Александр Лавров, 21/09/20
Интервью с Александром Лавровым, начальником службы безопасности компании “СТС Медиа”
.jpg?width=108&name=Image%20from%20iOS%20(21).jpg) |
Александр Лавров рассказывает о специфике организации информационной безопасности на ТВ, в том числе о тонкостях защиты периметра с учетом возрастающего количества сотрудников, работающих удаленно, и делится своим опытом в этой сфере. |
– Какова специфика организации информационной безопасности в телерадиовещательных и телекоммуникационных компаниях?
– Ключевой особенностью работы медиакомпаний является организация и обеспечение непрерывного функционирования основных ИТ-систем, в первую очередь тех, которые отвечают за выпуск в эфир видеоконтента. Это наша критическая инфраструктура. При этом важно не только сохранить непрерывность вещания, но и не допустить выход в эфир несанкционированной информации. Отмечу, что результаты негативного несанкционированного воздействия на эфир будут заметны сразу и это может привести к репутационным и финансовым потерям. Схожие ситуации наблюдаются и в банковской сфере, где цепочка от атаки до потерь очень короткая. Если текстовый материал на сайте можно оперативно скорректировать, то при вещании в реальном времени такой возможности нет. Трансляция передачи закончится, а компании придется отвечать за последствия.
Следовательно, с точки зрения информационной безопасности нам необходимо создать условия, при которых несанкционированная замена контента будет невозможна. Исходя из этого, очерчиваются основные направления защиты информации: это защита целостности всех ИТ-систем, связанных с трансляцией нашего контента, а также обеспечение его доступности для вещания.
– Что вы можете рассказать про особенности функционирования периметра вашей сети?
– На текущий момент периметр нашей ИТ-инфраструктуры по большей части совпадает с физическими границами офисов компании, имеется несколько контуров безопасности и выделенных сегментов, включая критичные, доступ в которые мы стараемся ограничить и минимизировать.
В настоящее время усилилась тенденция к увеличению числа сотрудников, работающих удаленно с использованием как корпоративных, так и личных мобильных устройств, и эпидемиологическая ситуация в стране в разы ускорила этот процесс. Большая часть современных сотрудников использует в работе личные мобильные девайсы (планшеты, телефоны), которые они приносят в офис и подключают к корпоративному Wi-Fi.
В режиме реального времени мы наблюдаем, как периметр корпоративной сети все больше и больше размывается, и порой бывает сложно определить, что в него входит, а что нет. К примеру, у вас есть сотрудник, который работает удаленно со своего личного ноутбука. По классическому определению, такое устройство находится вне периметра. Однако с него можно подключиться к корпоративным веб-приложениям, на нем установлены приложения для корпоративных коммуникаций, имеется синхронизация с определенными каталогами из корпоративного облака. В таких условиях уже невозможно однозначно утверждать, что данное устройство находится за пределами периметра сети компании.
Аналогичная ситуация складывается и в отношении внешних исполнителей – подрядчиков, сотрудников технической поддержки, аутсорсеров и пр. Вроде бы они не относятся к компании напрямую, но отвечают за поддержку и работоспособность компонентов внутренних ИТ-сервисов, на их устройствах имеется специализированное ПО, данные, документы, и они имеют удаленный доступ в наши системы. Все чаще таким пользователям предоставляются довольно широкие полномочия на действия в ИТ-системе. А если эти пользователи находятся вне нашего физического периметра, то к ним необходимо применять инструменты особого контроля.
– Как в вашей организации возникла задача обеспечения контроля привилегированного доступа? Что послужило мотивом поиска решения и реализации такого проекта?
– Как я пояснил ранее, возникла острая необходимость в управлении доступом и обеспечении контроля за действиями удаленных сотрудников компании и сотрудников подрядных организаций. Изучив рынок, мы начали с внедрения системы управления доступом и двухфакторной аутентификации линейных сотрудников. После этого практически сразу исчезла проблема с забытыми паролями, необходимостью их сброса и восстановления через администраторов системы.
Человеческий ресурс – самый дорогой! Особенно если это ресурс высококлассных специалистов. Поэтому для нашей компании важно, чтобы администраторы систем решали действительно значимые и ключевые задачи, исключая рутинные операции из своего ценного рабочего времени.
Однако контроль доступа и решение проблем с управлением пользовательским доступом – это только верхушка айсберга информационной безопасности. Интернет пестрит новостями о том, что источником инцидентов все чаще становятся сотрудники, которые по специфике работы имеют доступ к привилегированным учетным записям системы. В "СТС Медиа" такой доступ есть не только у штатных администраторов систем, но и у подрядчиков. Здесь необходимо подчеркнуть, что компания, занимающая лидирующие позиции в своей сфере, не может рисковать, оставляя этот доступ без необходимого контроля и защиты.
Любой инцидент или внештатная ситуация должны быть максимально оперативно локализованы для устранения последствий. По этой причине возникает серьезная необходимость в осуществлении контроля за лицами, имеющими доступ к учетным записям с расширенными правами.
