Александр Василенко
Директор департамента инфраструктуры и защиты информации АО «Тандер».
В 2004 году окончил Краснодарский военный институт по специальности «Организация и технология защиты информации». Продолжил службу в специализированном подразделении Министерства обороны РФ.
В 2006 году окончил Ростовский государственный институт по специальности «Юриспруденция» (гражданская специализация).
С 2009 года работает в компании «Магнит», прошел путь от заместителя начальника отдела информационной безопасности до директора департамента инфраструктуры и защиты информации.
Александр Василенко, директор департамента инфраструктуры и защиты информации АО «Тандер», рассказал Anti-Malware.ru об опыте внедрения системы контроля привилегированного доступа (PAM) и об оперативной организации защитных мер после общего перехода на удалённую работу в связи с пандемией коронавирусной инфекции COVID-19.
Эпидемия коронавируса очень сильно повлияла на нашу жизнь, ускорила принятие новых ИТ-технологий, в том числе — для удалённой работы. Как это повлияло на вашу организацию? Насколько сильно пришлось перестраивать процессы и инфраструктуру?
А. В.: Любые масштабные изменения заставляют взбодриться и посмотреть на принципы организации работы с нового ракурса. Именно это и произошло в начале текущего года.
Ведь мы, действительно, ранее никогда не сталкивались с подобными ситуациями. Естественно, как были приятные моменты, так и вскрылись детали, на которые раньше не обращали внимания.
Приятно было осознать, что в целом инфраструктура компании была готова к возникновению нештатных ситуаций и глобальных изменений не потребовалось.
Естественно, пришлось масштабировать некоторые системы и расширить каналы связи. Но это было предсказуемо, и мы оперативно с этим справились. В «Магните» инфраструктура изначально была построена с возможностью при необходимости организовать полноценную удалённую работу. Это помогло нам без серьёзных изменений в процессах перейти на новый формат работы.
Изменилась ли под влиянием карантина модель угроз? Какие риски возросли и почему?
А. В.: Риски, связанные с удалённым доступом, и ранее были в модели угроз. Но акценты, действительно, пришлось поменять.
Ситуация с нехваткой оборудования и невозможностью оперативной его закупки подтолкнула к необходимости использования личных устройств сотрудников. Естественно, пришлось больше внимания уделять нейтрализации вредоносной активности заражённых личных устройств.
В этом нам помогло внедрённое ранее решение для предотвращения АРТ-атак. Мы оперативно блокировали выявленные устройства до устранения причин.
Кроме этого, в новом свете заиграло решение для контроля привилегированного доступа (РАМ). Ключевых сотрудников, переведённых на удалённый режим работы, мы завели через РАМ, что позволило существенно повысить уровень безопасности и прозрачности нашей инфраструктуры.
Отдельно хотел бы подчеркнуть, что во времена больших перемен существенную роль играет информированность сотрудников о происходящем. Именно поэтому мы уделили особое внимание повышению осведомлённости. Злоумышленники активно использовали новые векторы атаки, а мы превентивно информировали наших сотрудников об этом.
Как это отразилось на информационной безопасности и реализации новых проектов?
А. В.: Я всегда стараюсь искать в происходящем что-то положительное. В данном случае этим может быть ускорение запуска проекта по двухфакторной аутентификации. Мы начали прорабатывать эту тему ранее, но ситуация подтолкнула к её ускорению.
При этом неизменным для нас остаётся баланс соблюдения требований ИБ в «Магните»: для бизнеса создаются более гибкие возможности работы без ухудшения безопасности ИТ-инфраструктуры — за счёт внедрения современных систем защиты, которые позволяют оперативно реагировать на попытки атак и вредоносную активность, а также блокировать их до наступления последствий.
Что пришлось экстренно менять или масштабировать в новых условиях?
А. В.: Самое заметное изменение — это расширение каналов связи. Надо отдать должное операторам связи, проблем с этим не было никаких.
Также нам потребовалось масштабировать некоторые системы обеспечения безопасности. В связи с переводом сотрудников на «удалёнку» нагрузка на эти системы выросла.
Хороший пример — РАМ. Количество контролируемых сессий удалённого доступа выросло на порядок.
Как давно стали использовать PAM?
А. В.: Проект по выбору РАМ был запущен в 2012 году. В декабре 2012 года мы сделали себе предновогодний подарок: приобрели продукт Balabit Shell Control Box и оперативно внедрили его. В 2013 год мы вошли уже более уверенными в качестве нашей защиты. Сейчас продукт называется One Identity Safeguard, мы продолжаем его использовать и смотрим на новый функционал, который в нём появляется.
В чём состоит актуальность задачи контроля привилегированных пользователей, почему стали заниматься этой задачей? Это была в первую очередь инициатива ИБ или ИТ?
