Журнал "Системы Безопасности" № 1‘2018

февраль – март 2018 www.secuteck.ru УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М n w w w . a l l - o v e r - i p . r u 144 Какие заказчики в 2017 г. чаще обращались к вам с задачами, связанными с работой IdM? Мария Ерохина: К нам приходят заказчики практически из всех отраслей, кроме малого бизнеса. Наибольший спрос наблюдается со стороны крупных компаний, которым очень не хватает упорядоченности в предоставлении доступа и автоматизации, а также со стороны банков, которые подчинены строго- му регулятору в лице ЦБ. Роман Федосеев: Чаще всего к нам обращаются компании из реального сектора эко- номики – предприятия среднего и крупного бизнеса. Именно ком- мерческие предприятия находятся в жесткой конкурентной среде и вынуждены выбирать лучшие решения по параметру "цена/каче- ство". Алексей Лукацкий: Наверное, наиболее прогрессивными в части проектов по сетевому IdM являются финансовые структуры, которые чаще других сталки- вались с реальными атаками, наносящими измеримый деньгами ущерб. Они понимают, что защиты периметра уже недостаточно и надо четко фиксировать, кто или что, откуда, куда, когда и как под- ключается к корпоративной сети. Отсюда и необходимость проектов IdM, которые позволяют в любой момент отследить все попытки доступа пользователей и устройств, что и является залогом успеха если не в предотвращении инцидентов, то в их оперативном рассле- довании. Если заказчик не хочет внедрять IdM, что в этом случае можно ему посоветовать в качестве альтернативы или компенсационных мер? Мария Ерохина: Организационные меры – выстраивание процессов управления доступом без технических средств, обучение персонала работе по заданной схеме. Однако стоит помнить, что это возможно лишь при высоком уровне зре- лости компании. Нередко до внедрения IdM используют таблицы Excel и скрипты – напри- мер, настраивают ежедневную/еженедельную выгрузку из кадровой системы, выгрузки из критичных целевых систем и сводят это в ручном режиме для осуществления контроля прав. Алексей Лукацкий: Любому проекту, в названии которого встречается слово Management, альтернативой можно назвать ручные операции, которые являются впол- не нормальной практикой в небольших организациях, где просто нет потребности в централизации. Например, в небольшом офисе на 3–7 коммутаторов и маршрутизаторов не всегда необходимо внедрять систе- мы управления сетевой идентификацией, можно ограничиться "подня- тием" протокола 802.1x на сетевых устройствах. Например, в сети Cisco только маршрутизаторов 40 тыс. Понятно, что в ручном режиме настраи- вать на них правила идентификации пользователей и устройств – задача неподъемная. Поэтому я бы не стал говорить о какой-либо альтернативе или компенсации. Скорее речь может идти о том, что IdM – это осознан- ная необходимость организации, которая уже неспособна управлять своими пользователями и устройствами в ручном режиме. Что бы вы посоветовали заказчикам, которые задумываются о внедрении IdM? Мария Ерохина: В первую очередь нужно четко сформулировать, зачем нужен IdM, осо- знавая все плюсы и минусы внедрения, а также возможные выгоды (сни- жение рисков, автоматизация рутинных операций и высвобождение ресурсов ИТ для более значимых задач, снижение затрат на операцион- ную деятельность и т.д.). Вторым шагом будет формирование внутри компании группы, кото- рая будет заниматься внедрением IdM (подготовка инфраструктуры и целевых систем к интеграции, взятие под контроль процедур пре- доставления доступа, формирование требований к функционалу системы и т.д.). Роман Федосеев: Выявить потребность (не надо гнаться за модой), определить цели про- екта, оценить собственные ресурсы (IdM-проект требует серьезного вовлечения сотрудников заказчика), оценить расходы на систему в пер- спективе пяти лет, выработать критерии оценки решений. Алексей Лукацкий: Так сложилось, что под IdM-проектами обычно понимают только управ- ление идентификационной информацией пользователей, напрочь забы- вая про идентификацию устройств, которые могут сами по себе стать мишенью для злоумышленников или плацдармом для незаметного раз- вития атаки по внутренней сети. Поэтому я бы посоветовал посмотреть и в сторону систем контроля сетевого доступа или сетевой идентификации, которые позволят проверять права на доступ не только пользователей, но и устройств. Чего не хватает современным технологическим решения класса IdM, чтобы они получили массовое распространение? Мария Ерохина: В идеальном мире IdM-решения внедрялись бы быстрее, а стоили бы дешевле. Но вопрос тут скорее не в IdM-решениях как таковых, а в осо- бенностях самой технологии. Разнообразие информационных систем, которые требуется интегрировать, сложность бизнес-процессов, которые требуется автоматизировать, организационные проблемы, которые тре- буется решить, – это те вещи, которые делают внедрение IdM сложным, а следовательно не столь массовым, как, скажем, DLP. Поэтому для пере- хода в сторону более массового распространения нужны изменения среды, в которой функционирует IdM. Роман Федосеев: Большинство современных IdM-решений очень сложные во внедрении и поддержке. Заказчики ждут простых и удобных решений с минималь- ной стоимостью владения. Алексей Лукацкий: Основная проблема любых сложных проектов – отсутствие стандартиза- ции и унификации, позволяющей интегрировать решение в существую- щую инфраструктуру. Это напрямую касается и IdM, основное препят- ствие на пути массового распространения которых – сложность интегри- рации с существующими приложениями, в том числе и так называемыми legacy-приложениями, разработанными по заказу много лет назад и по которым в компании отсутствует экспертиза и документация, чтобы дора- ботать их до интеграции с IdM.