Автоматизация процессов управления доступом и жизненным циклом учетных записей, которую обеспечивают классические IDM-системы, приносит большую пользу организации: устраняет задержки между кадровыми событиями и их адекватным отражением в настройках доступа инфраструктурного и прикладного ПО, позволяет проводить аудиты ИБ, разгружает ИБ-персонал от рутинной работы, делает невозможными многие виды компьютерных преступлений.
Это особенно важно в период быстрых изменений бизнес-среды и ИТ-ландшафта, связанных с импортозамещением ИТ, предстоящей цифровизацией всех сторон нашей жизни, растущими потребностями предприятий в переходе на более совершенные системы менеджмента, появлением новых классов перспективных ИТ-систем (роботизация процессов, Big Data и др.). Именно поэтому в России популярность IDM-решений быстро растет, а стратегически мыслящие организации изначально встраивают IDM в картину будущего состояния своих информационных систем (ИС) в качестве обязательного элемента.
Однако все эти изменения имеют общий побочный эффект, создавая новые риски и уязвимости, которые не могут быть закрыты средствами классических IDM-систем. Справиться с новыми рисками и уязвимостями позволяет новое поколение IDM — системы класса IGA. Сохраняя все ценности автоматизации для ИТ-подразделений и бизнеса, они предоставляют дополнительную бизнес-ценность для подразделений, отвечающих за информационную безопасность предприятия.
В этой статье мы рассмотрим наиболее опасные риски и уязвимости, которые позволяют устранить именно IGA-решения, но не классические системы IDM.
«Мертвые души»
Чем больше учетных записей (УЗ) в ИС, тем выше риск компрометации каких-либо из них и использования в компьютерных преступлениях. Причем наибольший интерес для злоумышленника представляют учетные записи уволенных сотрудников и работников, ушедших в долгосрочный отпуск. Ведь активность такой учетной записи почти наверняка не будет замечена её владельцем. А поскольку пароли таких аккаунтов долгое время не меняются, то однажды получив такой пароль, можно долго пользоваться им и даже менять его, не опасаясь реакции пользователя.
Это один из главных рисков, который классические IDM-решения успешно закрывают за счёт управления жизненным циклом УЗ на основании данных, поступающих из кадровой системы. Например, при увольнении пользователя его учетная запись будет автоматически заблокирована или удалена, а в будущем ее состояние будет контролироваться.
IGA-решения идут значительно дальше: отслеживая активность учетной записи (с помощью прямой интеграции, интеграции с решениями класса Web SSO или через SIEM), они выявляют неиспользуемые учетные записи действующих работников, обладающие схожими рисками, и позволяют — автоматически или с привлечением ответственных лиц — принять решение об изменении состояния каждой такой УЗ. Иными словами, они проактивно работают с группами риска, которые динамически возникают, меняются и исчезают в ходе работы предприятия.
Превышение полномочий
Полномочия пользователей в ИС должны строго соответствовать их должностным обязанностям. Это очевидно, но выполняется крайне редко, что создаёт риски утечки информации, нарушение процессов и функционирования системы (по злому умыслу или по неосторожности пользователя). Есть и другие нежелательные последствия, хотя и менее значимые.
Корректная ролевая модель, которую предлагают IDM-решения, во многом снимает эту проблему, однако IGA-системы предлагают целый ряд дополнительных инструментов, как использующих ролевые модели, так и не связанные с ними.
Так, значительно сокращают рассматриваемые риски процессы аттестации и сертификации прав доступа пользователей и ролевой модели. Их цель — поддерживать актуальные наборы прав в точном соответствии с меняющимися бизнес-процессами и ИТ-ландшафтом организации.
Сертификация «легитимизирует» доступ, полученный до внедрения IDM, либо в обход неё. В процесс вовлечены ответственные лица, подтверждающие или отвергающие необходимость и правомерность наличия таких прав у пользователя. Права, прошедшие сертификацию, в будущем считаются разрешенными для их владельца. Но значительная часть полномочий, исторически накопленных пользователем, отсекается на этапах рассмотрения и автоматически отзывается у пользователя, что позволяет в автоматизированном режиме навести порядок уже при внедрении IGA. Ценность данного процесса ещё возрастает благодаря тому, что для его запуска не требуется дорогостоящий этап анализа и построения ролевой модели. Более того, наиболее продвинутые IGA-решения могут обучаться в процессе сертификации и затем, на основе собранных данных, предлагать элементы для добавления в ролевую модель.
