Через тернии паролей

Дмитрий Сушков, руководитель службы информационной безопасности МСП Банка30

По заявлениям вендоров, на рынке ИБ за минувшие два-три года было внедрено огромное количество IDM-решений. При этом практически полностью отсутствуют публичные кейсы, рассказывающие об особенностях таких проектов и результатах их реализации. Ситуацию взялся прояснить на примере своего практического опыта Дмитрий Сушков, руководитель службы информационной безопасности МСП Банка.

!БДИ: Я бы начал с терминологии. С этим у нас – постоянная путаница, и нелишним будет уточнить, что именно мы подразумеваем под термином IDM?

Дмитрий Сушков: В самом начале погружения в эту тему я подразумевал под IDM систему управления доступом к информационным ресурсам, которая позволяет упорядочить данный процесс. Сейчас, с учетом накопленных знаний и практического опыта, я пришел к выводу, что IDM – это комплекс, состоящий из самой системы, персонала компании и тех, кто должен эту систему внедрять, поддерживать и обслуживать.

!БДИ: Можете ли вы указать те события, которые мотивировали вас к внедрению IDM-системы или, наоборот, тормозили его?

Д.С.: К необходимости внедрения IDM-системы приходишь постепенно, по мере накопления практического опыта и усложнения задач обеспечения информационной безопасности. Когда внедрение становится необходимым, у вас не остается выбора – им нужно заниматься. Просто нужно решить, проводить ли его «вручную», постоянно наступая на одни и те же грабли, либо приступить к внедрению автоматизированной системы и обречь себя на непростую, очень длительную и кропотливую работу, которая, если честно, в силу своей сложности, не всегда приносит позитивные эмоции. Тем не менее вы постоянно обнадеживаете себя мыслью, что когда-то IDM все-таки будет внедрена в полном объеме и начнет приносить ожидаемые результаты.

Пожалуйста, не воспринимайте мои слова как проявление пессимизма. Мы убеждены в том, что IDM-система нам нужна. Мы продвигались к такому решению шаг за шагом, постепенно приводя систему ИБ в соответствие с требованиями стандартов Банка России. В какой-то момент мы осознали, что контроль над учетными записями пользователей, контроль распределения прав доступа пользователей к информационным ресурсам, парольную политику нужно усиливать. А если этот процесс не будет автоматизирован, он окажется неэффективным.

!БДИ: Могу ли я предположить, что в банке произошли события, которые стали последней каплей в формировании представления о необходимости контроля над учетными записями?

Д.С.: В процессе приведения ИБ-системы в соответствие с требованиями стандартов помимо аудита ИБ проводился аудит финансовой и бухгалтерской отчетности. В результате этих проверок были высказаны рекомендации, в том числе о необходимости обратить внимание на контроль над доступом и распределением прав и полномочий пользователей. При проведении аудита обнаружились «мертвые души», а в локальной сети – учетные записи давно уволившихся пользователей. «Ручной» контроль, выполняемый ИТ- и ИБ-подразделениями, в данном случае показал свою неэффективность. И, конечно же, одной из основных выявленных проблем стало несовершенство механизма парольной защиты. Сотрудники банка зачастую применяли «слабые» пароли (пароли, установленные по умолчанию или один пароль для доступа ко всем системам). Устранение этих недостатков и упущений призвано было обеспечить внедрение IDM-системы, поддерживающей двухфакторную аутентификацию пользователей.

!БДИ: Какие еще требования к IDM-системе вы выдвигали?

Д.С.: Нам была нужна универсальная платформа, обеспечивающая не только IDM-решения, но и удобный удаленный доступ пользователей к информационным ресурсам. Работа сотрудников банка зачастую связана с командировками, во время которых возникает необходимость в получении различной корпоративной информации. Поэтому важной задачей было предоставить им защищенный удаленный доступ с применением двухфакторной аутентификации на базе IDM-системы. Наконец, сегодня практически в любой организации используются мобильные технологии, поэтому мы хотели, чтобы IDM-система была интегрирована с системой корпоративной мобильной связи и поддерживала взаимодействие с ней.

