SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Управление доступом и идентификация пользователей. IDM системы

Управление доступом и идентификация пользователей. IDM системы
16.01.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision


В рамках текущей статьи мы рассмотрим технические средства ( IdM, IAM, IGA), общие подходы к управлению доступом и идентификации пользователей. Чтобы не запутаться, сначала разберемся в терминах и их отличиях, потом распишем возможности технических средств и параллельно с этим разберем общие подходы и решаемые задачи.


IdM (Identity Management) можно расшифровать как управление идентификацией. ID есть у людей (пропуск в университет, библиотеку и на работу, паспорт, водительское удостоверение) и объектов (штрих-код на продуктах в магазине, серийный номер на смартфоне, номер инцидента в системе защиты информации). В общем виде номера позволяют определить, что перед вами находится по справочникам, базам и без предварительного знакомства, и этими номерами нужно управлять. Иногда менеджмент берет на себя человек (консьерж в подъезде, служба фейс-контроля на входе в ресторан), но для автоматизации разработаны специальные технические средства, которые мы и будем в этой статье называть IdM-системами.


Помимо присваивания номеров и простого журналирования системы могут применяться для быстрого доступа к чему-то (вход в библиотеку по читательскому билету, доступ к счёту в банке по номеру карты и т.д.). Эволюция систем позволила применять IdM в новом амплуа – для контроля доступа в виде IAM (Identity and Access Management). Так, например, можно зайти в офис с применением электронного пропуска через турникет (используется СКУД-система), или удаленно открыть ключницу при заселении в снимаемые апартаменты (через пароль на BnB-сервисе).


Дальнейшей эволюцией послужили развитые процессы согласования доступов, проверки на конфликты, гранулярное разграничение полномочий и другие параметры, которые позволяют называть системы новой аббревиатурой – IGA (Identity Governance and Administration).


В повседневной жизни одновременно существуют журналы посетителей, консьерж, который спрашивает в какую вы квартиру, и электронные очереди, которые распределяют клиентов по окнам в МФЦ. В жизни компаний также одновременно существуют системы классов IdM, IAM и IGA.


25.png

Рис. 1 – Эволюция систем управления доступом


Мы расскажем, какие основные функции выполняют системы контроля и управления доступами, как они устроены и какие дополнительные задачи могут решать.


Люди приходят и уходят, оборудование меняется, цепочка руководителей и базовые бизнес-процессы – также. Поэтому важно обеспечить управление жизненным циклом: вовремя обновить правила, загрузить новые данные при устройстве нового сотрудника, актуализировать процессы при переезде в новый офис. Жизненные циклы могут быть автоматизированы, как в системах классов ITSM, IRP, SOAR, также IdM-системы позволяют вручную запросить нужный доступ, когда администратор получает уведомление и действует сам. Если вы используете облачные сервисы для хранения и обмена файлами, скорее всего вы видели, что к файлам можно выдать доступ конкретным людям. Человек может сам вам позвонить или найти в мессенджерах, чтобы посмотреть альбом с фото, а может запросить доступ прямо в приложении - вы автоматом получите push-уведомление или письмо с запросом.


Чем больше в компании сотрудников, тем важнее исключить избыточность возможностей, разделив пользователей на группы, создав цепочки согласований с руководителями. Это вызвано не только задачами информационной безопасности, но и необходимостью банальной экономии ИТ ресурсов: экономией при загрузке трафика, сегментированием сети, настройкой каналов связи между офисами и смежными задачами. Важно, чтобы полезные данные были ближе, не дублировались, не «гуляли» просто так по нагруженным сетям. Иногда правила могут быть настроены и так, что одно физически невозможно при выполнении другого, поэтому дополнительно к проверке на избыточность нужно провести и проверку совместимости.


Тем не менее задачи IAM систем не ограничиваются ИТ, нужно помнить и про информационную безопасность, про удобство, скорость и автоматизацию. Мы используем защиту для входа в любой сервис: для открытия сейфов с сокровищами, оплаты покупок на карте (PIN-код), для получения доставки в постамате. Для сохранения безопасности данных одним из элементов доступа является пароль, который важно периодически обновлять (по жизненному циклу, как в примере выше или в другой нашей статье про личную кибергигиену), поэтому современные каталоги и IdM-системы позволяют напомнить о смене пароля и ограничить возможности, если пользователь этого не сделал.