Аттестация предполагает плановый пересмотр доступов пользователя ответственными лицами по гибкому расписанию, зависящему от разных факторов. Так, повышение частоты аттестации может использоваться как эффективная компенсационная мера для пользователей, обладающих привилегированными или конфликтными полномочиями, либо попавших под внимание офицеров ИБ или системы по какой-то другой причине.
Кроме этого, в IGA решениях классический механизм аудита прав доступа, как правило, дополняется набором политик. Они, в частности, позволяют либо автоматически устранить превышающие полномочия пользователя в ИС, либо организовать бизнес-процесс оценки их обоснованности, в котором участвуют специалисты в ИБ и представители бизнеса, что практически нивелирует риск.
Несовместимые полномочия
Сегодня одним из основных рисков становится нарушение принципа разделения ответственности (SoD), т. е. запретов на совмещение определенных ролей/прав у одного человека. В финансовой сфере хорошо знакомы с этим риском: здесь невнимание к нему позволяет злоумышленнику, например, единолично выполнить финансовую операцию. Однако данному риску подвержены любые ИС, управляющие сколько-нибудь значимыми для бизнеса активами.
Без специальных инструментов своевременно выявлять и предотвращать такие конфликты полномочий (на фоне меняющейся системы запретов совмещения и часто меняющихся прав пользователей) в большой организации крайне затруднительно. И если на уровне отдельных ИС (например, в автоматизированных банковских системах) вопрос достаточно часто решается средствами самой ИС, то межсистемные SoD-конфликты контролировать без IGA практически невозможно. Причем, современный подход к разработке корпоративных информационных систем (включая SOA, микросервисную архитектуру и другие тенденции) делает практически незаменимым внешнее по отношению к прикладным ИС средство контроля и управления полномочиями пользователей.
Механизм контроля SoD-конфликтов, являющийся обязательным атрибутом решений класса IGA, позволяет создать модель, определяющую отношения между множествами полномочий. Такая модель позволяет выявить несовместимые полномочия у работников, разрешить конфликты и предотвратить их появление в будущем, либо определить строгие компенсационные меры для такого лица. Причем всё это можно сделать как для отдельных ИС, так и для групп взаимосвязанных ИС — вплоть до масштабов всей корпоративной информационной системы территориально распределенной организации.
Наиболее продвинутые реализации механизма предотвращения SoD-конфликтов позволяют не только проанализировать уже имеющийся у пользователя набор доступов, но и в режиме реального времени проверить запрашиваемый пользователем доступ и, при выявлении конфликтов, предложить самому пользователю варианты решения. Среди них могут быть: временный или постоянный отказ от какого-либо из запрашиваемых или имеющихся доступов, что устраняет конфликт; дополнительное согласование запроса представителями ИБ или другими должностными лицами, в компетенции которых находится принятие решения о допущении риска; другие меры по компенсации риска, которые либо накладывают ограничения на пользователя, либо создают предписание соответствующим должностным лицам.
Кроме того, IGA-решения, как правило, предлагают гибкие политики, позволяющие автоматически устранить превышающее полномочие пользователя в ИС, уведомить ответственных, либо организовать бизнес-процесс по их рассмотрению с оперативным привлечением как специалистов ИБ, так и бизнеса.
Компрометация привилегированных УЗ
Особого внимания требуют учетные записи администраторов (как системных, так и прикладных), а также пользователей, суммарный набор полномочий которых позволяет выполнить действия, чувствительные для бизнеса организации. В крупной организации таких аккаунтов может быть очень много. Для их выявления IGA-системы предлагают модель, основанную на оценке рисков. Эта сложная гибко настраиваемая математическая модель позволяет выявить и ранжировать потенциально опасных пользователей, которые имеют техническую возможность нанести ощутимый вред своей организации (по злому умыслу или в результате компрометации их аккаунтов). А упомянутые ранее процессы сертификации и аттестации, совместно с гибкими политиками управления паролями, позволяют определить компенсационные меры, достаточные для значительного снижения данных рисков.