!БДИ: Насколько совпали ваши ожидания с реальными возможностями IDM-системы?

Д.С.: Я бы ответил так: наша IDM-система уже работает, но пока стоящие перед ней задачи выполняются не в полном объеме. В силу своей специфики IDM-система не может быть лоскутной. IDM-система должна реализовать весь комплекс возложенных на нее задач.

!БДИ: Однако нельзя заниматься внедрением всего сразу. Как расставлять приоритеты? С чего начинать?

Д.С.: Начинать нужно с тщательного тестирования IDM-решений. Подходить к этому следует творчески, не зацикливаясь на формальностях, учитывая любые нюансы, которые могут привести к тому, что внедрение растянется на длительное время.

В результате анализа потенциально подходящих продуктов мы выбрали IDM-систему компании «Аванпост». Отмечу, у каждого решения, предлагаемого на рынке, есть свои плюсы и минусы, но у продукта этой компании выявились дополнительные преимущества. Во-первых, ее система изначально разрабатывалась для нужд банка, во-вторых, в ней был полностью реализован необходимый нам функционал (IDM, PKI, SSO-модуль и защищенный удаленный доступ), в-третьих, в составе коллектива разработчиков числились выходцы из уважаемого крупного банка, в-четвертых, команда разработчиков находилась в Москве и была готова оперативно оказывать техническую поддержку и помощь в решении возникающих проблем.

Мы заключили с компанией «Аванпост» предварительный договор на тестирование IDM-системы, однако не учли один важный аспект, связанный с состоянием и стратегией развития своей ИТ-инфраструктуры. Все решения тестировались на «толстых клиентах» (то есть на обычных компьютерах), и на них заявленный функционал полностью подтвердился. Однако, мы не учли переход ИТ-инфраструктуры на систему виртуализации и работу IDM-системы на «тонких клиентах» не тестировали. Забегая немного вперед скажу, что в дальнейшем это упущение сказалось, так при переходе на «тонкие клиенты» мы столкнулись с проблемами, связанными с работой SSO-модуля.

!БДИ: В чем они проявились?

Д.С.: Наша система виртуализации основана на решении VMware. Особенность авторизации пользователей «тонких клиентов» заключается в следующем. В момент включения «тонкого клиента» пользователю, посредством VDI-технологии предлагается авторизоваться на View-сервере, т.е. ввести пароль от учетной записи. После верификации введенных данных, в случае успеха, происходит загрузка операционной системы. До загрузки операционной системы SSO-агент IDM-системы не работает, соответственно теряется весь смысл применения модуля двухфакторной аутентификации – одного из основных компонентов любой IDM-системы. По идее, пользователь не должен знать своих паролей доступа к компьютеру, автоматизированной банковской системе и т.д.: у него имеется носитель, его пин-код и RSA-сертификат пользователя, который записан на носитель. В нашем же случае получается, что пользователь вынужден вводить пароль от своей учетной записи. Соответственно, мы опять возвращаемся к паролям, которые нужно помнить и с помощью которых следует авторизоваться.

!БДИ: Как проходило внедрение? С какими сложностями вам пришлось столкнуться?

Д.С.: В конце 2013 г. мы закончили тестирование, заключили договор и в январе 2014 г. приступили к внедрению. Разработали техническое задание, согласовали пошаговый процесс внедрения, рассчитанный чуть более чем на 40 рабочих дней, но при этом сразу столкнулись с рядом проблем.

