Андрей Лаптев (Индид): как обеспечить безопасность Identity?

Количество утечек данных в первом полугодии 2024 года в России выросло на 10,1% по сравнению с аналогичным периодом 2023 года по данным ЭАЦ ГК InfoWatch. Злоумышленники все чаще используют скомпрометированные учетные данные для получения доступа к ИТ-системам. Как создать эффективную систему защиты, закрывая все задачи безопасности на каждом этапе жизни Identity (айдентити, служит для обозначения цифровой идентичности, идентификационных данных, цифрового профиля пользователя с некоторым набором привилегий) в интервью CISOCLUB рассказал директор продуктового офиса «Индид» Андрей Лаптев.

Какие ключевые задачи в области защиты айдентити стоят перед организациями?

В этой сфере у организаций довольно обширный спектр задач: нужно не только построить центральный каталог пользователей и обеспечить его защиту, но и наладить эффективное управление привилегиями, многофакторной аутентификацией и мониторингом пользовательской активности.

Какие технологии и методы аутентификации наиболее эффективно обеспечивают безопасность айдентити пользователей в корпоративной среде?

На сегодняшний день самым безопасным способом считается аутентификация при помощи цифровых сертификатов. Но чтобы реализовать его, необходимо приложить немало усилий: построить (развернуть) инфраструктуру открытых ключей (PKI), выдать пользователям смарт-карты (токены) и выпустить сертификаты, настроить аутентификацию по ним в прикладных системах. Уровень безопасности этого метода аутентификации зависит от того, как реализована инфраструктура PKI и как защищены ключи УЦ.

Самый простой и при этом самый дешевый способ – аутентификация по паролю. Аутентификация с помощью одноразовых паролей является золотой серединой при выборе между легкостью (дешевизной) реализации и безопасностью. Эта технология требует сравнительно небольших затрат, но позволяет снизить риск до приемлемого уровня.

Какие меры следует принимать для предотвращения компрометации учетных данных сотрудников в условиях удаленной работы?

Комплекс мер зависит от конкретного сценария удаленной работы. Общие рекомендации таковы: обязательно реализовать механизм многофакторной аутентификации, предоставлять лишь минимально необходимые привилегии, по возможности обеспечить безопасность пользовательского терминала (рабочей станции), с которого осуществляется доступ к инфраструктуре.

Как управлять правами доступа и привилегиями пользователей, чтобы минимизировать риски злоупотребления?

Необходимо придерживаться принципа разделения полномочий. Надо регулярно проводить аудит результирующих привилегий. Для выполнения конкретных задач нужно выдавать пользователям лишь минимально необходимые привилегии. Реализовать это вручную непросто – на помощь приходят современные решения класса IDM.

Как технологии идентификации на основе биометрии изменили подход к управлению безопасностью цифровой личности?

Идентификация на основе биометрии – задача сложная. Чтобы решить ее, нужно обеспечить надлежащий уровень доверия к первичной идентификации – записать и надежно сохранить необходимые биометрические признаки. В ходе вторичной идентификации надо обеспечить считывание биометрических признаков в точке получения доступа, а затем безопасно передать их в систему и сравнить со всеми зарегистрированными в ней.

Использование биометрических персональных данных регулируется законодательством, и государство уделяет этому особое внимание. В основе регулирования лежат ФЗ № 572 от 29.12.2022 и Постановление Правительства Российской Федерации от 25.05.2023 № 815. Хранить и обрабатывать персональные биометрические данные разрешается только в пределах ГИС ЕБС.

Какие существуют лучшие практики для мониторинга и выявления подозрительной активности, связанной с учетными записями пользователей?

В области информационной безопасности применяется технология анализа поведения пользователей и сущностей (User and Entity Behavior Analytics, UEBA). Поведение пользователя можно оценивать по разным показателям, например отслеживая перечень процессов, запускаемых от его имени на рабочей станции. С этой целью, как правило, применяют решения класса EDR/XDR. Кроме того, можно следить за сетевыми подключениями пользователя. Для этого обычно используют решения класса IDPS. Иногда системы безопасности отслеживают некоторые биометрические особенности пользователя, например скорость движения курсора, скорость печати на клавиатуре. Наконец, можно отслеживать перечень систем, к которым пользователь запрашивает доступ. Последний способ, на мой взгляд, самый эффективный с точки зрения затрат на реализацию. В корпоративной среде уже есть центральный провайдер аутентификации, который регистрирует пользовательские запросы доступа. На основе этой информации можно построить типичный «профиль» пользователя, отклонения от которого будут свидетельствовать о его возможной компрометации.

Как управление инфраструктурой айдентити связано с другими процессами обеспечения безопасности, такими как управление инцидентами и мониторинг аномалий?

Айдентити – это основа безопасности. В информационных системах мы наделяем их полномочиями. От их имени запускаются приложения и целые системы. Средства безопасности осуществляют мониторинг их действий. Айдентити и безопасность связаны неразрывно.

Как нормативные требования в отрасли ИБ влияют на управление и защиту айдентити?

Они оказывают прямое влияние. Именно регулирующие органы определяют необходимые меры по идентификации и аутентификации, а также меры по управлению доступом.

Как предотвращать атаки на айдентити при использовании облачных сервисов и SaaS-решений?

Айдентити, которые используются для доступа к облачным сервисам и приложениям, необходимо защищать особенно тщательно. Как минимум, нужно реализовать многофакторную аутентификацию. Нелишне будет и контролировать параметры действий пользователя: его браузер, IP-адрес и время, в которое осуществляется доступ. Отклонение от привычных значений параметров следует расценивать как возможную компрометацию айдентити. Кроме того, надо повышать осведомленность сотрудников о киберугрозах, периодически проводить тестирование. Необходимо уделять внимание защите от фишинга.