– Скажите, внедрена ли такая система в вашей компании?
– Поскольку классические меры контроля работы не могут быть применены к сотрудникам с доступом к привилегированным учетным записям и работающим вне физических офисов, мы пришли к выводу, что здесь необходимо использовать систему класса Privileged Access Management (PAM). Как я говорил ранее, многие сотрудники работают удаленно и с личных устройств администрируют нашу систему – сетевое оборудование, гипервизоры, серверы на базе Windows, Linux и т.д. При таком подходе должный мониторинг организовать довольно сложно, так как возможности установки контрольных устройств на рабочей станции администратора или подрядчика либо на администрируемом узле крайне ограниченны. И даже при установке такого устройства администратор имеет возможность его удалить или отключить. Примерно полгода назад мы завершили внедрение системы класса Privileged Access Management, к тестированию которой приступили год назад, после завершения развертывания системы управления доступом и идентификацией сотрудников.
В рамках проекта мы протестировали программные комплексы различных вендоров и выбрали оптимальное для себя решение. Затем внедрили программное обеспечение для контроля действий привилегированных пользователей, которое учитывает указанные ранее ограничения, особенности работы и функционирует между рабочим местом и целевым администрируемым ресурсом.
– А по каким ключевым критериям вы осуществляли поиск подходящего решения?
– Сначала мы протестировали и внедрили программный комплекс для управления пользовательским доступом. В процессе его эксплуатации поняли, что требуется дополнительный функционал, который будет закрывать потребности контроля и защиты сотрудников, использующих привилегированный доступ в систему. Кроме двухфакторной аутентификации нужна была запись действий таких сотрудников, а также логирование всех открываемых ими сессий, которые имеют важное значение для работоспособности системы.
Дополнительным требованием была необходимость функционирования системы в безагентском режиме. Учитывая количество целевых ресурсов, для нас также было важно, чтобы решение умело автоматически находить и ставить под контроль привилегированные учетные записи на целевых ресурсах.
И наверное, самый важный аспект, на который стоит обратить внимание, – взаимодействие между собой систем, выполняющих разные функции, чтобы в процессе работы не возникали перебои из-за их несогласованной работы, а если возникнет необходимость, специалист технической поддержки оперативно мог исправить ситуацию.
– Расскажите, как проходило внедрение РАМ-системы.
– От тестового внедрения до запуска в производственную эксплуатацию в полном объеме прошло несколько месяцев. Больше всего времени заняла подготовка, а не установка и настройка программного обеспечения. Необходимо было проработать пользовательские сценарии, продумать, как перевести своих пользователей на работу через систему РАМ, оценить мощности и докупить недостающее оборудование. Весь процесс внедрения, как пилотируемый, так и производственный, сопровождался службой технической поддержки разработчика. Подготовили, получили лицензии, внедрили, используем.
Кроме того, отмечу, что была проведена очень глубокая проработка вопросов разделения труда в рамках разработки матрицы доступа. Если в отношении пользователей задача больше сводилась к корректному распределению полномочий, то в отношении администраторов все оказалось значительно сложнее. В первую очередь из-за того, что необходимо было не парализовать техническую работу и одновременно грамотно распределить полномочия, чтобы не появились так называемые суперадминистраторы. Это очень кропотливая работа с множеством нюансов.
– Как оцениваете результаты внедрения?
– За время эксплуатации мы уже успели оценить удобство системы и, самое главное, что теперь привилегированный доступ не только защищен, но и находится под полным контролем. К логам сессий мы имеем доступ в любое время, и при необходимости можем оперативно расследовать инциденты. Мы успели завершить внедрение системы до начала проблем, связанных с мировой эпидемиологической ситуацией и, таким образом, оказались заранее подготовленными к массовой удаленной работе ключевых сотрудников компании и сотрудников подрядных организаций. Безусловно, это отличное конкурентное преимущество для любой серьезной компании.
– Какие рабочие процессы изменились и как они повлияли на работу сотрудников?
– Положительные изменения налицо: улучшились сценарии доступа, обеспечивается качественная проработка прав и ограничений для учетных записей, упорядочились все процессы, связанные с работой и доступом в сессии через РАМ-систему. И это только часть положительных изменений. Что касается сотрудников, то одним из условий, которое требовалось реализовать для аутентификации администраторов системы и других аналогичных пользователей, была необходимость сохранения в секрете паролей доступа к привилегированным учетным записям. То есть сотрудник осуществляет вход в сессию к целевому ресурсу по своим учетным данным, а данные административной учетной записи скрыты от него. Плюс, конечно, запись и логирование сессий теперь не дают такому сотруднику расслабиться и потерять бдительность. В большой степени мы исключили человеческий фактор.
– Какие функциональные особенности работы системы вас впечатлили?