Одна из них заключалась в том, что у нас используется многомодульная автоматизированная банковская система, требующая распределения прав доступа и аутентификации в каждом отдельном модуле. Разработчикам пришлось долго трудиться с написанием коннектора к этой АБС. Помимо этого, компанией «Аванпост» декларировалась, поддержка любых ключевых носителей (токенов). Тестирование IDM-системы проходило с использованием носителей типа Рутокен S. В процессе внедрения IDM-системы мы приобрели носители типа Рутокен S RF, с интегрированной в его корпус RFID-меткой. Целью использования такого типа носителей являлась привязка носителя к системе контроля и управления доступом на территорию банка. Без носителя пользователь не сможет выйти за пределы банка, следовательно, покидая рабочее место, он вынужден блокировать работу компьютера и брать токен с собой. Мы приобрели носители с метками, и проблем работы с кодами у нас не было. В ходе внедрения выяснилось, что IDM-система не поддерживает работу с вышеуказанным носителем. Компании «Аванпост» пришлось договариваться с разработчиками носителей о разработке нового драйвера для Рутокена S RF, на устранение проблемы ушло больше двух месяцев.

При подключении к IDM-системе тонких клиентов мы столкнулись с трудностями, о которых я уже упоминал выше.

В добавок ко всему необходимо отметить, что IDM-система от компании «Аванпост» пока не работает с мобильными устройствами. Используя планшет, сотрудник получает доступ к своей корпоративной почте с помощью штатных средств Microsoft Exchange (Microsoft Active Sync), и его почта синхронизируется с почтой на мобильном устройстве. При этом на мобильном устройстве авторизация проходит так же, как в домене, т.е. опять-таки с применением логина и пароля. До того момента, пока IDM-система Аванпост не начнет полноценно выполнять все возложенные на неё задачи, в качестве механизма авторизации пользователей на рабочих станциях мы оставили «старый режим», т.е. ввод логина и пароля доступа, и параллельно ввели режим двухфакторной аутентификации, по токену и пин-коду. Чтобы сотрудники постепенно приучались к работе с IDM-системой, аутентификацию в системе электронного документооборота установили только двухфакторной. Другими словами, приступить к работе в системе электронного документооборота без токена и пин-кода сегодня уже не получится.

!БДИ: Когда, по вашим прогнозам, система заработает в полном технологическом объеме по задуманной технологии IDM, а не ее имитации?

Д.С.: По самым оптимистичным прогнозам, не ранее середины следующего года.

!БДИ: Как можно оценить на практике экономическую эффективность от применения IDM-технологий? Настолько ли она высока, как ее описывают поставщики?

Д.С.: Если бы мы были организацией, с крупной разветвленной сетью, экономическая эффективность оказалась бы более ощутимой. У нашего банка нет территориально распределенной инфраструктуры, немногочислен штат сотрудников, не тратится огромное время на предоставление пользователям прав и полномочий. В этих условиях выгода от сокращения временных затрат ИТ-подразделения на создание учетных записей является, скорее всего, символической. Однако мы рассматриваем пользу в другом контексте: во-первых, это повышение уровня защиты информационных ресурсов банка от несанкционированного доступа; во-вторых, контроль использования учетных записей, распределение прав доступа пользователей становится автоматизированным и действенным. А значит, ни одно событие, связанное с этими процессами (прием на работу нового сотрудника, перевод на другую должность, необходимость пересмотра прав, обязанностей и привилегий) не будет выпадать из поля зрения службы информационной безопасности. Пока же автоматизация не завершена существует реальная опасность того, что об изменениях прав и полномочий должностных лиц мы просто не знаем или узнаем постфактум.

!БДИ: Дмитрий, спасибо за откровенный разговор, за Вашу искренность. Я считаю, что любой специалист, публично рассказывающий о своем практическом опыте обеспечения информационной безопасности, о разочарованиях и достижениях, – уже герой. На мой взгляд, IDM – это один из ярких примеров тех сложных задач, которые присущи ИБ-рынку и которые удастся решить только совместными усилиями всего профессионального ИБ-сообщества. Удачи Вам и надеемся в будущем услышать продолжение Вашей истории!

Тема: 
Тэги: 
Оцените материал:
Total votes: 93

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.