Категории новостей
9Без рубрики 2Indeed AirKey 5Демо видео продуктов 1airkey 1Indeed AK 9PKI 2аутентификация 1виртуальная смарт-карта 1шифрование 4ЭЦП 19Статьи 14Новости Indeed ID 4Новости отрасли 16Обновление продуктов 4Indeed Card Management 4Indeed EA 1Indeed Enterprise SSO 5Indeed ESSO 1Signle Sign On 7SSO 2единый доступ 2Исследования 1Indeed Enterprise Authentication 1eToken 16Indeed CM 12Release notes 3Анонс вебинаров 7ESSO 2single sign-on 1Windows Logon 1Indeed SSO 1SAP 4IdM 2Видео с вебинаров 2вебинар 1IAM 88Мероприятия 1RFID 6Smart cards 2Authentication provider 1PalmSecure 1OTP 1RADIUS 1Вакансии 2Пресс-релизы 1биометрическая аутентификация 1строгая аутентификация 1Новости Компании Индид 1КриптоПро 35Indeed PAM 1GIS Days 11Indeed Privileged Access Manager 6Записи вебинаров 25Indeed AM 5Вебинар 3Indeed Certificate Manager 2Новости Компании 1Видео 16Внедрения 3Интервью с заказчиками 1интервью 1PCI DSS 3Indeed Access Manager 11Все новости 1Встречи со студентами 8Импортозамещение 4Indeed CorpID 1Астерит 6PAM 1Smart-cards 42FA 1Практика 1AAA 1Zero Trust 1Проекты 2Удаленный доступ 1Технологическая интеграция 1Jet Infosystems 1Интеграции 1Softline 9Глоссарий 1Карьера 1Indeed ITDR
Новости

Александр Лавров, начальник службы безопасности «СТС Медиа», рассказал журналу Information Security о специфике обеспечения информационной безопасности в компаниях телерадиовещательной и телекоммуникационной отраслей, а также о тонкостях защиты периметра с учетом возрастающего количества сотрудников, работающих удаленно, и поделился своим опытом работы с системой класса Privileged Access Management, в частности, Indeed PAM. Приводим текст интервью ниже.


Какова специфика организации информационной безопасности в телерадиовещательных и телекоммуникационных компаниях?


Ключевой особенностью работы медиакомпаний является организация и обеспечение непрерывного функционирования основных ИТ-систем, в первую очередь тех, которые отвечают за выпуск в эфир видеоконтента. Это наша критическая инфраструктура.

При этом важно не только сохранить непрерывность вещания, но и не допустить выход в эфир несанкционированной информации. Отмечу, что результаты негативного несанкционированного воздействия на эфир будут заметны сразу и то может привести к репутационным ифинансовым потерям. Схожие ситуации наблюдаются и в банковской сфере, где цепочка от атаки до потерь очень короткая. Если текстовый материал на сайте можно оперативно скорректировать, то при вещании в реальном времени такой возможности нет. Трансляция передачи закончится, а компании придется отвечать за последствия.

Следовательно, с точки зрения информационной безопасности нам необходимо создать условия, при которых несанкционированная замена контента будет невозможна. Исходя из этого, очерчиваются основные направления защиты информации: это защита целостности всех ИТ-систем, связанных с трансляцией нашего контента, а также обеспечение его доступности для вещания.


Что вы можете рассказать про особенности функционирования периметра вашей сети?


На текущий момент периметр нашей ИТ-инфраструктуры по большей части совпадает с физическими границами офисов компании, имеется несколько контуров безопасности и выделенных сегментов, включая критичные, доступ в которые мы стараемся ограничить и минимизировать.

В настоящее время усилилась тенденция к увеличению числа сотрудников, работающих удаленно с использованием как корпоративных, так и личных мобильных устройств, и эпидемиологическая ситуация в стране в разы ускорила этот процесс. Большая часть современных сотрудников использует в работе личные мобильные девайсы (планшеты, телефоны), которые они приносят в офис и подключают к корпоративному Wi-Fi.

В режиме реального времени мы наблюдаем, как периметр корпоративной сети все больше и больше размывается, и порой бывает сложно определить, что в него входит, а что нет. К примеру, у вас есть сотрудник, который работает удаленно со своего личного ноутбука. По классическому определению, такое устройство находится вне периметра. Однако с него можно подключиться к корпоративным веб-приложениям, на нем установлены приложения для корпоративных коммуникаций, имеется синхронизация с определенными каталогами из корпоративного облака. В таких условиях уже невозможно однозначно утверждать, что данное устройство находится за пределами периметра сети компании.

