Меню 1 (mobile)
Identity Security: Переход к непрерывной безопасности учетных записей
2025-08-21
С одной стороны, индустрия безопасности самым активным образом борется с компрометацией учетных записей. Пары логин-пароль постепенно уступают место многофакторной аутентификации (MFA), а также методам входа без пароля. Внедряются различные технологии борьбы с фишингом, новые техники безопасности. Однако в новостях по-прежнему рассказывают о взломах учетных записей и массированных атаках на компании.
Причин для этого несколько. С одной стороны, далеко не все системы переведены сегодня на MFA, а с другой — более слабые формы MFA хакеры уже научились обходить. А если говорить о методах входа без пароля, компании не только в России, но и во всем мире сталкиваются со сложностями их внедрения. Например, по данным исследования ИБ-компании Cisco DUO, на 2024 год методы входа без паролей были применены менее к 5% случаев аутентификации. Согласитесь, это не результат.
Таким образом, именно на уровне аутентификации меры защиты корпоративных систем на сегодняшний день демонстрируют сразу несколько брешей. И чтобы решить эту проблему администраторы вынуждены раз за разом требовать от пользователей подтвердить свою личность. А это не очень-то приятно, когда вы теряете доступ к важному сервису во время работы, и должны доказывать, что вы — Дмитрий, а не кто-то еще под его учеткой.
Решить эту проблему можно за счет иного подхода к обеспечению безопасности учетных записей, который все чаще называют Identity Security. Идея заключается в том, чтобы объединить управление безопасностью сразу для множества провайдеров учетных записей, гибридных сред, разнообразных устройств и даже legacy-приложений. А это значит, что сам подход к безопасности не может быть статичной моделью со сверкой логинов и паролей. Для этого нужна эффективная архитектура, которая позволяет реагировать на то, что происходит с учетными записями фактически в реальном времени.
В принципе сегодня все ведущие агентства и эксперты говорят о том, что для обеспечения безопасности нужны новые подходы. Так, по мнению аналитиков Gartner, современные фреймворки безопасности должны обеспечить эффективную работу различных систем для всех существующих пользователей и всех без исключения защищаемых систем. В числе Must-Have-характеристик отмечают:
Почему так происходит? Возьмем, например, технологии идентификации на основе действий пользователей, которые все чаще применяются в качестве дополнительных мер безопасности. Для различных систем устанавливаются правила, согласно которым ИИ может определить, выполняет ли пользователь «нормальные» действия, или делает что-то странное. При подозрении на атаку учетная запись пользователя блокируется. А это значит, что единой точки входа с паролем, и даже с MFA оказывается уже недостаточно.
Сегодня становится понятно, что точечной защиты недостаточно и необходимы новые подходы к защите цифровых удостоверений и учетных данных, одним из которых является парадигма непрерывного обеспечения безопасности.
Причин для этого несколько. С одной стороны, далеко не все системы переведены сегодня на MFA, а с другой — более слабые формы MFA хакеры уже научились обходить. А если говорить о методах входа без пароля, компании не только в России, но и во всем мире сталкиваются со сложностями их внедрения. Например, по данным исследования ИБ-компании Cisco DUO, на 2024 год методы входа без паролей были применены менее к 5% случаев аутентификации. Согласитесь, это не результат.
Таким образом, именно на уровне аутентификации меры защиты корпоративных систем на сегодняшний день демонстрируют сразу несколько брешей. И чтобы решить эту проблему администраторы вынуждены раз за разом требовать от пользователей подтвердить свою личность. А это не очень-то приятно, когда вы теряете доступ к важному сервису во время работы, и должны доказывать, что вы — Дмитрий, а не кто-то еще под его учеткой.
Решить эту проблему можно за счет иного подхода к обеспечению безопасности учетных записей, который все чаще называют Identity Security. Идея заключается в том, чтобы объединить управление безопасностью сразу для множества провайдеров учетных записей, гибридных сред, разнообразных устройств и даже legacy-приложений. А это значит, что сам подход к безопасности не может быть статичной моделью со сверкой логинов и паролей. Для этого нужна эффективная архитектура, которая позволяет реагировать на то, что происходит с учетными записями фактически в реальном времени.
