Компания РАССЭ (ГК «АйТеко») продолжает серию эксклюзивных интервью с лидерами рынка информационной безопасности, с решениями которых она работает. Очередная беседа состоялась с Олегом Котовым, региональным директором CyberArk Россия.
Большинство стран сейчас готовятся к постепенному снятию самоизоляции. Будет ли удаленная работа так же актуальна после пандемии, как Вы считаете?
Безусловно, да. Этот пилотный проект по переводу бизнеса «на удалёнку», в котором мы все в принудительном порядке приняли участие, не пройдёт даром. Большинство заказчиков, с которыми довелось обсудить новые реалии, отмечают, что рассматривают сохранение формата удалённой работы для части сотрудников или переход на смешанный график работы, когда сотрудник присутствует в офисе несколько рабочих дней, а остальные – работает из дома. За время карантина была проделана существенная работа по адаптации ИТ-инфраструктуры к возможностям удалённой работы. Многие сотрудники, которым ранее не позволяли работать удалённо, получили такую возможность. На удивление многих, это оказалось эффективно. Современные технологии организации удалённой работы уже давно это позволяют. Однако их применение часто сдерживает консерватизм управленцев, их сомнение в продуктивности сотрудников при таком формате работы, слабое знакомство с современными технологиями в этой области. Пожалуй, главный блокирующий фактор — связанные с этим переходом вопросы информационной безопасности. Сейчас многие компании на практике опробовали переход на удалённую работу. Не у всех он проходил гладко, но большинство перечисленных возражений были либо сняты, либо стали понятны пути их разрешения.
Контролировать привилегированных пользователей при работе с личных устройств вне офиса выполнимая задача?
Решить эту проблему можно, если отказаться от идеи контроля за этими личными устройствами и хранения на них сколько-нибудь важной информации в любом виде. Если использовать их только как инструмент терминального доступа, все риски ИБ, сопряжённые с их утратой или несанкционированным доступом, уходят.
Для нас это довольно типовая задача: технологии CyberArk позволяют организовать такой безопасный удалённый доступ для привилегированных пользователей. Это достигается за счёт применения ряда встроенных технологий:
- биометрическая аутентификация гарантирует, что доступ предоставляется конкретному авторизованному лицу. Этo исключает риски, связанные с кражей/утерей устройства;
- технология терминального доступа обеспечивает изоляцию защищаемой среды от неконтролируемого устройства. Т.о. исключаются риски распространения вредоносного ПО или прямого доступа из недоверенной среды;
- безопасное хранение информации об учётной записи с автоматической подстановкой её пароля в установленную сессию внутри защищаемого периметра. Это исключает риски компрометации пароля, хранящегося на неконтролируемом устройстве или вводимого через него.
Какие задачи по обеспечению безопасного удаленного доступа Вы и Ваши клиенты решали с помощью CyberArk при работе из дома?
Здесь нет смысла разделять вопросы работы с личных мобильных устройств вне офиса и вопросы доступа при работе из дома. Набор задач тут одинаковый:
- создать единый контролируемый централизованный портал для предоставления удалённого доступа, чтобы не реагировать ситуационно на каждую отдельно возникающую потребность;
- обеспечить изоляцию устройства, с которого осуществляется доступ, от критичной инфраструктуры;
- обеспечить персональную ответственность за любые действия, совершаемые сотрудниками в ИТ-инфраструктуре или на критичных для бизнеса активах;
- обеспечить детальный мониторинг и быстрое расследование инцидентов за счёт полного журналирования для любого типа приложений и протоколов в виде видео и текстового лога сессий;
- реагировать превентивно на события (за счёт фильтров, согласований и блокировок), что снижает число инцидентов в принципе.
Мне кажется, что последняя задача наиболее критичная.Не допустить инцидент существенно более важно, чем иметь возможно его расследовать, исправляя последствия.
С помощью CyberArk можно контролировать только привилегированных пользователей или же всех сотрудников компании? Как определить, кого нужно контролировать, а кого нет?
