Сергей Крамаренко, 05/06/24
Беседуем с Сергеем Крамаренко, руководителем департамента кибербезопасности Альфа-Банка, о реальном опыте внедрения российской системы многофакторной аутентификации пользователей Indeed Access Manager, которая не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение.
– Сергей, знаю, что вы не готовы раскрывать подробности вашей биографии, поэтому начнем с вопроса о том, как пришли в ИБ. Почему именно ИБ?
– Это был долгий путь, я не хотел бы его подробно описывать, скажу лишь, что длился он более 20 лет как на стороне исполнителя (в компаниях – ИБ-интеграторах), так и на стороне заказчика (в компаниях – операторах сотовой связи и в банках топ-5). ИБ – крайне интересная и динамично развивающаяся технологичная сфера, в которой нет предела совершенству и в то же время есть широкий диапазон возможностей для реализации новых идей и передовых технологий. Сфера, в которой всегда было, есть и будет противостояние в киберпространстве между атакующими и защитниками, что и делает ее, на мой взгляд, такой привлекательной и интригующей, сложной и ответственной.
– Какие задачи и цели вы, будучи руководителем, ставите перед собой?
– Одна из основных задач – организовать в банке в области информационной безопасности те процессы, которые до меня не были внедрены. А важной целью является привнесение безопасности в социальную функцию банка как неотъемлемой части его деятельности.
– Раз уж мы затронули тему организации новых ИБ-процессов в банке, перейдем к основной теме интервью. Как возникла потребность обеспечить усиленную/двухфакторную/многофакторную аутентификацию для сотрудников?
– Изначально система двухфакторной аутентификации появилась в банке в 2018 г. в связи с необходимостью соблюсти требования стандарта PCI DSS, предъявляемые к процессинговому контуру банка. Требования гласят, что при доступе к данным платежных карт с рабочих станций пользователей должна осуществляться многофакторная аутентификация. Похожие требования о применении двухфакторной аутентификации есть и у платежной системы SWIFT, прописаны в регламентных документах Банка России и ФСТЭК. То есть одна из целей, которую мы хотели достичь, внедряя 2FA решение, направлена на выполнение требований регуляторов.
Помимо этого, в связи с развитием инфраструктуры банка и формирования новых бизнес-процессов возникла потребность в повышении общего уровня защищенности корпоративной сети, что стало дополнительным поводом для решения о внедрении системы многофакторной аутентификации.
– По каким критериям выбирали систему в рамках импортозамещения?
– Основополагающим критерием был выбор решения, которое мы могли бы разместить непосредственно в контуре банка – on-premises.
Вторым важным условием была разновидность интерфейсов интеграции с конечными системами, где и производится процесс аутентификации пользователя. Необходимо было предусмотреть бесшовный переход на новое решение с сохранением текущих бизнес-процессов.
И еще один немаловажный момент – разновидность доступных в системе аутентификаторов: многообразие методов и способов доставки второго фактора пользователю.
– Какую систему в итоге выбрали?
– В 2022 г. мы инициировали оценку российского рынка решений двухфакторной аутентификации и после тестирования пришли к выводу, что единственной достойной альтернативой продукту RSA был только Indeed Access Manager.
Программный комплекс Indeed Access Manager – платформа для централизованного управления доступом пользователей к корпоративным приложениям, разработанная российским вендором – Компанией Индид. Indeed AM реализует строгую и многофакторную аутентификацию пользователей при доступе к информационным ресурсам, дополняя или заменяя пароли. Платформа поддерживает множество различных способов аутентификации, таких как одноразовые пароли, аппаратные носители, биометрические технологии, а также адаптируется к требуемым сценариям доступа и в каждом конкретном случае предоставляет возможность выбора оптимальной технологии.
– Насколько быстро проходило внедрение новой системы? Были сложности, связанные с этим?
– Официально Indeed Access Manager введен в промышленную эксплуатацию в прошлом году, но процесс масштабирования решения продолжается по сей день.