Аналогичная ситуация складывается и в отношении внешних исполнителей – подрядчиков, сотрудников технической поддержки, аутсорсеров и пр. Вроде бы они не относятся к компании напрямую, но отвечают за поддержку и работоспособность компонентов внутренних ИТ сервисов, на их устройствах имеется специализированное ПО, данные, документы, и они имеют удаленный доступ в наши системы. Все чаще таким пользователям предоставляются довольно широкие полномочия на действия в ИТ системе. А если эти пользователи находятся вне нашего физического периметра, то к ним необходимо применять инструменты особого контроля.


Как в вашей организации возникла задача обеспечения контроля привилегированного доступа? Что послужило мотивом поиска решения и реализации такого проекта?


Как я пояснил ранее, возникла острая необходимость в управлении доступом и обеспечении контроля за действиями удаленных сотрудников компании и сотрудников подрядных организаций.

Изучив рынок, мы начали с внедрения системы управления доступом и двухфакторной аутентификации линейных сотрудников. После этого практически сразу исчезла проблема с забытыми паролями, необходимостью их сброса и восстановления через администраторов системы.

Человеческий ресурс – самый дорогой! Особенно если это ресурс высококлассных специалистов. Поэтому для нашей компании важно, чтобы администраторы систем решали действительно значимые и ключевые задачи, исключая рутинные операции из своего ценного рабочего времени. Однако контроль доступа и решение проблем с управлением пользовательским доступом – это только верхушка айсберга информационной безопасности. Интернет пестрит новостями о том, что источником инцидентов все чаще становятся сотрудники, которые по специфике работы имеют доступ к привилегированным учетным записям системы. В «СТС Медиа» такой доступ есть не только у штатных администраторов систем, но и у подрядчиков. Здесь необходимо подчеркнуть, что компания, занимающая лидирующие позиции в своей сфере, не может рисковать, оставляя этот доступ без необходимого контроля и защиты.

Любой инцидент или внештатная ситуация должны быть максимально оперативно локализованы для устранения последствий. По этой причине возникает серьезная необходимость в осуществлении контроля за лицами, имеющими доступ к учетным записям с расширенными правами.


Скажите, внедрена ли такая система в вашей компании?


Поскольку классические меры контроля работы не могут быть применены к сотрудникам с доступом к привилегированным учетным записям и работающим вне физических офисов, мы пришли к выводу, что здесь необходимо использовать систему класса Privileged Access Management (PAM). Как я говорил ранее, многие сотрудники работают удаленно и с личных устройств администрируют нашу систему – сетевое оборудование, гипервизоры, серверы на базе Windows, Linux и т.д. При таком подходе должный мониторинг организовать довольно сложно, так как возможности установки контрольных устройств на рабочей станции администратора или подрядчика либо на администрируемом узле крайне ограниченны. И даже при установке такого устройства администратор имеет возможность его удалить или отключить.

Примерно полгода назад мы завершили внедрение системы класса Privileged Access Management, к тестированию которой приступили год назад, после завершения развертывания системы управления доступом и идентификацией сотрудников.

В рамках проекта мы протестировали программные комплексы различных вендоров и выбрали оптимальное для себя решение. Затем внедрили программное обеспечение для контроля действий привилегированных пользователей, которое учитывает указанные ранее ограничения, особенности работы и функционирует между рабочим местом и целевым администрируемым ресурсом.


Чтобы заказать демонстрацию Indeed Privileged Access Manager для вашей компании, напишите нам в чат.

НАПИСАТЬ

А по каким ключевым критериям вы осуществляли поиск подходящего решения?


Сначала мы протестировали и внедрили программный комплекс для управления пользовательским доступом. В процессе его эксплуатации поняли, что требуется дополнительный функционал, который будет закрывать потребности контроля и защиты сотрудников, использующих привилегированный доступ в систему. Кроме двухфакторной аутентификации нужна была запись действий таких сотрудников, а также логирование всех открываемых ими сессий, которые имеют важное значение для работоспособности системы.

Дополнительным требованием была необходимость функционирования системы в безагентском режиме. Учитывая количество целевых ресурсов, для нас также было важно, чтобы решение умело автоматически находить иставить под контроль привилегированные учетные записи на целевых ресурсах.

