Дмитрий Михеев: Автоматизация процессов и анализа PAM в пандемию просто расцвела

Дмитрий Михеев: Автоматизация процессов и анализа PAM в пандемию просто расцвела

Дмитрий Михеев

Технический директор ООО "АйТи БАСТИОН".

Родился в 1977 г. в Москве.

Окончил социологический факультет МГУ им. Ломоносова, кафедра "Социология организаций".

В сфере ИТ работает с 2001 года.

Обладает сертификатом Certified Information Systems Security Professional (CISSP).

...

В интервью Anti-Malware.ru Дмитрий Михеев, технический директор компании «АйТи БАСТИОН», рассказывает о планах развития функциональности PAM-системы СКДПУ НТ, её интеграции с SIEM и другими системами, включая возможность активного реагирования на инциденты в кибербезопасности, а также о том, как пандемия и связанные с нею изменения в потребностях заказчиков отражаются на функциональности флагманского продукта компании.

Почти год назад мы разговаривали с вами, когда началась пандемия; было понятно, к чему всё идёт и какие тенденции родились во время этих событий. Если смотреть сейчас на прошедший календарный год, какие интересные изменения на рынке контроля привилегированных учётных записей, на ваш взгляд, произошли?

Д. М.: Потребность в решениях такого типа со временем никуда не ушла, она усилилась и расширилась: сначала это была «удалёнка» по понятным печальным причинам, потом — потому, что все привыкли и не хотят возвращаться к прежнему укладу. А сейчас это «удалёнка» потому, что, как оказалось, можно экономить на офисном пространстве и при этом эффективно работать в серьёзных масштабах. На мой взгляд, те тенденции, которые мы обсуждали на прошлой встрече — интеграция, автоматизация процессов и анализа, — благодаря этому буквально расцвели. Потребность в том, чтобы делать интеграцию PAM-системы со всевозможными средствами анализа, готовыми или специально под них разработанными, — это то, чем мы сейчас очень активно занимаемся. Наша разработка — модуль поведенческого анализа и отчётности — за этот год из небольшой идеи выросла до «оперившегося» продукта, и мы её используем как базу для интеграции с целым спектром решений, потому что, как оказалось, это востребованно и удобно. Интерес есть, есть задачи, есть успешные проекты, которые показывают, что мы что-то в этом понимаем.

Не получилось такого, что тогда, год назад, все вынуждены были в авральном порядке установить некие системы контроля привилегированных учётных записей, хоть как-то наладить работу, а потом всё это начало отваливаться, «пилоты» — угасать, спрос — сдуваться?

Д. М.: Не могу сказать, что спрос сдулся; он остался примерно на том же «пандемическом» уровне, потому что если «удалёнку» и запускали в авральном режиме, то отменять её в авральном режиме никто не торопится. У меня перед глазами есть большое количество заказчиков, которые, наоборот, после слегка авральной ситуации подумали, доработали концепции, и в итоге те сотрудники, которые были отправлены на «удалёнку», частично вернулись, а частично продолжают работать в гибком режиме. Но среди тех проектов, в которых я был непосредственно занят, точно никто не «сдал назад». Системы работают и находятся в планах на расширение, потому что оказалось, что это удобно.

Насколько я понимаю, многие компании-заказчики были вынуждены по необходимости это попробовать, и многим понравилось.

Д. М.: Да, никто же не даёт гарантий, что не повторится очередная волна, например осенью. Это — риск, который сработал, и люди его учитывают. И хорошо, что так происходит. Надо отметить, что мы, запуская часть проектов в прошлом году, на основе хороших отношений с нашими заказчиками выдавали людям, грубо говоря, пакеты лицензий просто для того, чтобы они могли решить свои задачи, с оплатой позже. Оказалось, что наши уважаемые заказчики в массе своей не забыли нашего хорошего отношения, и разговор перешёл в термины бизнеса, и мы продолжаем работу. На мой взгляд, это — хороший показатель того, что человеческие отношения в бизнесе часто срабатывают, и срабатывают успешно для всех сторон.