В принципе сегодня все ведущие агентства и эксперты говорят о том, что для обеспечения безопасности нужны новые подходы. Так, по мнению аналитиков Gartner, современные фреймворки безопасности должны обеспечить эффективную работу различных систем для всех существующих пользователей и всех без исключения защищаемых систем. В числе Must-Have-характеристик отмечают:
- Возможность интеграции и взаимодействия систем на уровне событий (event-based integration connectivity);
- Непрерывные и адаптивные практики реагирования на риски и целостный подход к безопасности (adaptive continuous, risk-aware and resilient security).
Почему так происходит? Возьмем, например, технологии идентификации на основе действий пользователей, которые все чаще применяются в качестве дополнительных мер безопасности. Для различных систем устанавливаются правила, согласно которым ИИ может определить, выполняет ли пользователь «нормальные» действия, или делает что-то странное. При подозрении на атаку учетная запись пользователя блокируется. А это значит, что единой точки входа с паролем, и даже с MFA оказывается уже недостаточно.
Сегодня становится понятно, что точечной защиты недостаточно и необходимы новые подходы к защите цифровых удостоверений и учетных данных, одним из которых является парадигма непрерывного обеспечения безопасности.
Новая парадигма непрерывной безопасности
Итак, давайте подробнее рассмотрим саму парадигму непрерывного обеспечения безопасности (CSP, Continuous Security Paradigm). На самом деле она представляет собой логичный перенос практик из реальной жизни в цифровое пространство. Представьте, что вы заказали клининг, и вы знаете, что к вам в пятницу в 18−00 должна прийти женщина по имени Евдокия, чтобы помыть полы. Конечно, вы удивитесь, если вместо Евдокии придет Игнат, и вряд ли пустите уборщика в дом, если он придет не в назначенный час. Но даже если все будет как оговорено, разве вы оставите Евдокию без присмотра? Разве не удивитесь, если вместо мытья полов, она начнет изучать содержимое ящиков вашего комода? Сегодня мы приходим к тому, что в цифровой среде также нужно наблюдать за поведением любого пользователя, потому что под личиной каждой «Евдокии» может скрываться кто-то совсем другой.
Парадигма непрерывной безопасности — это системный подход к безопасности, который рассматривает каждое приложение, сервис и даже устройство пользователя, как один из элементов разрозненной системы В дополнение к привычным нам уровням анализа данных и контроля (data plane and control plane), с новой парадигмой мы получаем также план сигналов («Signals Plane»), который позволяет в асинхронном режиме обрабатывать события и реагировать на них. И хотя решения принимаются на уровне данных, весь контекст для анализа и обнаружения угроз приходит именно с плана сигналов.
Парадигма непрерывной безопасности — это системный подход к безопасности, который рассматривает каждое приложение, сервис и даже устройство пользователя, как один из элементов разрозненной системы В дополнение к привычным нам уровням анализа данных и контроля (data plane and control plane), с новой парадигмой мы получаем также план сигналов («Signals Plane»), который позволяет в асинхронном режиме обрабатывать события и реагировать на них. И хотя решения принимаются на уровне данных, весь контекст для анализа и обнаружения угроз приходит именно с плана сигналов.
Уровень контроля
Чтобы применить парадигму непрерывной безопасности, нам необходимо отказаться от восприятия корпоративной сети, как некой единой структуры. Вместо этого методология подразумевает отношение к узлам сети как к слабо связанным объектам. То есть фактически мы снижаем до минимума изначальное доверие узлов друг другу, а также начинаем анализировать, кому принадлежит или кем используется тот или иной узел сети. И под словом «узел» здесь стоит понимать не физический или виртуальный сервер, а логические уровни передачи информации и коммуникации между системами. В число таких «узлов» могут входить как виртуальные частные облака (Virtual Private Cloud), тенанты SaaS или IaaS, так и публичные, но доверенные источники информации (включая центры реагирования SoC или средства мониторинга общедоступной информации, открытые базы данных и многое другое).
Уровень контроля позволяет выстроить топологию доверия. Он описывает, как один узел может взаимодействовать с другим, учитывая политики доверия и другие атрибуты. Например:
Уровень контроля позволяет выстроить топологию доверия. Он описывает, как один узел может взаимодействовать с другим, учитывая политики доверия и другие атрибуты. Например:
- CRM доверяет HR-системе в вопросах получения актуальных сведений о сотрудниках.