А. В.: Мы рассматриваем PAM в качестве неотъемлемого элемента систем безопасности, которые, в свою очередь, защищают остальную инфраструктуру компании, поэтому инициатива по его внедрению принадлежала именно ИБ. Привилегированные пользователи имеют доступ к информации, разглашение которой несёт существенные риски для стабильной работы всей компании. Поэтому так важно решить задачу по обеспечению контроля этих пользователей.
Какие PAM вы смотрели и как происходил выбор оптимального продукта? На что посоветуете обратить внимание при выборе PAM?
А. В.: Помимо Balabit Shell Control Box мы также изучали решения Wallix, CyberArk.
Для нас самыми важными параметрами при выборе продукта являлись функциональные возможности системы, стабильность работы и простота администрирования.
На текущий момент One Identity Safeguard for Privileged Sessions удовлетворяет этим требованиям.
Чем понравился One Identity Safeguard for Privileged Sessions, почему в итоге выбор пал на него?
А. В.: Особое внимание при выборе решения мы уделяли функционалу по контролю действий привилегированных пользователей. В момент выбора решения Balabit был самым удобным. Особенно нам понравилось то, что решение не требовало перестраивать действующие процессы работы. Нам не пришлось устанавливать агенты на серверы и рабочие станции сотрудников.
Мы и сейчас продолжаем отслеживать происходящее на рынке, знакомясь с текущими возможностями конкурирующих решений. Могу сказать, что до сих пор мы не сомневаемся в сделанном выборе, поэтому продолжаем использовать One Identity Safeguard и сегодня.
Отдельно хочется отметить, что мы постоянно развиваем его функционал. В последних версиях появилась возможность контроля трафика по протоколу Microsoft SQL Server, был переработан интерфейс поиска информации по сессиям, появился модуль аналитики и выявления отклонений в действиях пользователей, анонсирован выпуск модуля, позволяющего вести запись веб-трафика в режиме визуальной сессии, в тестировании которого мы будем принимать активное участие. Также важным фактом является то, что при расширении функционала продукта учитываются потребности заказчиков. Так, например, производителем было реализовано наше пожелание по таймауту сессий при бездействии пользователей.
В каких сценариях используется One Identity Safeguard?
А. В.: Мы видим два главных сценария использования One Identity Safeguard.
Первый — возможность отслеживать действия привилегированных пользователей и подрядчиков и использовать эти данные для восстановления хронологии событий и расследования инцидентов. Второй — предотвращать возможные утечки конфиденциальной информации.
Например, если пользователь на конечном сервере самостоятельно разрешит использовать буфер обмена или «маппинг» дисков, то это не будет работать до тех пор, пока на PAM не будут разрешены соответствующие права в политике для подключения. Это, в свою очередь, позволяет определять, для каких пользователей разрешён этот функционал, и вести более жёсткий контроль за ними.
Какие «подводные камни» и сложности могут возникнуть в процессе внедрения и эксплуатации PAM? Как их избежать?
А. В.: Конечно, при внедрении любой новой системы есть свои нюансы и особенности, но мы не можем сказать, что при внедрении и эксплуатации PAM столкнулись с какими-то неразрешимыми проблемами. Документация к данному решению достаточно подробна, и на большинство вопросов можно самостоятельно найти ответ, а своевременное обновление системы до новых версий снижает вероятность возникновения каких-либо проблем.
Сколько заняло внедрение, как шёл проект в целом?
А. В.: Так как система внедрялась более семи лет назад, о деталях сегодня рассказать достаточно сложно, но точно помню, что при внедрении продукта критических проблем не возникло, поэтому оно прошло оперативно. Благодаря подробной документации внедрение выполнялось самостоятельно без привлечения интегратора. За помощью к инженерам вендора обращались в режиме консультаций по некоторым вопросам. Кстати, надо отдать им должное, реагируют они быстро и качественно.
Время от времени у нас происходят изменения, связанные с масштабированием инфраструктуры. Процесс разворачивания системы и её первоначальной настройки занимает у нас несколько рабочих дней.
Каковы будут дальнейшие шаги по расширению проекта?
А. В.: В данный момент мы проводим анализ новых возможностей системы и необходимость их применения для текущих потребностей.
В первую очередь мы хотим внедрить контроль HTTP-сессий без необходимости использования промежуточных хостов.
Насколько перспективно использование UEBA, SSO, 2FA в контексте PAM?
А. В.: Сейчас для нас наиболее интересна технология UEBA, которая выполняет анализ действий пользователей и выявляет отклонения от привычного поведения. Мы внимательно следим за функционалом модуля Safeguard for Privileged Analytics и высказываем свои пожелания по его доработке. Когда мы смотрели на первые релизы данного модуля, то было ощущение недостатка визуально понятной информации. В текущих версиях информации значительно больше, что делает модуль весьма интересным и значительно более полезным.
Насколько для вашей компании важна сертификация ФСТЭК для PAM?
А. В.: На сегодняшний день это требование не является для нас определяющим, но в быстро меняющихся современных условиях наличие сертификации в определённых обстоятельствах может стать важным.
Спасибо за беседу! Успехов!
