Контакты
Подписка
МЕНЮ
Контакты
Подписка

Итоги года в IdM. Мнения экспертов

В рубрику "Обзоры, прогнозы, мнения" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Итоги года в IdM. Мнения экспертов

Итоги года подводят по-разному: делают отчеты, графики, презентации. Подобрать количественный способ для фиксации и обсуждения достигнутых успехов и перспектив в такой специфической области, как информационная безопасность, довольно сложно, особенно в сфере управления правами и учетными записями в автоматизированных системах (далее – IdM от англ. Identity Management). Оптимальным способом является диалог с экспертами-практиками. Мы попросили дать ответы на наши вопросы специалистов, которые имеют успешный опыт в проектах по развертыванию, сопровождению или модернизации IdM на площадках у заказчиков
Мария
Ерохина
Менеджер по продвижению IGA-платформы Solar inRights компании Solar Security, CISM, CRISC
Роман
Федосеев
Генеральный директор компании 1IDM
Алексей
Лукацкий
Бизнес-консультант по безопасности компании Cisco

Расскажите о наиболее интересном, на ваш взгляд, проекте по направлению IdM, в котором вам удалось принять участие в 2017 г.

Мария Ерохина:
Наиболее интересным мне кажется проект в одном коммерческом банке, включавший в себя нетривиальные задачи и требовавший комплексного решения. Наш IdM использовался в сочетании с модулем SSO и двухфакторной аутентификацией по смарт-картам. Сотрудники банка не знают своих паролей в целевых системах, аутентифицируются по карточкам, которые объединяют в себе множество функций. В частности, IdM был интегрирован со СКУД для автоматической блокировки доступа сотрудников к ИТ-системам при выходе из офиса и автоматической разблокировки при приходе на работу. Для компаний, которым важно ограничивать доступ к информации и данным своих клиентов, такое решение может быть очень актуальным.

Как чаще всего заказчик формулирует цели и задачи по проекту IdM и как удается скорректировать эти формулировки?

Мария Ерохина:
Чаще всего мы слышим: "Хочу управлять доступом", "Хочу контролировать ситуацию", "Нужна автоматизация предоставления доступа во всех системах" и мое самое любимое – "Мы хотим сделать ролевую модель, а потом внедрять IdM".

Каждый из этих запросов говорит о какой-то проблеме, и важно понять, о какой именно, так как под этими фразами каждый клиент имеет в виду что-то свое. Мы практикуем индивидуальный подход – разбираемся с тем положением вещей, которое имеет место в текущий момент, включая бизнес-процессы, состояние информационных систем, планы по их модернизации и замене, требования стандартов и регуляторов (состояние as is). После этого мы формируем конечную картинку – как все должно быть (состояние to be), с разбивкой по этапам достижения цели. При этом всегда учитываем рентабельность того или иного функционала, поскольку такие масштабные и ресурсозатратные проекты, как внедрение IdM-решения, в обязательном порядке проходят процедуру обоснования для бизнеса. В ходе согласования функционал может претерпеть значительные изменения и в отношении формулировок, и по существу.

С какими типовыми трудностями в рамках проектов по IdM сталкивается чаще всего ваша группа внедрения?

Мария Ерохина:
Я бы выделила два основных вида "осложнений" на проекте: организационные и технические.

Если говорить об организационных трудностях, то чаще всего мы имеем дело с несогласованностью действий служб компаний-заказчиков и непониманием сути процесса внедрения. К сожалению, далеко не все компании сталкивались с интеграционными проектами, а внедрение IdM предполагает интеграцию с различными бизнес-системами, которые подконтрольны разным службам заказчика. Из-за этого сроки реализации проекта могут существенно увеличиться.

К самым частым техническим трудностям можно отнести неготовность инфраструктуры к интеграции, существенную кастомизацию бизнес-систем, с которыми требуется интеграция, а то и просто работа с "древними" самописными системами, заменить которые заказчик по целому ряду причин не готов.