И наверное, самый важный аспект, на который стоит обратить внимание, – взаимодействие между собой систем, выполняющих разные функции, чтобы впроцессе работы не возникали перебои из-за их несогласованной работы, аесли возникнет необходимость, специалист технической поддержки оперативно мог исправить ситуацию.


Расскажите, как проходило внедрение РАМ-системы.


От тестового внедрения до запуска в производственную эксплуатацию в полном объеме прошло несколько месяцев. Больше всего времени заняла подготовка, а не установка и настройка программного обеспечения.

Необходимо было проработать пользовательские сценарии, продумать, как перевести своих пользователей на работу через систему РАМ, оценить мощности и докупить недостающее оборудование. Весь процесс внедрения, как пилотируемый, так и производственный, сопровождался службой технической поддержки разработчика. Подготовили, получили лицензии, внедрили, используем.

Кроме того, отмечу, что была проведена очень глубокая проработка вопросов разделения труда в рамках разработки матрицы доступа. Если в отношении пользователей задача больше сводилась к корректному распределению полномочий, то в отношении администраторов все оказалось значительно сложнее. В первую очередь из-за того, что необходимо было не парализовать техническую работу и одновременно грамотно распределить полномочия, чтобы не появились так называемые суперадминистраторы. Это очень кропотливая работа с множеством нюансов.


Как оцениваете результаты внедрения?


За время эксплуатации мы уже успели оценить удобство системы и, самое главное, что теперь привилегированный доступ не только защищен, но и находится под полным контролем. К логам сессий мы имеем доступ в любое время, и при необходимости можем оперативно расследовать инциденты.

Мы успели завершить внедрение системы до начала проблем, связанных с мировой эпидемиологической ситуацией и, таким образом, оказались заранее подготовленными к массовой удаленной работе ключевых сотрудников компании и сотрудников подрядных организаций. Безусловно, это отличное конкурентное преимущество для любой серьезной компании.


Чтобы узнать подробнее о тестировании Indeed Privileged Access Manager, напишите нам в чат.

НАПИСАТЬ

Какие рабочие процессы изменились и как они повлияли на работу сотрудников?


Положительные изменения налицо: улучшились сценарии доступа, обеспечивается качественная проработка прав и ограничений для учетных записей, упорядочились все процессы, связанные с работой и доступом в сессии через РАМ-систему. И это только часть положительных изменений.

Что касается сотрудников, то одним из условий, которое требовалось реализовать для аутентификации администраторов системы и других аналогичных пользователей, была необходимость сохранения в секрете паролей доступа к привилегированным учетным записям. То есть сотрудник осуществляет вход в сессию к целевому ресурсу по своим учетным данным, а данные административной учетной записи скрыты от него. Плюс, конечно, запись и логирование сессий теперь не дают такому сотруднику расслабиться и потерять бдительность. В большой степени мы исключили человеческий фактор.


Какие функциональные особенности работы системы вас впечатлили?


Прозрачный мониторинг событий, происходящих в любой сессии. Появилась также возможность иметь прозрачный доступ (без раскрытия пароля) по RDP к системе и при этом вести видеозапись сессии.

Кроме того, полезной оказалась функция импорта учетных записей пользователей и компьютеров из каталога Active Directory, это позволило сократить сроки наполнения базы PAM и оперативно контролировать необходимые учетные записи.


Скажите, в итоге смогла ли данная система повысить уровень информационной безопасности компании?


Построение системы информационной безопасности компании – не одномоментное, можно сказать длящееся мероприятие. Каждый из шагов – и многофакторная аутентификация основной массы сотрудников, и контроль действий администраторов, подрядчиков, и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании, и мы их уже прошли.

Сейчас мы как минимум закрыли «парольную брешь» линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Мы также переработали внутренние процессы для создания психологического комфорта и удобства работы конечных пользователей в новых условиях, и эти меры, конечно, не последние.

Мое неизменное мнение: сотрудники подразделения информационной безопасности должны стараться всегда идти в ногу со временем, постоянно совершенствоваться, изучать и брать на вооружение лучшие практики как российских, так и зарубежных компаний.


Что повлияло на выбор конкретного поставщика решения?


