SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Управление доступом и идентификация пользователей. IDM системы

Управление доступом и идентификация пользователей. IDM системы
16.01.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision


В рамках текущей статьи мы рассмотрим технические средства ( IdM, IAM, IGA), общие подходы к управлению доступом и идентификации пользователей. Чтобы не запутаться, сначала разберемся в терминах и их отличиях, потом распишем возможности технических средств и параллельно с этим разберем общие подходы и решаемые задачи.


IdM (Identity Management) можно расшифровать как управление идентификацией. ID есть у людей (пропуск в университет, библиотеку и на работу, паспорт, водительское удостоверение) и объектов (штрих-код на продуктах в магазине, серийный номер на смартфоне, номер инцидента в системе защиты информации). В общем виде номера позволяют определить, что перед вами находится по справочникам, базам и без предварительного знакомства, и этими номерами нужно управлять. Иногда менеджмент берет на себя человек (консьерж в подъезде, служба фейс-контроля на входе в ресторан), но для автоматизации разработаны специальные технические средства, которые мы и будем в этой статье называть IdM-системами.


Помимо присваивания номеров и простого журналирования системы могут применяться для быстрого доступа к чему-то (вход в библиотеку по читательскому билету, доступ к счёту в банке по номеру карты и т.д.). Эволюция систем позволила применять IdM в новом амплуа – для контроля доступа в виде IAM (Identity and Access Management). Так, например, можно зайти в офис с применением электронного пропуска через турникет (используется СКУД-система), или удаленно открыть ключницу при заселении в снимаемые апартаменты (через пароль на BnB-сервисе).


Дальнейшей эволюцией послужили развитые процессы согласования доступов, проверки на конфликты, гранулярное разграничение полномочий и другие параметры, которые позволяют называть системы новой аббревиатурой – IGA (Identity Governance and Administration).


В повседневной жизни одновременно существуют журналы посетителей, консьерж, который спрашивает в какую вы квартиру, и электронные очереди, которые распределяют клиентов по окнам в МФЦ. В жизни компаний также одновременно существуют системы классов IdM, IAM и IGA.


25.png

Рис. 1 – Эволюция систем управления доступом


Мы расскажем, какие основные функции выполняют системы контроля и управления доступами, как они устроены и какие дополнительные задачи могут решать.


Люди приходят и уходят, оборудование меняется, цепочка руководителей и базовые бизнес-процессы – также. Поэтому важно обеспечить управление жизненным циклом: вовремя обновить правила, загрузить новые данные при устройстве нового сотрудника, актуализировать процессы при переезде в новый офис. Жизненные циклы могут быть автоматизированы, как в системах классов ITSM, IRP, SOAR, также IdM-системы позволяют вручную запросить нужный доступ, когда администратор получает уведомление и действует сам. Если вы используете облачные сервисы для хранения и обмена файлами, скорее всего вы видели, что к файлам можно выдать доступ конкретным людям. Человек может сам вам позвонить или найти в мессенджерах, чтобы посмотреть альбом с фото, а может запросить доступ прямо в приложении - вы автоматом получите push-уведомление или письмо с запросом.


Чем больше в компании сотрудников, тем важнее исключить избыточность возможностей, разделив пользователей на группы, создав цепочки согласований с руководителями. Это вызвано не только задачами информационной безопасности, но и необходимостью банальной экономии ИТ ресурсов: экономией при загрузке трафика, сегментированием сети, настройкой каналов связи между офисами и смежными задачами. Важно, чтобы полезные данные были ближе, не дублировались, не «гуляли» просто так по нагруженным сетям. Иногда правила могут быть настроены и так, что одно физически невозможно при выполнении другого, поэтому дополнительно к проверке на избыточность нужно провести и проверку совместимости.


Тем не менее задачи IAM систем не ограничиваются ИТ, нужно помнить и про информационную безопасность, про удобство, скорость и автоматизацию. Мы используем защиту для входа в любой сервис: для открытия сейфов с сокровищами, оплаты покупок на карте (PIN-код), для получения доставки в постамате. Для сохранения безопасности данных одним из элементов доступа является пароль, который важно периодически обновлять (по жизненному циклу, как в примере выше или в другой нашей статье про личную кибергигиену), поэтому современные каталоги и IdM-системы позволяют напомнить о смене пароля и ограничить возможности, если пользователь этого не сделал.