Рис. 2 – Как устроено управление доступом

Рис. 2 – Как устроено управление доступом


Все информационные системы становятся интереснее, значительнее и полезнее в совокупности с другими. Системы контроля и управления доступом – не исключение: в их работу вовлечены разные сотрудники (HR, руководители, системные администраторы), базы данных и электронные системы. В завершении обзора мы расскажем про основные интеграции, которые могут быть востребованы, и про задачи, которые они решают.


Когда мы говорим об идентификации пользователей в средних и больших компаниях, в голову не приходит мысль о ручном создании отдельного каталога с сопоставлением номеров на пропуске с конкретным человеком. Это можно сравнить с работой системы FacePay в московском метро, когда для корректной работы нужно распознавать лица, но для обработки десятка миллионов лиц применяется машинное обучение. Интеграция с каталогом – основной параметр в работе систем управления доступом – важно «подтянуть» все полезные данные из общего каталога в компании ( LDAP, AD) и сделать это автоматически.


Проход через турникет в метро или автобусе схож с приходом в офис, в котором установлена система СКУД. Её можно эффективно использовать с камерами, системой управления учетными записями и просто для оценки проходимости того или иного офиса для возможного расширения. Такая интеграция решает и задачи ИБ: можно, например, автоматически блокировать учетную запись на уровне домена при выходе из офиса в вечернее время суток и так же активировать все доступы при возвращении следующим утром. СКУД в интеграции со смежными системами позволит активировать ближайший принтер для печати, открыть ключницу для кабинетов на этаже, зайти в систему с повышенными правами, вставив карту в считыватель компьютера. В таком случае не придется создавать много учетных записей и держать в уме разные пароли.


Для решения второй задачи используется технология единого входа (SSO – single sign on), которая через доступ к одной системе позволяет получить доступ к другим. Вы скорее всего замечали, что, залогинившись в смартфоне в учетной записи Google или Apple, вы можете быстро без ввода паролей получить доступ к контактам, облаку, вкладкам в браузере. Применять один и тот же пароль для разных систем небезопасно, но если есть какая-то главная система и пользователь уже подтвердил, что это он, то процессы можно ускорить и упростить, сохранив безопасность отдельных сервисов.


Для обеспечения большей безопасности применяют шифрование и дополнительные сертификаты доступа. Такая инфраструктура называется инфраструктурой открытых ключей (PKI – Public Key Infrastructure). Системы контроля доступа могут эффективно интегрироваться с подобными системами для быстрых запросов доступа, ручного или автоматического согласования заявок. При этом значительно снизятся риски компрометации пароля.


Есть множество продуктов, которые работают вместе только эффективнее. Возможных интеграций можно придумать ещё несколько (например, доступ с многофакторной аутентификацией или совместное редактирование документов), но все их объединит одно – необходимость выдать каждому сотруднику нужную информацию просто и быстро, при этом сохранив баланс с целостностью и безопасностью этих данных.

Подкасты ИБ СЗИ Практика ИБ ИБ для начинающих IRP SOAR

Рекомендуем

Использование MITRE ATT&CK в Threat Intelligence Platform
Использование MITRE ATT&CK в Threat Intelligence Platform
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Уязвимости
Уязвимости
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP

Рекомендуем

Использование MITRE ATT&CK в Threat Intelligence Platform
Использование MITRE ATT&CK в Threat Intelligence Platform
Кибератаки. Часть 1: Технические инструменты и способы реализации
Кибератаки. Часть 1: Технические инструменты и способы реализации
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Уязвимости
Уязвимости
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Обзор средств информационной безопасности: сетевая защита
Обзор средств информационной безопасности: сетевая защита
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Введение в цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP
Анализ угроз и киберразведка: какие проблемы решает обновленная Security Vision TIP

Похожие статьи

Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации

Похожие статьи

Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации