Журнал "Системы Безопасности" № 6‘2018

декабрь 2018 – январь 2019 www.secuteck.ru УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 76 dormakaba – системы контроля доступа Какие из известных вам и применяемых в настоящее время мер защиты неэффективные или неоправданно дорогие/избыточные и почему? Алексей Лукацкий, Сisco Как это ни парадоксально, но самым неэффективным способом борьбы с утечка- ми данных будут… средства борьбы с утечка- ми данных, в простонародье называемые DLP. Именно они призваны защищать от уте- чек информации и именно они этого не делают, так как неспособны контролировать те каналы, по которым утекает информация. Например, в случае с Equifax данные утекали через зашифрованный канал. В случае с British Airways данные утекали с сайта, а DLP никто не ставит перед своими интернет- витринами. В 2017 г. в 4,6% случаев данные выносились или терялись на материальных носителях, и DLP тут вновь бессильны. Наверное, поэтому многие производители DLP-решений сегодня позиционируют их не как продукты для борь- бы с утечками, а как инструмент слежения за работниками – выявления людей с нетради- ционной ориентацией, обнаружения сгово- ров, контроль нелояльных сотрудников, поиск неформальных лидеров и т.д. Не умея бороться с реальными утечками, число кото- рых только растет, они начинают применять свои продукты для совершенно иных задач. Это не хорошо и не плохо – это реальность, которую надо просто признать и отталкивать- ся от нее. Опишите известный вам и наиболее запомнившийся синергетический эффект от внедрения IdM-решения в организации в 2018 г. Дмитрий Бондарь, inRights На одном из мероприятий, где обсуждалось внедрение IdM-решений, представитель компа- нии – заказчика систем защиты отметил, что реализованный IdM-проект не всегда дает изна- чально ожидаемый результат. Однако в итоге от внедрения системы управления доступом можно получить гораздо больший эффект за счет улучшений в бизнес-процессах компании, которые инициаторы проекта даже не планиро- вали достичь. Речь идет ровно о тех преимуществах от внед- рения IdM и комплексной работы по профили- рованию доступа, о которых я упоминал выше. Подобный эффект, например, получил один из отечественных банков – повысилась прозрач- ность бизнес-процессов: удалось выявить и лик- видировать разрывы в функционале, уйти от дублирующихся функций и т.д. и, в конечном счете, оптимизировать расходы компании. Алексей Лукацкий, Сisco У нас был проект, в котором стояла задача обес- печить сегментацию сети и разграничение доступа внутри организации на сетевом уровне. Выбранное решение справлялось с этой зада- чей, но обладало и рядом дополнительных пре- имуществ, среди которых можно назвать дина- мическую и программно-определяемую сегмен- тацию, интегрированную с Active Directory, и транслирующие политики безопасности на каж- дое сетевое устройство (коммутатор, точку доступа, маршрутизатор и т.д.). Это позволило сотрудникам компании быть мобильными и динамично менять свое местоположение, полу- чая доступ к запрашиваемым ресурсам. При этом существенно снизилась нагрузка на ИТ- службу в части формирования правил контроля доступа (ACL) и поддержания их в актуальном состоянии, а служба ИБ смогла реализовать принцип "минимум привилегий" еще и на сете- вом уровне. Когда летом компания столкнулась с появлением внутри сети (в обход всех пери- метровых средств защиты) зараженного Wan- naCry домашнего ноутбука генерального дирек- тора, внутренняя инфраструктура совершенно не пострадала, так как используемое решение локализовало проблему на уровне беспровод- ной точки доступа, к которой подключился зараженный ноутбук, и не дало вредоносной программе выйти за пределы этой точки. n Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Н ачнем с постановки задачи. Имеется много- пользовательское приложение со сложной бизнес-логикой, требованиями к производи- тельности (до 1500 одновременно работающих пользователей), отказоустойчивости, масштаби- руемости и безопасности, которое, помимо пользователей, взаимодействует на прикладном уровне со смежными системами в рамках своих бизнес-процессов. Приложение ориентировано на Windows-окружение и проприетарные СУБД. Если рассматривать ИБ-системы, под такое опре- деление, кроме IdM, могут попасть GRC, IRP, c некоторой натяжкой SIEM и множество других продуктов, не относящихся напрямую к рынку информационной безопасности. Требуется обеспечить работоспособность этого приложения в ОС Linux и поддержку открытой СУБД. Портировать или переписать? При возникновении потребности портирования приложения на другую платформу, в зависимо- сти от условий, наиболее важным из которых является текущий технологический стек, компа- ния всегда встает перед выбором: портировать имеющийся код или переписать с нуля? Даже если текущий технологический стек продукта поддерживается новой платформой, решение в пользу переписать может быть принято по сле- дующим причинам: 1. Устаревание текущего технологического стека или его неадекватность решаемой задаче в современных реалиях. Например, если продукт (являющийся многопользовательским прило- жением) написан на С++, можно столкнуться с множеством проблем на всех этапах его жиз- ненного цикла. Первая – недостаток разработ- чиков на рынке. Современные разработчики С++ хотят работать в тех сферах, где примене- ние их инструмента оправданно: это высокая нагрузка и системная разработка. Найти адек- ватного разработчика, который возьмется писать сложную бизнес-логику на C++, затруд- нительно. Следующая проблема – высокая стоимость добавления функций: то, что можно сделать на современном фреймворке за два Александр Махновский Главный архитектор компании "Аванпост" www.epapersign.com