Реалии таковы, что при выборе продукта нам нужно было принять во внимание множество факторов, а именно ценовую привлекательность, удобство и выгоды внедряемого продукта, полноту и комплексность предлагаемого решения, функциональность и безотказность системы, возможность его технологической интеграции с уже используемыми продуктами. Разумеется, важно в полном объеме выполнять имеющиеся требования регуляторов и законодательства РФ. Скажу честно, выбор был сложным. Мы рассматривали несколько программных комплексов. У каждого есть свои плюсы и минусы. Но мы нашли, как показала практика, оптимальное для нас решение. Внедренный нами Privileged Access Manager полностью соответствует нашим требовательным запросам. У вендора работает качественная служба технической поддержки, которая оперативно помогает и решает любые возникающие вопросы. Немаловажным также является тот факт, что выбранный нами программный комплекс внесен в реестр отечественного ПО. Кстати, наша система аутентификации сотрудников разработана той же компанией. В совокупности все эти факторы и повлияли на выбор.


К каким изменениям функционирования корпоративной ИТинфраструктуры, по вашему мнению, в перспективе трех-пяти лет нужно готовиться вашей компании?


Подчеркну, что в настоящее время классический подход к защите периметра компании, когда основное внимание концентрируется в основном на защите компонентов внутренней ИТ-инфраструктуры и фильтрации сетевых коммуникаций, теряет свою актуальность.

Дальнейшее увеличение количества личных мобильных устройств (смартфоны, планшеты, умные часы и т.д.) и использование их для корпоративных коммуникаций, на мой взгляд, еще больше будет размывать понятие периметра. Противостоять этим тенденциям бессмысленно, рано или поздно все столкнутся с ситуацией, когда нужно будет оперативно перестраиваться на контроль такого доступа, включая вопросы нейтрализации различных новых рисков и угроз. И чем раньше начнется эта работа, тем более значимой и качественной она будет.

Современная система защиты должна сместить акценты в сторону более глубокого и централизованного управления доступом, контроля полномочий, поведения, выявления аномалий в сетевой активности и в действиях пользователей.

Управление доступом считается одной из классических задач информационной безопасности, наряду с фильтрацией, резервированием и защитой от вирусов. Практически все крупные организации обладают масштабными и централизованными системами защиты от вирусов, эшелонированными системами много
уровневой защиты периметра, в их распоряжении находятся комплексные системы резервного копирования, резервирования вычислительных ресурсов, различные отказоустойчивые кластеры.

Тем не менее еще далеко не все отказались от использования паролей вкачестве единственного аутентификатора. Причем из-за уязвимости парольной защиты подразделения безопасности вынуждены предъявлять требования об использовании различных паролей для разных сервисов и о постоянной их смене. Это, безусловно, решает ряд проблем, но порождает множество других, создавая значительную нагрузку на службу безопасности и службу ИТ-администрирования.

Думаю, что в ближайшие годы существенно возрастет потребность в централизованной и масштабной системе идентификации и аутентификации, объединенной в единый комплекс, включающий в себя возможность работы не только с корпоративными ресурсами, но и с разными личными устройствами сотрудников.

Грамотные руководители предприятий (не только ИТ-компаний) понимают, что все больше и больше угроз и рисков переходит в информационную цифровую плоскость, в связи с чем информационная безопасность компании выходит на первые позиции и стоит, можно сказать, на первой линии обороны.

Глобализация экономических и культурных связей, развитие информационных ресурсов, внедрение больших данных и аналитических систем, с одной стороны, раздвигают рамки возможностей для развития компаний, а с другой – несут реальную угрозу моментальной потери бизнеса.

Таким образом, внедряемые системы безопасности на предприятии должны соответствовать актуальным угрозам и выполнять роль надежного цифрового щита компании.


Интервью опубликовано в журнале Information Security


Чтобы узнать подробнее о том, какими возможностями обладает Indeed Privileged Access Manager, заказать демонстрацию для вашей компании или провести внедрение — позвоните
8(800)333-09-06
, отправьте запрос на inbox@indeed-id.com или напишите нам в чат.

НАПИСАТЬ

Прочитайте также:
Интервью с руководителем отдела информационных систем «Группы компаний ЕПК» о внедрении Indeed PAM.

Сообщение Интервью с начальником службы безопасности «СТС Медиа» о внедрении Indeed PAM появились сначала на .


Комментарии (0)
Добавить новый комментарий
 
 
Полное имя:
Email:
Комментарии: