Меню 1 (mobile)
Управление рисками в IDM/IGA
2025-02-17
В этой статье мы решили поговорить про управление рисками доступа в привязке к решениям класса Identity Management/Identity Governance. Сам класс решений на Хабре освещен достаточно хорошо, в том числе, стараниями уважаемых конкурентов, но данная тема затронута слабо. И, как нам кажется, зря. Развитие западных решений и повторный виток интереса на западном рынке к классу обеспечены, в том числе, выходом этого функционала из статуса экспериментального на продуктивное плато.
Управление рисками в IGA-решениях всегда было той самой «темной стороной», на которую предпочитали не заходить российские пользователи. Даже для крупных компаний этот функционал казался чем-то космическим. Отчасти так сложилось по той причине, что за комплаенс, которому, как правило, принадлежит функция управления рисками в крупных организациях, отвечают подразделения, не близкие к ИБ, и, уж тем более, ИТ, а контролирующие их. В такой конъюнктуре посягать на зону ответственности вышестоящего органа владельцы систем управления доступом, как правило, не решались. Подразделения и руководители, ответственные за управление рисками, в большинстве своем о подобных функциях информационных систем не знали и не проявляли к ним интерес в качестве внутреннего заказчика. В настоящий момент мне известно лишь одно по-настоящему эффективное внедрение на территории РФ, в котором модель управления рисками продумана и выстроена по требованиям внутреннего аудита.
В данной статье я рассмотрю риски, которые может оценивать и компенсировать система управления доступом к информационным ресурсам, а также расскажу про «легкий», и при этом достаточно эффективный, сценарий использования модели управления рисками, реализуемый без привлечения дополнительных владельцев требований.
Управление рисками в IGA-решениях всегда было той самой «темной стороной», на которую предпочитали не заходить российские пользователи. Даже для крупных компаний этот функционал казался чем-то космическим. Отчасти так сложилось по той причине, что за комплаенс, которому, как правило, принадлежит функция управления рисками в крупных организациях, отвечают подразделения, не близкие к ИБ, и, уж тем более, ИТ, а контролирующие их. В такой конъюнктуре посягать на зону ответственности вышестоящего органа владельцы систем управления доступом, как правило, не решались. Подразделения и руководители, ответственные за управление рисками, в большинстве своем о подобных функциях информационных систем не знали и не проявляли к ним интерес в качестве внутреннего заказчика. В настоящий момент мне известно лишь одно по-настоящему эффективное внедрение на территории РФ, в котором модель управления рисками продумана и выстроена по требованиям внутреннего аудита.
В данной статье я рассмотрю риски, которые может оценивать и компенсировать система управления доступом к информационным ресурсам, а также расскажу про «легкий», и при этом достаточно эффективный, сценарий использования модели управления рисками, реализуемый без привлечения дополнительных владельцев требований.
Какими рисками может управлять IDM
Для того чтобы понять, какими рисками может управлять IDM, нужно рассмотреть, какими данными он обладает и какие инциденты умеет выявлять. Уровень качества данных и, соответственно, оценки сильно зависят от стадии внедрения и организации базовых процессов управления доступом. Рассмотрим качество и полноту данных на разных этапах внедрения системы:
5. IDM, в котором построена ролевая модель, знает:
Приведенного перечня знаний достаточно, как минимум, для определения следующих рисков:
Читайте продолжение на habr.ru
- Итак, IDM-система, в которой выполнена первичная реконсиляция, знает:
- Пользователей информационных ресурсов: обладает информацией о физическом лице, его статусе по отношению к организации (внешний или внутренний пользователь, подразделение, должность, статус сотрудника — для внутренних пользователей)
- Учетные записи пользователей: обладает информацией о принадлежности учетных записей конкретным пользователям, знает их статус, и по возможности дополнительные параметры, такие как дата последнего входа
- Текущие права учетных записей
- Кто подтвердил принадлежность учетной записи
- Кто подтвердил необходимость прав доступа
- Когда пользователь получил доступ
- Когда пользователь лишается доступа
- На основании какого запроса пользователь получил права, кто создал запрос, и кто его подтвердил
- На каком основании и в соответствии с какой должностью был сделан запрос
5. IDM, в котором построена ролевая модель, знает:
- На основании какой должностной функции пользователь обладает правами доступа и учетными записями
- IDM, в котором настроен SoD, знает о пользователях совмещающих критичные права доступа
- IDM, в котором указан уровень риска для прав доступа, знает привилегированных пользователей
- IDM, в котором настроена рисковая модель, гораздо более точно определяет пользователей обладающих критичными наборами полномочий
Приведенного перечня знаний достаточно, как минимум, для определения следующих рисков:
- Риск компрометации учетной записи оценивает уровень ущерба, который может причинить злоумышленник, завладевший отдельной учетной записью в соответствии с ее привилегиями.
- Риск зловредного поведения пользователя оценивает уровень ущерба, который может причинить лицо, обладая всем набором учетных записей сотрудника. В данном случае в качестве нарушителя может рассматриваться как сам сотрудник, так и некоторый злоумышленник, скомпрометировавший все учетные записи пользователя.
Читайте продолжение на habr.ru
О компании AVANPOST:
Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируем и объединяем программные компоненты различных вендоров.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:
- Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
- Avanpost SmartPAM для контроля привилегированного доступа;
- Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
- Avanpost CA (российский доменный сервис сертификации; универсален для различных доменов, включая MS),
- Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра),
- Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO, Device Control.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируем и объединяем программные компоненты различных вендоров.
Другие новости
Получайте свежие новости первыми!