– Прозрачный мониторинг событий, происходящих в любой сессии. Появилась также возможность иметь прозрачный доступ (без раскрытия пароля) по RDP к системе и при этом вести видеозапись сессии.
Кроме того, полезной оказалась функция импорта учетных записей пользователей и компьютеров из каталога Active Directory, это позволило сократить сроки наполнения базы PAM и оперативно контролировать необходимые учетные записи.
– Скажите, в итоге смогла ли данная система повысить уровень информационной безопасности компании?
– Построение системы информационной безопасности компании – не одномоментное, можно сказать длящееся мероприятие. Каждый из шагов – и многофакторная аутентификация основной массы сотрудников, и контроль действий администраторов, подрядчиков, и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании, и мы их уже прошли.
Сейчас мы как минимум закрыли "парольную брешь" линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.
Мы также переработали внутренние процессы для создания психологического комфорта и удобства работы конечных пользователей в новых условиях, и эти меры, конечно, не последние.
Мое неизменное мнение: сотрудники подразделения информационной безопасности должны стараться всегда идти в ногу со временем, постоянно совершенствоваться, изучать и брать на вооружение лучшие практики как российских, так и зарубежных компаний.
– Что повлияло на выбор конкретного поставщика решения?
– Реалии таковы, что при выборе продукта нам нужно было принять во внимание множество факторов, а именно ценовую привлекательность, удобство и выгоды внедряемого продукта, полноту и комплексность предлагаемого решения, функциональность и безотказность системы, возможность его технологической интеграции с уже используемыми продуктами. Разумеется, важно в полном объеме выполнять имеющиеся требования регуляторов и законодательства РФ. Скажу честно, выбор был сложным. Мы рассматривали несколько программных комплексов. У каждого есть свои плюсы и минусы. Но мы нашли, как показала практика, оптимальное для нас решение. Внедренный нами Privileged
Access Manager полностью соответствует нашим требовательным запросам. У вендора работает качественная служба технической поддержки, которая оперативно помогает и решает любые возникающие вопросы. Немаловажным также является тот факт, что выбранный нами программный комплекс внесен в реестр отечественного ПО. Кстати, наша система аутентификации сотрудников разработана той же компанией. В совокупности все эти факторы и повлияли на выбор.
– К каким изменениям функционирования корпоративной ИТинфраструктуры, по вашему мнению, в перспективе трех-пяти лет нужно готовиться вашей компании?
– Подчеркну, что в настоящее время классический подход к защите периметра компании, когда основное внимание концентрируется в основном на защите компонентов внутренней ИТ-инфраструктуры и фильтрации сетевых коммуникаций, теряет свою актуальность. Дальнейшее увеличение количества личных мобильных устройств (смартфоны, планшеты, умные часы и т.д.) и использование их для корпоративных коммуникаций, на мой взгляд, еще больше будет размывать понятие периметра. Противостоять этим тенденциям бессмысленно, рано или поздно все столкнутся с ситуацией, когда нужно будет оперативно перестраиваться на контроль такого доступа, включая вопросы нейтрализации различных новых рисков и угроз. И чем раньше начнется эта работа, тем более значимой и качественной она будет.
Современная система защиты должна сместить акценты в сторону более глубокого и централизованного управления доступом, контроля полномочий, поведения, выявления аномалий в сетевой активности и в действиях пользователей.
Управление доступом считается одной из классических задач информационной безопасности, наряду с фильтрацией, резервированием и защитой от вирусов. Практически все крупные организации обладают масштабными и централизованными системами защиты от вирусов, эшелонированными системами многоуровневой защиты периметра, в их распоряжении находятся комплексные системы резервного копирования, резервирования вычислительных ресурсов, различные отказоустойчивые кластеры.
Тем не менее еще далеко не все отказались от использования паролей в качестве единственного аутентификатора. Причем из-за уязвимости парольной защиты подразделения безопасности вынуждены предъявлять требования об использовании различных паролей для разных сервисов и о постоянной их смене. Это, безусловно, решает ряд проблем, но порождает множество других, создавая значительную нагрузку на службу безопасности и службу ИТ-администрирования.
Думаю, что в ближайшие годы существенно возрастет потребность в централизованной и масштабной системе идентификации и аутентификации, объединенной в единый комплекс, включающий в себя возможность работы не только с корпоративными ресурсами, но и с разными личными устройствами сотрудников.
Грамотные руководители предприятий (не только ИТ-компаний) понимают, что все больше и больше угроз и рисков переходит в информационную цифровую плоскость, в связи с чем информационная безопасность компании выходит на первые позиции и стоит, можно сказать, на первой линии обороны.
Глобализация экономических и культурных связей, развитие информационных ресурсов, внедрение больших данных и аналитических систем, с одной стороны, раздвигают рамки возможностей для развития компаний, а с другой – несут реальную угрозу моментальной потери бизнеса.
Таким образом, внедряемые системы безопасности на предприятии должны соответствовать актуальным угрозам и выполнять роль надежного цифрового щита компании.