Рис. 2 – Как устроено управление доступом

Рис. 2 – Как устроено управление доступом


Все информационные системы становятся интереснее, значительнее и полезнее в совокупности с другими. Системы контроля и управления доступом – не исключение: в их работу вовлечены разные сотрудники (HR, руководители, системные администраторы), базы данных и электронные системы. В завершении обзора мы расскажем про основные интеграции, которые могут быть востребованы, и про задачи, которые они решают.


Когда мы говорим об идентификации пользователей в средних и больших компаниях, в голову не приходит мысль о ручном создании отдельного каталога с сопоставлением номеров на пропуске с конкретным человеком. Это можно сравнить с работой системы FacePay в московском метро, когда для корректной работы нужно распознавать лица, но для обработки десятка миллионов лиц применяется машинное обучение. Интеграция с каталогом – основной параметр в работе систем управления доступом – важно «подтянуть» все полезные данные из общего каталога в компании ( LDAP, AD) и сделать это автоматически.


Проход через турникет в метро или автобусе схож с приходом в офис, в котором установлена система СКУД. Её можно эффективно использовать с камерами, системой управления учетными записями и просто для оценки проходимости того или иного офиса для возможного расширения. Такая интеграция решает и задачи ИБ: можно, например, автоматически блокировать учетную запись на уровне домена при выходе из офиса в вечернее время суток и так же активировать все доступы при возвращении следующим утром. СКУД в интеграции со смежными системами позволит активировать ближайший принтер для печати, открыть ключницу для кабинетов на этаже, зайти в систему с повышенными правами, вставив карту в считыватель компьютера. В таком случае не придется создавать много учетных записей и держать в уме разные пароли.


Для решения второй задачи используется технология единого входа (SSO – single sign on), которая через доступ к одной системе позволяет получить доступ к другим. Вы скорее всего замечали, что, залогинившись в смартфоне в учетной записи Google или Apple, вы можете быстро без ввода паролей получить доступ к контактам, облаку, вкладкам в браузере. Применять один и тот же пароль для разных систем небезопасно, но если есть какая-то главная система и пользователь уже подтвердил, что это он, то процессы можно ускорить и упростить, сохранив безопасность отдельных сервисов.


Для обеспечения большей безопасности применяют шифрование и дополнительные сертификаты доступа. Такая инфраструктура называется инфраструктурой открытых ключей (PKI – Public Key Infrastructure). Системы контроля доступа могут эффективно интегрироваться с подобными системами для быстрых запросов доступа, ручного или автоматического согласования заявок. При этом значительно снизятся риски компрометации пароля.


Есть множество продуктов, которые работают вместе только эффективнее. Возможных интеграций можно придумать ещё несколько (например, доступ с многофакторной аутентификацией или совместное редактирование документов), но все их объединит одно – необходимость выдать каждому сотруднику нужную информацию просто и быстро, при этом сохранив баланс с целостностью и безопасностью этих данных.

Подкасты ИБ СЗИ Практика ИБ ИБ для начинающих IRP SOAR

Похожие статьи

Расследование инцидентов и использование специализированных инструментов
Расследование инцидентов и использование специализированных инструментов
Методы поиска уязвимостей и виды сканеров
Методы поиска уязвимостей и виды сканеров
Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Configuration-as-Code
Configuration-as-Code
Как устроены вредоносные программы
Как устроены вредоносные программы
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS

Похожие статьи

Расследование инцидентов и использование специализированных инструментов
Расследование инцидентов и использование специализированных инструментов
Методы поиска уязвимостей и виды сканеров
Методы поиска уязвимостей и виды сканеров
Управление непрерывностью бизнеса
Управление непрерывностью бизнеса
Configuration-as-Code
Configuration-as-Code
Как устроены вредоносные программы
Как устроены вредоносные программы
Комплексное управление уязвимостями
Комплексное управление уязвимостями
Сценарии нетиповых атак UEBA
Сценарии нетиповых атак UEBA
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Моделирование динамического плейбука. Практика расследования и реагирования, метрики качества
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS