SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Управление доступом и идентификация пользователей. IDM системы

Управление доступом и идентификация пользователей. IDM системы
16.01.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision


В рамках текущей статьи мы рассмотрим технические средства ( IdM, IAM, IGA), общие подходы к управлению доступом и идентификации пользователей. Чтобы не запутаться, сначала разберемся в терминах и их отличиях, потом распишем возможности технических средств и параллельно с этим разберем общие подходы и решаемые задачи.


IdM (Identity Management) можно расшифровать как управление идентификацией. ID есть у людей (пропуск в университет, библиотеку и на работу, паспорт, водительское удостоверение) и объектов (штрих-код на продуктах в магазине, серийный номер на смартфоне, номер инцидента в системе защиты информации). В общем виде номера позволяют определить, что перед вами находится по справочникам, базам и без предварительного знакомства, и этими номерами нужно управлять. Иногда менеджмент берет на себя человек (консьерж в подъезде, служба фейс-контроля на входе в ресторан), но для автоматизации разработаны специальные технические средства, которые мы и будем в этой статье называть IdM-системами.


Помимо присваивания номеров и простого журналирования системы могут применяться для быстрого доступа к чему-то (вход в библиотеку по читательскому билету, доступ к счёту в банке по номеру карты и т.д.). Эволюция систем позволила применять IdM в новом амплуа – для контроля доступа в виде IAM (Identity and Access Management). Так, например, можно зайти в офис с применением электронного пропуска через турникет (используется СКУД-система), или удаленно открыть ключницу при заселении в снимаемые апартаменты (через пароль на BnB-сервисе).


Дальнейшей эволюцией послужили развитые процессы согласования доступов, проверки на конфликты, гранулярное разграничение полномочий и другие параметры, которые позволяют называть системы новой аббревиатурой – IGA (Identity Governance and Administration).


В повседневной жизни одновременно существуют журналы посетителей, консьерж, который спрашивает в какую вы квартиру, и электронные очереди, которые распределяют клиентов по окнам в МФЦ. В жизни компаний также одновременно существуют системы классов IdM, IAM и IGA.


25.png

Рис. 1 – Эволюция систем управления доступом


Мы расскажем, какие основные функции выполняют системы контроля и управления доступами, как они устроены и какие дополнительные задачи могут решать.


Люди приходят и уходят, оборудование меняется, цепочка руководителей и базовые бизнес-процессы – также. Поэтому важно обеспечить управление жизненным циклом: вовремя обновить правила, загрузить новые данные при устройстве нового сотрудника, актуализировать процессы при переезде в новый офис. Жизненные циклы могут быть автоматизированы, как в системах классов ITSM, IRP, SOAR, также IdM-системы позволяют вручную запросить нужный доступ, когда администратор получает уведомление и действует сам. Если вы используете облачные сервисы для хранения и обмена файлами, скорее всего вы видели, что к файлам можно выдать доступ конкретным людям. Человек может сам вам позвонить или найти в мессенджерах, чтобы посмотреть альбом с фото, а может запросить доступ прямо в приложении - вы автоматом получите push-уведомление или письмо с запросом.


Чем больше в компании сотрудников, тем важнее исключить избыточность возможностей, разделив пользователей на группы, создав цепочки согласований с руководителями. Это вызвано не только задачами информационной безопасности, но и необходимостью банальной экономии ИТ ресурсов: экономией при загрузке трафика, сегментированием сети, настройкой каналов связи между офисами и смежными задачами. Важно, чтобы полезные данные были ближе, не дублировались, не «гуляли» просто так по нагруженным сетям. Иногда правила могут быть настроены и так, что одно физически невозможно при выполнении другого, поэтому дополнительно к проверке на избыточность нужно провести и проверку совместимости.


Тем не менее задачи IAM систем не ограничиваются ИТ, нужно помнить и про информационную безопасность, про удобство, скорость и автоматизацию. Мы используем защиту для входа в любой сервис: для открытия сейфов с сокровищами, оплаты покупок на карте (PIN-код), для получения доставки в постамате. Для сохранения безопасности данных одним из элементов доступа является пароль, который важно периодически обновлять (по жизненному циклу, как в примере выше или в другой нашей статье про личную кибергигиену), поэтому современные каталоги и IdM-системы позволяют напомнить о смене пароля и ограничить возможности, если пользователь этого не сделал.


Рис. 2 – Как устроено управление доступом

Рис. 2 – Как устроено управление доступом


Все информационные системы становятся интереснее, значительнее и полезнее в совокупности с другими. Системы контроля и управления доступом – не исключение: в их работу вовлечены разные сотрудники (HR, руководители, системные администраторы), базы данных и электронные системы. В завершении обзора мы расскажем про основные интеграции, которые могут быть востребованы, и про задачи, которые они решают.


Когда мы говорим об идентификации пользователей в средних и больших компаниях, в голову не приходит мысль о ручном создании отдельного каталога с сопоставлением номеров на пропуске с конкретным человеком. Это можно сравнить с работой системы FacePay в московском метро, когда для корректной работы нужно распознавать лица, но для обработки десятка миллионов лиц применяется машинное обучение. Интеграция с каталогом – основной параметр в работе систем управления доступом – важно «подтянуть» все полезные данные из общего каталога в компании ( LDAP, AD) и сделать это автоматически.


Проход через турникет в метро или автобусе схож с приходом в офис, в котором установлена система СКУД. Её можно эффективно использовать с камерами, системой управления учетными записями и просто для оценки проходимости того или иного офиса для возможного расширения. Такая интеграция решает и задачи ИБ: можно, например, автоматически блокировать учетную запись на уровне домена при выходе из офиса в вечернее время суток и так же активировать все доступы при возвращении следующим утром. СКУД в интеграции со смежными системами позволит активировать ближайший принтер для печати, открыть ключницу для кабинетов на этаже, зайти в систему с повышенными правами, вставив карту в считыватель компьютера. В таком случае не придется создавать много учетных записей и держать в уме разные пароли.


Для решения второй задачи используется технология единого входа (SSO – single sign on), которая через доступ к одной системе позволяет получить доступ к другим. Вы скорее всего замечали, что, залогинившись в смартфоне в учетной записи Google или Apple, вы можете быстро без ввода паролей получить доступ к контактам, облаку, вкладкам в браузере. Применять один и тот же пароль для разных систем небезопасно, но если есть какая-то главная система и пользователь уже подтвердил, что это он, то процессы можно ускорить и упростить, сохранив безопасность отдельных сервисов.


Для обеспечения большей безопасности применяют шифрование и дополнительные сертификаты доступа. Такая инфраструктура называется инфраструктурой открытых ключей (PKI – Public Key Infrastructure). Системы контроля доступа могут эффективно интегрироваться с подобными системами для быстрых запросов доступа, ручного или автоматического согласования заявок. При этом значительно снизятся риски компрометации пароля.


Есть множество продуктов, которые работают вместе только эффективнее. Возможных интеграций можно придумать ещё несколько (например, доступ с многофакторной аутентификацией или совместное редактирование документов), но все их объединит одно – необходимость выдать каждому сотруднику нужную информацию просто и быстро, при этом сохранив баланс с целостностью и безопасностью этих данных.

Подкасты ИБ СЗИ Практика ИБ ИБ для начинающих IRP SOAR

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Похожие статьи

Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только

Похожие статьи

Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только