Тем не менее работать с такими трудностями можно и нужно. Мы консультируем заказчика, стараясь предусмотреть любые сложности на проекте и вырабатывая проектные решения для компенсации исторического разрыва в технологиях. Кроме того, в этом году мы решили организовать для наших потенциальных клиентов целый цикл обучающих мероприятий на тему того, как правильно подготовиться к внедрению IdM.

Роман Федосеев:
Есть несколько основных критериев успешности IdM-проекта:

  • простые, понятные, достижимые цели проекта;
  • квалифицированная проектная команда со стороны заказчика;
  • наличие качественных сред разработки и тестирования.

Если что-то из вышеперечисленного отсутствует, то на проекте возникают сложности.

Алексей Лукацкий:
Я бы не назвал это трудностью, просто в контексте проектов нашей компании, а Cisco преимущественно концентрируется на сетевой безопасности, мы видим, что большинство проектов по IdM фокусируются на идентификациеи пользователей, забывая про идентификацию устройств, с которых пользователи заходят в корпоративную или ведомственную сеть. Такая "забывчивость" приводит к тому, что возникают ситуации, когда пользователь проходит все проверки, а его зараженный компьютер начинает жить своей жизнью и именно с него идет заражение внутренней сети. И это не говоря уже о том, что существует немало ситуаций, когда устройство подключается к сети вообще без пользователя на борту – принтеры, СКУД, видеокамеры, промышленные контроллеры и т.п.

Каких побочных (помимо основных) результатов для заказчика удалось достичь вам на проектах по IdM в 2017 г.?

Мария Ерохина:
Смотря что называть "побочным" результатом, ведь цели внедрения IdM-решений могут кардинально различаться. Для одних побочным эффектом от внедрения IdM будет наведение порядка в информационных системах и снижение рисков за счет прозрачности процессов и инфраструктуры, для других – построение актуальной ролевой модели (да, ее лучше строить после внедрения, основываясь на фактическом состоянии дел), а кто-то снизит трудозатраты на предоставление доступа.

В 2017 г. мы помогли одному из заказчиков разобраться с инфраструктурой и установить зоны ответственности за процессы предоставления доступа, а для другой компании разработали отчеты для проведения аудита доступа сотрудников и выстраивания ролевой модели.

Роман Федосеев:
Как правило, в рамках IdM-проектов удается улучшить достоверность и актуальность кадровой информации. Информация о пользователях является исходной для IdM-систем, и от ее качества зависит качество всего процесса управления учетными записями и правами доступа.

Алексей Лукацкий:
Побочные результаты зависят от того, насколько их ждут и к ним готовы сами заказчики. Например, в одном из проектов "побочным", который на самом деле является основным, стала существенная финансовая экономия. Ведь обычно мы не задумываемся о том, сколько времени теряется на заведении учетных записей, на входе в различные системы, на разрешении проблем, на предоставлении доступа. Если сложить эти цифры вместе, то в большой компании экономия может составить огромную сумму. В одной из организаций, в которой трудилось 120 тыс. сотрудников, экономия от внедрения IdM составила более 20 млн долларов.

Что, на ваш взгляд, является правильным выбором заказчика: внедрение IdM от российского производителя или выбор и имплементация аналогичного иностранного решения?

Мария Ерохина:
На мой взгляд, заказчик сам может решить для себя этот вопрос.

Наша IGA-платформа Solar inRights успешно конкурирует на российском рынке как с российскими IdM-решениями, так и с западными. IdM выбирают не по принципу происхождения, хотя для ряда компаний это значимый критерий. Камнем преткновения становится выбор интегратора, у которого есть соответствующая экспертиза и который сможет выполнить проект. И, разумеется, заказчикам важен функционал, который реализован в том или ином IdM-решении, возможность обновления и масштабирования системы. Ценовая политика в последние годы также играет большую роль. Но, с учетом продолжения истории с санкциями, выбор западного решения становится все более рискованным.

Роман Федосеев:
Кому-то надо "шашечки", а кому-то – "ехать". Единого рецепта нет. Решение должно в первую очередь отвечать требованиям заказчика, и заказчик должен быть готов за него заплатить.