Кто является привилегированным пользователем? Это ключевой вопрос, и на него сложно дать полный ответ без понимания бизнес-процессов конкретной организации. Есть общее понимание, что ИТ-персонал и подрядчики, сопровождающие ИТ-инфраструктуру, являются такими пользователями, но, очевидно, это не весь список. Я бы предложил под этим термином понимать любого сотрудника, чьи действия в рамках работы с ИТ могут нанести существенный материальный или репутационный ущерб бизнесу организации. Это может быть оператор АСУ ТП, сотрудник, вносящий или имеющий доступ к критичной информации (работа в АБС/биллинговой системе), и даже работники маркетинга, имеющие доступ к корпоративным аккаунтам организации в социальных сетях. Как с любой системой безопасности здесь важно соблюсти баланс и учесть экономическую целесообразность. Контролировать всех технически возможно, но не имеет большого смысла, нужно сфокусироваться на сотрудниках, чьи действия (или действия от имени которых) могут повлечь существенный ущерб.
Что лучше — наказывать за произошедший инцидент (мониторить) или предотвращать инциденты (блокировать)? Какой режим работы PAM лучше использовать?
Думаю, в этом вопросе не может быть двух мнений. Предотвращение инцидентов должно быть в приоритете. Любой инцидент — это прямой или косвенный финансовый ущерб. С точки зрения бизнеса, любая система ИБ — это чистые расходы: её нужно купить, установить, сопровождать. Если система может лишь уменьшить трудозатраты на расследование уже причинённого ущерба, то её экономическая целесообразность вызывает много вопросов, а про ROI вообще лучше не вспоминать. Ситуации, в которых результаты этих расследований можно конвертировать в судебные претензии и реальную компенсацию ущерба, скорее экзотика, чем ежедневная практика нашего рынка. Предотвращение инцидента — в приоритете. Есть два направления: важно не просто уметь что-то блокировать (часто этим инструментов просто невозможно эффективно воспользоваться), также важно создать условия, в которых этот инцидент в принципе невозможен. Так, например, невозможно украсть пароль у человека, который его не знает, или с устройства, на котором он не хранится. Невозможно распространить вредоносное ПО с заражённой рабочей станции на управляемый актив при изоляции через терминальную сессию и т.п.
Привилегированных пользователей контролирует администратор CyberArk, а кто контролирует администратора CyberArk?
Вопрос предполагает, что администратор CyberArk получает права всех контролируемых администраторов или какое-то преимущество перед ними. Это не так. Система изначально проектировалась со строгим соблюдением принципа разделения прав, это в самой архитектуре решения, которое изначально в 1999 году разрабатывалось под требования министерства обороны Израиля. Администратор CyberArk не имеет доступа к контенту, хранимому в системе, только к её администрированию и сопровождению. Ролевая модель и гранулярность выдаваемых в системе прав позволит воплотить самые строгие политики безопасности. Здесь важно не увлечься и соблюсти баланс с удобством эксплуатации.
Кто чаще становится виновников утечки конфиденциальной информации: администратор ИТ-систем с привилегированными правами доступа или рядовой сотрудник, неосведомленный о корпоративной безопасности?
Чаще всего это просто человек, у которого хватило прав эту информацию получить из ИТ-системы. Я бы не стал искать здесь зависимость или углубляться в сравнение администраторов и операторов ИТ-систем. Если у человека есть права и мотив, этого более чем достаточно. Именно поэтому CyberArk рекомендует максимально широко трактовать понятие привилегированного пользователя. Если у человека есть достаточно прав в ИТ-системе для нанесения существенного ущерба, если эти права нельзя отнять из-за отсутствие технической возможности или существует объективная необходимость их наличия у данного человека, то это привилегированный пользователь, которого надо контролировать.
Как нужно перестроить бизнес-процессы, чтобы покупка и внедрение PAM было эффективным?
Внедрение PAM, как правило, не влияет непосредственно на бизнес-процессы, скорее вносит упорядоченность в процедуру предоставления доступа и процессы управления кричными ИТ-активами. На рынке есть решения, которые требуют внесение изменений в сетевую инфраструктуру, установку «в разрыв», установку агентов. CyberArk не имеет подобных ограничений и может быть внедрён в системах любой сложности с плавным переходом в промышленную эксплуатацию без остановки бизнеc-процессов.
Облачные технологии по контролю привилегированных пользователей популярны в Европе? В чем преимущества облачный технологий?