Неосведомленность бизнеса
Нередко в организациях, особенно с невысокой культурой ИБ, руководители бизнеса, на который ориентирована ролевая модель, и их подчиненные относятся к процессу управления доступом «спустя рукава». В такой ситуации главная задача ответственных от бизнеса сводится к обеспечению «невмешательства» и устранения препятствий «нормальной работе», которые, по их мнению, только и создают подразделения ИБ. А это приводит не только к избыточности прав, но и к отсутствию естественного процесса актуализации ролевой модели. При этом бизнес-подразделения не понимают и не учитывают свои риски, возникающие благодаря их поведению. В свою очередь, офицеры ИБ, не будучи непосредственными участниками основных бизнес-процессов организации, в принципе не могут представить себе полную картину рисков. Именно поэтому просто необходимо вовлечение бизнеса в процессы ИБ и, в первую очередь, в процесс управления доступом. Но как это сделать?
IGA-системы существенно помогают не только вовлечь бизнес в процесс управления доступом, но и сделать его ответственным за значительную часть принимаемых решений. Этому способствуют упомянутые ранее процессы аттестации и сертификации, а также возможность самостоятельного формирования бизнес-ролей и наборов доступов проектных команд, которую предлагают большинство решений. Использование этих инструментов существенно повышает культуру ИБ в компании, а необходимость ставить свою визу на правах доступа своих работников вынуждает руководителя любого уровня задуматься над их необходимостью, что благотворно влияет на весь процесс поддержания актуальности ролевых моделей.
Подведем итог
Системы класса IGA существенно расширяют возможности IDM-решений, причем в тех направлениях, которые отвечают уже произошедшим или только намечающимся, но практически неизбежным изменениям в работе российских организаций практически любого масштаба. Причем это одинаково относится как к коммерческим структурам, так и к системе госуправления, госкорпорациям, силовым ведомствам. Что же делать заказчику, задумавшему внедрение IDM, в этих условиях?
Решая этот действительно непростой вопрос, стоит учесть несколько обстоятельств.
Во-первых, значимость вышеперечисленных и ряда не включенных в данную статью возможностей IGA-систем, лежащих за пределами классических IDM-решений, будет только возрастать, поскольку отсутствие IGA-функций, когда они стали нужны организации, означает для неё невозможность их качественной автоматизации и, как следствие, возврат ко всем хорошо знакомым недостаткам управления доступом вручную.
Во-вторых, трансформация IDM в IGA требует коренной переработки всей системы: изменения модели предметной области; реализации алгоритмов IGA, опирающихся сразу на несколько функций IDM и дополняющих их сложной логикой взаимодействия; изменения архитектуры ядра системы, чтобы получить возможность эффективно реализовывать такие «трансграничные» межсервисные алгоритмы; наличия гибкой системы workflow, с помощью которой можно реализовать и поддерживать все необходимые процессы (о некоторых из них мы говорили в данной статье). С этой задачей справятся не все поставщики IDM-систем.
В-третьих, выбрав сегодня IDM-систему, которая не сможет своевременно трансформироваться в IGA-решение, заказчик столкнется с необходимостью или примириться с растущим набором практически неустранимых проблем, либо мигрировать на другое решение. Для интенсивно работающей и развивающейся организации оба варианта мучительны и, пожалуй, неприемлемы.
***
Таким образом, даже если заказчик видит ценность для себя IGA-функций лишь в отдаленной перспективе, разумнее сразу выбрать IDM-систему, где уже реализован базовый набор IGA-функций (например, предотвращение SoD-конфликтов), где уже есть необходимая технологическая основа для создания комплексных процессов, а разработчик сделал их реализацию основой своей стратегии.
Именно такой предусмотрительный подход гарантирует, что организация всегда будет готова встретить любые изменения, не снижая, а повышая степень автоматизации процесса управления правами доступа.
Александр Махновский, руководитель департамента разработки компании Аванпост