Алексей Лукацкий:
Я не сторонник национализма в ИБ. Качество продукта определяется не страной происхождения его разработчиков или владельца, а функциональностью и планами по развитию, в том числе и с учетом геополитических рисков. Кроме того, надо понимать, что иностранный сегмент рынка IdM появился гораздо раньше и он является более зрелым, чем российский. А в ряде ниш, например в решениях по контролю сетевого доступа и идентификации сетевых устройств, российских продуктов нет вообще и выбирать не приходится.

Расскажите о курьезном случае, если такой имел место в проектах по IdM в прошлом году.

Мария Ерохина:
К нам обратился заказчик из крупного концерна. На их предприятии на тот момент уже более полутора лет шло внедрение IdM другого российского производителя, позиционирующего себя технологическим лидером в сегменте Identity Management. Но никаких значимых результатов заказчик так и не получил: то система "не взлетала"; то работала, но не так, как надо; то разваливалась после установки патча, которого ждали полгода. Наши инженеры выполнили весь объем задач по проекту за девять недель. Для IdM это практически нереальный срок. Вот такие курьезы отечественного рынка!

Какие заказчики в 2017 г. чаще обращались к вам с задачами, связанными с работой IdM?

Мария Ерохина:
К нам приходят заказчики практически из всех отраслей, кроме малого бизнеса. Наибольший спрос наблюдается со стороны крупных компаний, которым очень не хватает упорядоченности в предоставлении доступа и автоматизации, а также со стороны банков, которые подчинены строгому регулятору в лице ЦБ.

Роман Федосеев:
Чаще всего к нам обращаются компании из реального сектора экономики – предприятия среднего и крупного бизнеса. Именно коммерческие предприятия находятся в жесткой конкурентной среде и вынуждены выбирать лучшие решения по параметру "цена/качество".

Алексей Лукацкий:
Наверное, наиболее прогрессивными в части проектов по сетевому IdM являются финансовые структуры, которые чаще других сталкивались с реальными атаками, наносящими измеримый деньгами ущерб. Они понимают, что защиты периметра уже недостаточно и надо четко фиксировать, кто или что, откуда, куда, когда и как подключается к корпоративной сети. Отсюда и необходимость проектов IdM, которые позволяют в любой момент отследить все попытки доступа пользователей и устройств, что и является залогом успеха если не в предотвращении инцидентов, то в их оперативном расследовании.

Если заказчик не хочет внедрять IdM, что в этом случае можно ему посоветовать в качестве альтернативы или компенсационных мер?

Мария Ерохина:
Организационные меры – выстраивание процессов управления доступом без технических средств, обучение персонала работе по заданной схеме. Однако стоит помнить, что это возможно лишь при высоком уровне зрелости компании.

Нередко до внедрения IdM используют таблицы Excel и скрипты – например, настраивают ежедневную/еженедельную выгрузку из кадровой системы, выгрузки из критичных целевых систем и сводят это в ручном режиме для осуществления контроля прав.

Алексей Лукацкий:
Любому проекту, в названии которого встречается слово Management, альтернативой можно назвать ручные операции, которые являются вполне нормальной практикой в небольших организациях, где просто нет потребности в централизации. Например, в небольшом офисе на 3–7 коммутаторов и маршрутизаторов не всегда необходимо внедрять системы управления сетевой идентификацией, можно ограничиться "поднятием" протокола 802.1x на сетевых устройствах. Например, в сети Cisco только маршрутизаторов 40 тыс. Понятно, что в ручном режиме настраивать на них правила идентификации пользователей и устройств – задача неподъемная. Поэтому я бы не стал говорить о какой-либо альтернативе или компенсации. Скорее речь может идти о том, что IdM – это осознанная необходимость организации, которая уже неспособна управлять своими пользователями и устройствами в ручном режиме.

Чего не хватает современным технологическим решения класса IdM, чтобы они получили массовое распространение?