Это был комплексный мегапроект, который потребовал предварительной подготовки плана миграции: было необходимо определить группы пользователей, которые в первую очередь необходимо перевести на новое решение, и группы, которым еще доступны лицензии предыдущего решения, которыми они могут пользоваться. Дополнительно перед нами стояло множество интеграционных задач по причине того, что RSA, в отличие от Indeed Access Manager, встраивался нативно в некоторые из ИТ-систем.
Все проблемы, которые возникали в рамках внедрения, были успешно устранены при взаимодействии нашей внутренней команды с командой вендора, которая достаточно быстро реагировала на все изменения и своевременно выполнила все технические задания, предоставленные нами для доработки их системы под требования банка.
Компания Индид гордится своими специалистами, в частности командой технической поддержки, которая оперативно решала все вопросы сотрудников банка круглосуточно.
– Вы заметили какие-нибудь изменения эффективности работы сотрудников после внедрения решения усиленной аутентификации? Рабочие процессы изменились?
– Да, можно выделить сразу несколько серьезных изменений в лучшую сторону. Для примера возьмем проект создания умных офисов, в котором ранее коллеги использовали многофакторную аутентификацию, вводя OTP-пароли. С появлением нового решения мы переключили сотрудников на использование подтверждения второго фактора с помощью push-уведомлений, которые передаются им на телефоны, предлагая пользователю простой выбор: нажать кнопку "подтвердить" или "отклонить". Таким образом мы повысили скорость обслуживания клиентов нашего банка, минимизировали число случаев ошибок наших операторов.
Мы также интегрируем данное решение в наше корпоративное приложение, в котором читаем новости, ведем каталог пользователей, бронируем переговорные или коворкинги и т.д. Встраиваем в него некоторые функции из системы многофакторной аутентификации, а именно регистрацию аутентификатора для сотрудников, что позволит улучшить внутренние процессы доставки второго фактора, а также мы переносим отображение самих аутентификаторов из мобильного приложения Компании Индид в наше корпоративное приложение, чтобы избавиться от необходимости устанавливать множество программ на телефоны наших сотрудников – будет все в одном.
Платформа Indeed Access Manager обеспечивает контролируемый доступ как из внутренней сети компании, так и к системам, доступным из внешней сети (почта, VPN, VDI и веб-порталы). Такой подход позволяет построить централизованную систему предоставления доступа, которая охватывает все используемые целевые системы, сокращает расходы на сопровождение инфраструктуры и повышает эффективность работы пользователей.
– То есть этот проект позволил повысить уровень защищенности корпоративной инфраструктуры Альфа-Банка?
– Да. Ранее я рассказал больше про пользовательский опыт, но если говорить про безопасность в целом, то стоит отметить, что в процессе масштабирования Indeed Access Manager мы расширили зоны покрытия инструментом двухфакторной аутентификации: 2FA стали использовать в большем количестве ИТ-систем и СЗИ. Мы смогли этого достичь за счет широкого интеграционного функционала решения и оперативной поддержки со стороны команды Компании Индид. Это позволило нам повысить уровень защищенности корпоративной инфраструктуры и закрыть часть требований регуляторных органов (Банк России, ФСТЭК).
– Какие рекомендации вы хотели бы дать тем, кто находится в процессе выбора подобного решения?
– Рекомендации простые. Исходя из задач – меняете ли прежнюю систему на новую или строите новую систему с нуля – подходите к этому процессу комплексно, изучив весь доступный рынок.
В первую очередь определите, какие потребности вы хотите закрыть системой, какие виды аутентификаторов необходимо будет использовать. Например, у нас это одноразовые пароли (OTP) либо push-уведомления. Может быть, для кого-то будет принципиально важно использовать физические токены или биометрию.
