сотрудника, его перемещения по должностям – сроком простоя из-за отсутствия соответствую- щих доступов, на стадии увольнения – рисками утечки конфиденциальной информации. – Можете привести примеры снижения рисков или расследований, в которых помогла IdM-система? Виталий Пашенцев, Сентинел Кредит Менеджмент – Наша компания ответственно под- ходит к вопросу информационной без- опасности, вкладывая в развитие дан- ного направления значительные сред- ства, у нас внедрено несколько систем по защите от утечек информации. IdM в данном случае выполняет роль источ- ника дополнительной информации об инциденте. Например, DLP-система фиксирует массовое копирование фай- лов из внутренней сети на внешний носитель, но, по информации Dell One Identity Manager, сотрудник находится в отпуске; это, несомненно, привлечет внимание службы ИБ и позволит неза- медлительно предотвратить утечку. Алексей Плешков, независимый эксперт – В явном виде снижение рисков после внедрения IdM вы не зафикси- руете. При этом объективно появятся новые риски, связанные с некорректной работой IdM и возникновении, как и везде, где есть хотя бы минимальная автоматизация, ошибок первого и вто- рого рода. Однако в долгосрочной пер- спективе при регулярном снижении стоимости владения и эксплуатации IdM, при повышении уровня зрелости процессов в организации, для реали- зации которых применяются различные функции IdM и при этом количество возникающих инцидентов как минимум стабильное или динамически снижает- ся, приоритет минимизации вероятно- сти реализации отдельных рисковых событий в системе будет также плано- мерно снижаться. В качестве примеров расследований можно привести успешное и ресурсоне- затратное выполнение запросов внут- ренних и внешних контроллеров по пре- доставлению сведений/отчетов о выдан- ных правах в разрезе конкретного поль- зователя или системы, а также своевре- менное выявление и блокировку прав для работников, чьи реквизиты доступа по разным причинам поменялись. Из опыта коллег могу привести кейс, в котором с помощью IdM на этапе внед- рения был пойман администратор ИТ- ресурса, регулярно изменявший права доступа к целевой системе для опреде- ленных учетных записей, выполнявший действия в своих интересах от имени этих учетных записей, а затем возвра- щающий все права на прежнее место. Наличие триггеров на нетипичное изме- нение прав и регулярная актуализация матриц конфликтов ролей в IdM позво- ляют выявлять злоупотребления со сто- роны ИТ-специалистов, задействованных при эксплуатации критичных систем. Роман Попов, “Транснефть” – Отсутствие активных УЗ уволенных сотрудников, автоматический контроль соответствия и выявление расхождений между реальным и согласованным доступом, периодическая переаттеста- ция доступов. Проведение аудитов несколькими кликами мыши (в том числе без привлечения ИТ). Немедлен- ное предоставления или отзыв доступа сотрудниками СБ без потери времени на привлечение ИТ (в том числе без их привлечения/уведомления). Андрей Ревяшко, Wildberries – Первое, что пришло в голову, – это махинация с рабочим временем. Систе- ма обозначила момент, говорящий о том, что в СКУД произошла авторизация человека, который пришел на работу в дневную смену, хотя числится сотруд- ником ночной смены. Расследование выявило, что это не единичный случай, который носил характер наработки фик- тивного времени. С одной стороны, никакого волшебства, но с другой – сотрудников тысячи, и без, в частности, IdM это становится проблемой. Алексей Терехов, “Газпром Нефть” – Сам процесс согласования прав доступа сотрудников с использованием проверок их на SoD-конфликты приво- дит к снижению рисков наступления инцидентов ИБ. – С какими сложностями вам пришлось столкнуться (техническими и организационными) при внедрении IdM, прежде чем достигнуть успешного результата? Виталий Пашенцев, Сентинел Кредит Менеджмент – Сильных трудностей мы не испы- тывали, но есть некоторые особенности. В первую очередь важно провести пред- проектное обследование инфраструк- туры, описать процессы и актуализи- ровать матрицы доступа во все ИС компании, эта работа может занять до 70% времени всего проекта. Наши системы сильно кастомизированы, стан- дартные коннекторы IdM "из коробки" не всегда стартовали сразу. Поэтому до внедрения необходимо зарезерви- ровать как внутренние ресурсы, кото- рые будут участвовать в реализации, так и ресурсы компаний – подрядчиков и вендоров, осуществляющих поддержу и развитие текущих систем компании. 28 • СПЕЦПРОЕКТ