Мария Ерохина:
В идеальном мире IdM-решения внедрялись бы быстрее, а стоили бы дешевле. Но вопрос тут скорее не в IdM-решениях как таковых, а в особенностях самой технологии. Разнообразие информационных систем, которые требуется интегрировать, сложность бизнес-процессов, которые требуется автоматизировать, организационные проблемы, которые требуется решить, – это те вещи, которые делают внедрение IdM сложным, а следовательно не столь массовым, как, скажем, DLP. Поэтому для перехода в сторону более массового распространения нужны изменения среды, в которой функционирует IdM.

Роман Федосеев:
Большинство современных IdM-решений очень сложные во внедрении и поддержке. Заказчики ждут простых и удобных решений с минимальной стоимостью владения.

Алексей Лукацкий:
Основная проблема любых сложных проектов – отсутствие стандартизации и унификации, позволяющей интегрировать решение в существующую инфраструктуру. Это напрямую касается и IdM, основное препятствие на пути массового распространения которых – сложность интегрирации с существующими приложениями, в том числе и так называемыми legacy-приложениями, разработанными по заказу много лет назад и по которым в компании отсутствует экспертиза и документация, чтобы доработать их до интеграции с IdM.

Что бы вы посоветовали заказчикам, которые задумываются о внедрении IdM?

Мария Ерохина:
В первую очередь нужно четко сформулировать, зачем нужен IdM, осознавая все плюсы и минусы внедрения, а также возможные выгоды (снижение рисков, автоматизация рутинных операций и высвобождение ресурсов ИТ для более значимых задач, снижение затрат на операционную деятельность и т.д.).

Вторым шагом будет формирование внутри компании группы, которая будет заниматься внедрением IdM (подготовка инфраструктуры и целевых систем к интеграции, взятие под контроль процедур предоставления доступа, формирование требований к функционалу системы и т.д.).

Роман Федосеев:
Выявить потребность (не надо гнаться за модой), определить цели проекта, оценить собственные ресурсы (IdM-проект требует серьезного вовлечения сотрудников заказчика), оценить расходы на систему в перспективе пяти лет, выработать критерии оценки решений.

Алексей Лукацкий:
Так сложилось, что под IdM-проектами обычно понимают только управление идентификационной информацией пользователей, напрочь забывая про идентификацию устройств, которые могут сами по себе стать мишенью для злоумышленников или плацдармом для незаметного развития атаки по внутренней сети. Поэтому я бы посоветовал посмотреть и в сторону систем контроля сетевого доступа или сетевой идентификации, которые позволят проверять права на доступ не только пользователей, но и устройств.

Какие изменения в законодательстве в 2017 г. поспособствовали более глубокому проникновению IdM-решений на отечественный рынок?

Мария Ерохина:
IdM, на мой взгляд, – это история не про законодательство, хотя требования по управлению доступом есть и в новом ГОСТе, и в требованиях ЦБ. Управление доступом – один из базовых принципов информационной безопасности, соблюдение которого позволяет избежать массы неприятных историй. По сути, управлять доступом просто разумно.

Алексей Лукацкий:
2017 год был достаточно спокойным с точки зрения законодательных новелл – ни одного нового нормативного акта, упоминающего IdM, не появилось. Скорее, наконец-то пришло осознание у организаций, попадающих под действие 17, 21, 31-го приказов ФСТЭК, а также нормативных документов Банка России, например 382-П. А вот в следующем году у многих начнет "болеть голова" по поводу нового ГОСТ 57580.1 Банка России и законодательства по безопасности критической информационной инфраструктуры.

Как менялось осознание проблематики IdM у ваших заказчиков до проекта, в процессе внедрения и по его завершении?

Мария Ерохина:
Часто на начальном этапе есть непонимание реальных процессов в организации, какую работу по их оптимизации придется провести, а также насколько важны те или иные проектные решения. Многие особенности процессов (например, наличие специальных типов сотрудников) могут выясняться только при опытной эксплуатации. Нередко процессы приходится менять по ходу внедрения, например что-то сделать с тем, что приказы о приеме сотрудников на работу могут вводится в кадровую систему с задержкой в пять дней. Многие вещи поначалу кажутся клиентам незначительными, а при переводе системы в эксплуатацию такие "мелочи" могут стать ключевыми для правильной автоматизации бизнес-процессов, и клиенты удивляются, почему раньше им об этом не сказали. Таким образом, по ходу внедрения осознание сильно меняется, но, к сожалению, происходит это только опытным путем.