На старте необходимо выработать определенные и четкие требования, которые вы будете предъявлять к системе, а потом провести анализ рынка на предмет наличия вендоров, которые предлагают и поддерживают такие решения. Обязательно нужно провести пилоты с нагрузочным тестированием: сколько система может одномоментно аутентифицировать пользователей, как она ведет себя под этой нагрузкой, как масштабируется. Далее решить вопросы с ее отказоустойчивостью и архитектурой. Потом определить, важно ли быстрое внедрение – в этом случае лучше посмотреть облачные решения, которые позволяют быстрее использовать функционал такого рода систем.
Если нужно больше безопасности, тогда стоит рассмотреть on-premises-решения, которые полностью изолированы от сети Интернет и находятся внутри периметра компании.
– Чем именно решение Indeed Access Manager отличается от других аналогичных решений по многофакторной аутентификации?
– Принципиальные различия – именно в работе второго фактора. Если сравнивать аутентификацию в RSA и в продукте Компании Индид, то, не вдаваясь в подробности, можно сказать, что они работают одинаково, по метке времени. Но у Компании Индид больше различных доступных для использования аутентификаторов.
Из дополнительных приятных различий – то, что теперь мы можем отправлять одноразовые пароли на почту, по СМС, в различные мессенджеры, то есть можем создать интеграцию с привязкой к профилю пользователя. Возможностей по сравнению с предыдущим решением – масса.
Предыдущее иностранное решение, которым мы пользовались, RSA, – решение мирового уровня. Оно очень хорошо зарекомендовало себя на международном рынке. Но решение Компании Индид по сравнению с RSA имеет более широкий функционал и даже в какой-то степени превосходит его.
Indeed AM, с целью усиленной аутентификации пользователей, поддерживает множество различных технологий, таких как биометрическая аутентификация, push-аутентификация, аутентификация с помощью аппаратных средств или одноразовых паролей (выдаваемых локальными генераторами либо отправляемых по СМС или электронной почте).
– Компания Индид – российский разработчик, функциональность решений компании больше соответствует потребностям российских заказчиков, что в ситуации, связанной с импортозамещением, плюс. Тем не менее идеальных решений пока не существует. Какие доработки системы потребовались на этапе ее внедрения?
– Было несколько важных для нас доработок, которые команда Компании Индид реализовала.
В банке используется почтовая система, которая доступна с мобильных устройств сотрудников. Для повышения уровня безопасности и закрытия регуляторных требований были приняты меры по применению встроенного инструмента почтовой системы – карантин, или белые списки устройств. При первичном подключении устройства сотрудника к почтовой системе оно попадает в карантин, то есть доступ блокируется. Для оптимизации скорости предоставления доступа сотрудникам у Компании Индид мы запросили доработку портала самообслуживания в части интеграции с почтовой системой на новом уровне и добавление функционала вывода устройства из карантина самим же сотрудником.
Другая принципиально значимая доработка заключалась в привязке аутентификатора к некоему уникальному коду устройства – Device ID. При регистрации токена мы хотим быть уверены в том, что он будет зарегистрирован на том устройстве, с которого был запрос на его выпуск. У каждого сотрудника есть персональное устройство, на которое он устанавливает приложение, считывающее уникальный идентификатор мобильного устройства. В тот момент, когда происходит запрос на генерацию, выпускается токен, который может быть активирован только на этом личном устройстве. Если вдруг каким-то образом произойдет перехват регистрационных данных, применить их на другом устройстве будет невозможно. Эта функция в целом повышает базовую защищенность использования системы многофакторной аутентификации.
В рамках проекта было реализовано несколько существенных функциональных возможностей системы.
1. Доработки политик Indeed AM под требования банка. Пользователь может состоять в нескольких политиках Indeed AM, что позволяет реализовать гибкую и простую настройку прав на работу с модулями Indeed AM и аутентификаторами.
2. Реализация Secured TOTP. Секретный ключ для генерации одноразового кода зашифрован и расшифровывается только ключом на основе идентификатора устройства. Таким образом, аутентификатор защищен от регистрации на нескольких устройствах.