Облачные технологии в PAM — безусловный тренд, они популярны в Европе, и с каждым годом количество клиентов SaaS-решений увеличивается. В настоящий момент на территории Европы для предоставления облачных сервисов CyberArk имеет два ЦОДа — в Великобритании и Германии. Преимущества SaaS-подхода весьма существенны:
- быстрый переход к эксплуатации, т.е. начать продуктивное использование системы можно в течение считанных дней;
- исключение целого комплекса проблем и зад по закупке, логистике и размещению оборудования;
- отсутствие расходов на сопровождение и содержание штата квалифицированных специалистов. В ЦОДе CyberArk сопровождение системы будет всегда осуществляться штатными сотрудниками CyberArk, обладающими всеми необходимыми компетенциями;
- всегда актуальная версионность ПО, за поддержанием которой следит сам производитель;
- высокая доступность. Уровень высокой доступности сервисов в рамках современного ЦОД обычно существенно выше того, чего можно достичь локально у большинства заказчиков.
Как ваши клиенты из России относятся к облачным решениям? Что Вы можете им предложить?
К сожалению, данный подход пока не получил большого распространения в России. Для некоторых заказчиков блокирующим фактором становятся отдельные требования локальных регуляторов, для других — консервативная позиция в отношении облачных систем.
Полагаю, мы со временем неминуемо придём к концепции SaaS. Это экономически более эффективная концепция, позволяющая быстро реагировать на текущую ситуацию и отчасти решающая острую проблему нехватки квалифицированных кадров по нишевым направлениям.
Текущим и потенциальным клиентам CyberArk в России мы можем предложить полный набор наших сервисов SaaS на базе европейских ЦОДов.
Какие особенности контроля привилегированных пользователей в компаниях с АСУ ТП? Может ли CyberArk контролировать промышленные протоколы?
Можно выделить две ключевые особенности:
- особое внимание к требованиям высокой доступности защищаемых систем;
- необходимость поддержки сложных, малораспространённых (в сравнении с классическим ИТ) систем.
С обеими задачами CyberArk успешно справляется. CyberArk не только обладает всеми необходимыми технологиями резервирования собственного решения, но и за счёт своей безагентной архитектуры и отсутствия необходимости вносить изменения в сеть позволяет осуществить внедрение без технологических остановок. Также немаловажен факт, что за счёт организации единой защищённой точки администрирования становится возможным оперативное предоставление защищённого и полностью контролируемого (в отличие от классического VPN) доступа к критичным активам для их обслуживания, администрирования, внесение изменений. То есть то, что ранее требовало присутствия специалиста на площадке, можно делать удалённо. Это особенно критично в ситуациях, подобных текущей, когда сотрудникам иностранных вендоров невозможно попасть на территорию России из-за карантина. Впрочем, даже в его отсутствие согласование и организация командировки требует времени. Всё это прямым образом отражается на повышении доступности защищаемых активов и скорости реакции на инциденты в АСУ ТП сегменте.
CyberArk также отличается протоколонезависимостью архитектуры и широкими возможностями по интеграции и кастомизации. Все эти качества являются особенно востребованными в АСУ ТП.
Какие из решений/модулей компании CyberArk стали востребованы при переходе на удаленный режим работы?
Полное название нашего основного и наиболее популярного продукта — CyberArk Core PAS. Именно на его основе мы предлагаем решения по контролю за привилегированными пользователями, по организации централизованной контролируемой точки удалённого доступа для привилегированных пользователей. Большую популярность в последнее время получило одно из расширений к CyberArk Core PAS — модуль Alero. Этот модуль использует биометрическую аутентификацию для подтверждения авторизованного доступа и позволяет расширить концепцию контролируемого удалённого доступа принципом «zero trust», когда необходимо предоставить удалённый доступ к критичному активу, не передавая контрагенту абсолютно никаких паролей и учётных данных, даже от самого централизованного портала CyberArk.
С какими решениями-партнерами лучше всего использовать ПО компании CyberArk?