Роман Федосеев:
Уровень зрелости заказчиков может быть разным. Зрелые заказчики больше ориентированы на основные цели проекта, точнее выражают свои требования и имеют более реалистичные ожидания от проекта.

Назовите основные технологические недостатки IdM-решений и способы их компенсации.

Мария Ерохина:
Системе IdM на вход нужны чистые кадровые данные в определенном формате. Практически всегда возникают проблемы с качеством данных (повторения, ошибки последовательности, несвязанность и т.п.) и с предоставлением их в нужном формате. В данном случае решение – это специальные скрипты для очистки данных.

Кроме того, с каждой целевой системой IdM работает на определенном уровне абстракции, например на уровне групп или ролей. А клиенты нередко хотят видеть более глубокий срез – не просто группы или роли, которые назначены пользователю в определенной целевой системе, но и полномочия, которыми обладают эти группы. Это ограничение преодолевается переработкой коннектора, но оно не всегда реализуемо в рамках имеющейся структуры данных.

Роман Федосеев:
Большинство IdM-решений построены с использованием особенных технологий разработки, поэтому на российском рынке мало квалифицированных специалистов. В этой ситуации советую заказчикам обращать внимание на решения с открытым исходным кодом и достаточной доступностью специалистов на рынке.

Как изменилась за последний год относительная стоимость проектов по внедрению IdM?

Мария Ерохина:
Думаю, она не изменилась. Проекты IdM запускаются в среднем 1,5–2 года. Для изменений это слишком короткий срок.

Роман Федосеев:
По нашим наблюдениям, стоимость IdM-проектов не изменилась за последний год. Но существенно увеличилось само количество запросов на проекты.

Алексей Лукацкий:
Относительная стоимость любого проекта по ИБ – понятие такое же относительное, как и средняя зарплата. Все очень сильно зависит от типа организации, ее масштаба, количества пользователей и устройств, зрелости и т.п. Но чаще всего мы видим, что ввиду немалых затрат ресурсов (не только финансовых, но преимущественно временных) заказчики предпочитают поэтапное внедрение IdM-решений, начиная с отдельных подсистем или сегментов, постепенно расширяя внедрение на всю организацию.

Приведите пример сценария атаки на инфраструктуру типовой организации, эффект воздействия которой можно минимизировать за счет наличия внедренного IdM-решения.

Мария Ерохина:
Самое типовое – незаблокированный доступ уволенного сотрудника к корпоративным системам. Для ряда организаций, особенно банковского сектора, ограничения доступа являются требованием регулятора. Незаблокированный доступ чреват утечкой значимой для организации информации, данных клиентов и партнеров, информации о проектах. При этом не стоит забывать о принципе Defense in Depth, то есть безопасность не может обеспечиваться только одним средством, всегда нужна многослойная защита.

Алексей Лукацкий:
Если рассматривать сетевые IdM-решения, то они помогают бороться с практически любой внутренней угрозой. Например, подмена устройства, подключающегося к коммутатору, взлом Wi-Fi, компрометация внутреннего компьютера вредоносным кодом. Во всех этих случаях идентификация устройств позволяет локализовать атаку и не дать ей распространяться по сети.

Опубликовано: Журнал "Системы безопасности" #1, 2018
Посещений: 4092

  Автор

Мария Ерохина

Мария Ерохина

Менеджер по продвижению IGA-платформы Solar inRights компании Solar Security, CISM, CRISC

Всего статей:  1

  Автор

Роман Федосеев

Роман Федосеев

Генеральный директор компании 1IDM

Всего статей:  1

  Автор

Лукацкий А. В.

Лукацкий А. В.

Менеджер по развитию бизнеса компании Cisco Systems

Всего статей:  3

В рубрику "Обзоры, прогнозы, мнения" | К списку рубрик  |  К списку авторов  |  К списку публикаций