3. Реализация 2FA для сценария вывода устройств из карантина. Пользователь настраивает почтовый аккаунт на новом устройстве через Exchange ActiveSync, устройство автоматически попадает в карантин. Чтобы начать получать почту, необходимо вывести устройство из карантина. Теперь это нужно делать с помощью специального сервиса подготовки мобильных устройств, доступ в который осуществляется после двухфакторной аутентификации в системе AM.
4. Подсчет лицензий для каждой отдельной политики AM. Система позволяет задать доступное количество лицензий для определенной политики, чтобы ограничить количество используемых лицензий для подразделения.
– Какие отличия вы видите в сотрудничестве с Компанией Индид по сравнению с зарубежным вендором?
– Да, это важный момент, который необходимо отметить. Взаимодействие с зарубежными вендорами напрямую либо через интеграторов было затруднительным, они очень неохотно шли на контакт. Добиться реализации актуального функционала было практически невозможно либо приходилось ждать его годами. На этом фоне взаимодействие с российским вендором, Компанией Индид, как российским производителем – беспрецедентно. Вендор идет навстречу заказчику, оперативно реагирует на запрос и принимает во внимание потребности в функциональности. Indeed Access Manager постоянно наращивает технологические возможности и развивается на Linux, чтобы поддерживать установку в российских операционных системах.
Преимущества Компании Индид:
- собственная разработка на территории РФ;
- бесплатное пилотное тестирование продуктов;
- полная поддержка на всех этапах внедрения;
- один год бесплатной техподдержки после запуска;
- круглосуточная техподдержка 24/7.
– Каковы дальнейшие планы по использованию Indeed Access Manager?
– В следующем году мы планируем пилотировать решение Indeed ITDR. Это совершенно другой подход к многофакторной аутентификации, который позволяет заказчику избавиться от необходимости проработки интеграций с системами по протоколам, поскольку решение Indeed ITDR встраивается в протокол LDAPS, Kerberos и множество других. Мы сможем перехватывать запросы к домен-контролерам, направлять на систему ITDR и там уже строить многофакторную аутентификацию. Таким образом, конечные системы подключать не нужно. Это должно сэкономить массу времени на проработку, реализацию и запуск интеграций новых систем с многофакторной аутентификацией. Мы будем тратить время только на настройку политик. Но опять же, если смотреть в сторону Indeed ITDR, то это совершенно другой диалог с вендором. И хотя класс систем остается такой же, подход к реализации многофакторной аутентификации отличается от Indeed Access Manager.
Дополнительно ожидаем готовность системы Indeed Access Manager к переходу на отечественную операционную систему. Это поможет закрыть регуляторные задачи по импортозамещению. Все решения должны работать на отечественных операционных системах.
– То есть сейчас вы используете два вида токенов – OTP и PUSH, но рассматриваете еще и третий способ аутентификации – биометрию?
– Да, на текущий момент со стороны бизнес-подразделений есть потенциальный интерес к применению инструментов аутентификации сотрудников по биометрическим данным в целях оптимизации времени подключения к АРМ. Совместно с ИТ-подразделениями прорабатываем данный подход, проведем пилотирование.
– С точки зрения финансовой составляющей как на вас отразился переход с зарубежного решения на российское?
– В банке обычно считают все не одномоментно, а в разрезе владения системой в течение нескольких лет, например трех-пяти. Когда мы принимали решение о замене зарубежной системы на российскую, то проводили финансовую оценку, которая показала, что уход от решения западного вендора в течение двух лет позволил банку в четыре раза сократить финансовые затраты на лицензирование системы многофакторной аутентификации.
– Каким вы видите ближайшее будущее ИТ и ИБ в России?
– Сдержанно оптимистичным. Все зависит от множества факторов и не в последнюю очередь от государственно-коммерческого партнерства, создания венчурного финансирования перспективных направлений с облегченными правилами ведения бизнеса в сфере кибербезопасности.