CyberArk имеет большую сеть технологических партнёров в рамках инициативы CyberArk C3 Allience, в настоящий момент это более 100 крупнейших ИТ-компаний и более 200 продуктов, содержащих встроенные инструменты для интеграции с CyberArk «из коробки». Из личной практики чаще всего приходится встречаться с интеграциями со сканерами безопасности (Rapid7, Qualys), SIEM (QRadar, Arcsight), средствами двухфакторной аутентификации и различными платформами виртуализации и контейнеризации, если речь заходит о безопасности в DevOps.
Вы предоставляете бесплатные версии программного обеспечения на время пандемии?
Да, мы стараемся быть максимально лояльными как с нашими текущими клиентами, так и с потенциально новыми для нас заказчиками. В период карантина мы получили множество запросов на предоставление временных лицензий для преодоления временного пика с переходом большого числа сотрудников на удалённую работу. Что характерно, многие из этих заказчиков впоследствии закупили этот объём лицензий, что говорит об успешности практики перевода сотрудников на удалённый режим работы и желание оставить эту возможность на посткарантинное время. По вопросам приобретения лицензий CyberArk клиенты всегда могут обратиться к нашему надежному партнеру – компании РАССЭ.
Можно ли обучиться и сдать экзамены CyberArk дистанционно?
Конечно, все наши обучающие курсы доступны онлайн с живым тренером. Актуальное расписание можно узнать на нашем сайте cyberark.com.
Анонс ближайших мероприятий.
Я хотел бы пригласить всех посетить серию виртуальных мероприятий в рамках программы Attack & Defend, которую мы, CyberArk, проводим 16 июня, 18 июня и 23 июня.
Что планируется:
- Виртуальный «War Room»: позволит из первых рук взглянуть на стратегии Red Team vs. Blue Team в действии, чтобы вы могли по-настоящему проникнуть в сознание хакера и в результате создать правильную стратегию защиты. Подробнее.
- Что ищут злоумышленники: фронтовые сводки от наших экспертов из CyberArk Labs. Они поделятся своими взглядами на текущую картину угроз, инструменты с открытым исходным кодом и разные методы, которые они используют, чтобы опередить хакеров. Подробнее.
- Blueprint: вы узнаете о нашей пошаговой дорожной карте для успешного управления привилегированным доступом. Глядя на людей, процессы и технологии, мы дадим вам идеи для старта и как продолжать улучшать свой профиль риска. Подробнее.
Все мероприятия бесплатны для участия, и вы можете выбрать одно или все три, чтобы собрать основные идеи, необходимые для построения лучшей защиты.
Очень надеюсь, что вы присоединитесь к нам, и не стесняйтесь приглашать своих коллег.
Ваши рекомендации бизнесу по контролю привилегированных пользователей в период самоизоляции.
Самоизоляция вскрыла неготовность многих компаний к управлению своими ИТ-активами без штата сотрудников непосредственно на рабочих местах. Проблема была не в отсутствии технической возможности организовать удалённый доступ. При переводе таких сотрудников «на удалёнку» необходимо было найти ответ на целый ряд вопросов ИБ:
- Кто получает доступ к инфраструктуре и бизнес-приложениям? Есть ли гарантии, что это именно авторизованный сотрудник перед клавиатурой?
- Как контролируется устройство, с которого происходит удалённый доступ? Насколько оно безопасно?
- Что делают пользователи и администраторы в рамках своих подключений? Какие возможности повлиять на бизнес-процессы есть у этих людей?
- Как можно предотвратить или хотя бы оперативно выявить и расследовать инцидент?
Ответов на эти вопросы, как правило, не было, что породило самые изощрённые формы рабочих отношений. Например, один из банков начал переводить сотрудников на работу с проживанием в офисе.
Рекомендации напрашиваются сами собой: необходимо пересмотреть текущую концепцию предоставления удалённого доступа к ИТ-активам организации. Стоит особо выделить и обеспечить возможность контролируемого удалённого доступа для пользователей с повышенными привилегиями в ИТ-инфраструктуре. В особенности сотрудников, от которых зависит непрерывность работы этой инфраструктуры. Это позволит снизить число инцидентови повысить доступность сервисов, обеспечив непрерывность связанных бизнес-процессов. Эта рекомендация будет справедлива и после снятия ограничений, связанных с пандемией.
Благодарим компанию Softprom — официального дистрибьютора CyberArk за помощь в подготовке интервью.