- Приложения доверяют HR-системе в вопросах предоставления актуальной оргштатной структуры и сведений о сотрудниках, а также CRM-системе, если речь идет о данных заказчиков, но не доверяют СRM в тех вопросах, которые относятся к HR.
- CRM считает доверенными данные, полученные от бизнес-приложений и может использовать получаемые от них атрибуты заказчиков.
- HR-система доверяет CRM-системе и бизнес-приложениям, если речь идет о получении дополнительных данных о работе сотрудников.
Уровень сигналов
На уровне сигналов каждый узел в асинхронном режиме собирает новые данные и характеристики, важные для принятия решений на уровне данных (Data Plane). Он также позволяет сообщать другим узлам об изменениях, которые могут быть важны для определения уровня доверия. Асинхронный прием и передача доверенных данных позволяют узлам системы принимать решения о предоставлении или ограничении доступа с учетом возможных задержек и особенностей работы различных элементов сети. Подробнее эта схема взаимодействия рассматривается, например, в OpenID Shared Signals Framework (SSF).
Уровень данных
Финальные решения о предоставлении или отзыве доступа при вызове через API или других обращениях пользователей принимаются на уровне данных. Уровень сигналов играет при этом важную роль, так как он гарантирует, что подобные решения не будут приниматься на основе устаревшей информации. А поскольку передача новой информации происходит в асинхронном режиме, мы переходим к реагированию на базе событий, информация о которых обновляется непрерывно (прямо как рекомендуют аналитики Gartner). Подобный подход позволяет избежать снижения уровня безопасности.
Если происходит что-то важное на уровне данных — например, если пользователь пытается получить доступ к нетипичной для него информации на одном из узлов и фактически нарушает политики, заданные на уровне контроля, происходит асинхронная передача параметров этого инцидента с возможностью дальнейшего принятия решений по этому пользователю. Другими словами, если вы видите, что Евдокия зачем-то начала изучать ваши документы, вы, вероятно, примете решение выгнать ее из квартиры…или вызвать полицию, чтобы проверить, кто это такой, — все зависит от принятых политик безопасности.
Если происходит что-то важное на уровне данных — например, если пользователь пытается получить доступ к нетипичной для него информации на одном из узлов и фактически нарушает политики, заданные на уровне контроля, происходит асинхронная передача параметров этого инцидента с возможностью дальнейшего принятия решений по этому пользователю. Другими словами, если вы видите, что Евдокия зачем-то начала изучать ваши документы, вы, вероятно, примете решение выгнать ее из квартиры…или вызвать полицию, чтобы проверить, кто это такой, — все зависит от принятых политик безопасности.
Дмитрий Грудинин, руководитель развития продуктовой линейки аутентификации Avanpost FAM/MFA+.
«В статье мы рассмотрели основные концепты парадигмы непрерывной безопасности применительно к идентификации, аутентификации, авторизации и контроля, которые составляют основу подхода Identity Security. Проработка вопросов защиты корпоративной инфраструктуры на основе доверия между ресурсами, пользователями и устройствами с точки зрения данной парадигмы позволяет ощутимо усложнить жизнь потенциальным злоумышленникам. Скомпрометировать такую многогранную комбинацию контекстно-зависимых атрибутов на сегодняшний день и в ближайшей перспективе не по зубам даже генеративным моделям искусственного интеллекта, не говоря уже о классическом злоумышленнике».
«В статье мы рассмотрели основные концепты парадигмы непрерывной безопасности применительно к идентификации, аутентификации, авторизации и контроля, которые составляют основу подхода Identity Security. Проработка вопросов защиты корпоративной инфраструктуры на основе доверия между ресурсами, пользователями и устройствами с точки зрения данной парадигмы позволяет ощутимо усложнить жизнь потенциальным злоумышленникам. Скомпрометировать такую многогранную комбинацию контекстно-зависимых атрибутов на сегодняшний день и в ближайшей перспективе не по зубам даже генеративным моделям искусственного интеллекта, не говоря уже о классическом злоумышленнике».
О компании AVANPOST:
Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
- Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
- Avanpost SmartPAM для контроля привилегированного доступа;
- Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
- Avanpost CA (российский доменный сервис сертификации, универсальный для различных доменов, включая MS);
- Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра);
- Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO, Device Control.
Экосистема решений по управлению доступом построена на базе полностью собственного ПО, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируются и объединяются с программными компонентами различных вендоров.
Другие новости
Получайте свежие новости первыми!