Хочется поговорить про структуру спроса. Несколько лет назад, до пандемии, казалось, что промышленные предприятия активно стали поворачиваться в сторону PAM.

Д. М.: Эта тема началась вместе с КИИ. И достаточно большое количество реальных внедрений в промышленных системах произошло как раз за острый пандемический период, потому что физически доставить инженера на площадку стало проблематично.

Это сопряжено и с логистическими проблемами — всем запрещали или ограничивали перемещения, — и с тем, что инженеров берегли, не пускали в эпидемические зоны. Отправишь человека — он там сядет на карантин. Вернётся — снова на карантин, во избежание рисков. А работать надо!

Промышленные предприятия чрезвычайно сложно запустить после остановки, да и остановить-то не всегда легко и возможно. И на этой тенденции, на этих задачах было сделано несколько небольших, но прицельно организованных проектов, когда мы обеспечивали контролируемый доступ в те или иные ранее отсоединённые сегменты. Ничего запредельно космического, это не какие-то «суперКИИ» — просто люди работают, у них автоматизация, отчётные сведения идут бизнесу, и не нужно было гонять туда человека с ноутбуком из Москвы — можно было обеспечить эти процессы локальными силами. То есть, как правило, это — развёрнутые внутри существующих инфраструктур (там у них уже есть некие опорные сети) VPN и всё прочее. Просто исходя из текущей ситуации доработали свою внутреннюю «нормативку» — что так делать можно. В основном, в этом была проблема.

Получается, что за прошлый год пропали некоторые опасения заказчиков — например, о том, что нельзя никого извне пускать внутрь периметра промышленных сетей. Необходимость победила страх?

Д. М.: Не могу сказать, будто что-то поменялось радикально, на 100 %. То есть как были объекты, где народ не готов эти риски расценивать, так они и остались. С другой стороны, появилось некоторое количество проектов за прошлый год — небольших, но «живых», — где люди всё делали как раз для того, чтобы инженеры могли регулярно обслуживать и развивать их промышленные объекты, самые разные, никакого «rocket science». Факт — в том, что это — промышленные сети, дистантный доступ: изнутри локальной сети предприятия, через опорную сеть, через VPN, условный удалённый инженер попадает в диспетчерский сегмент той или иной SCADA. При этом нельзя сказать, что управление «открывалось всем ветрам»: конечно, там кроме PAM-системы было развёрнуто достаточно много средств защиты, много «нормативки» они под эту задачу провели. И причину обозначили весомую: «под выполнение обязанностей нам необходим такой доступ, просто потому, что конъюнктура такая». И ситуация в мире позволяла это сделать. Им самим это удобно, они давно об этом думали, но не знали, как обосновать — а теперь, в рамках всей этой пандемической истории, вопрос был поднят, внимание ФСТЭК было выражено в рекомендациях, которые она публиковала. И люди, которые реально хотели что-то сделать, — сделали. А те, которые ложатся на амбразуру — мол, никогда так не будет, — они всегда найдутся. У нас решения не являются некой «серебряной пулей». Но ситуация такова, что ряд заказчиков пошёл на это, сумел обосновать, что удалённый доступ не противоречит требованиям регулятора, если он реализован и документирован с использованием сертифицированных средств защиты в правильной конфигурации, с соответствующим контролем и тому подобное. И сейчас эти заказчики спокойно работают.

Что касается ограничений на выезд и участие инженеров в проектах: удалось ли за последний год отладить удалённое внедрение, без непосредственного присутствия на объектах?

Д. М.: Честно сказать, мы всегда старались делать именно так, для экономии — и денег, и времени. И почти все проекты за последние 10 месяцев, за единичными исключениями, были внедрены по инструкциям, которые выдавали наши инженеры, причём даже не обязательно с удалённым доступом: мы выдаём машины (как правило, виртуальные), инструкции и контролируем процесс удалённо на связи с инженерами на площадке. Обычно это — инженеры партнёров, поскольку у них — прямой контакт с заказчиком. Но это могут быть и специалисты заказчика, если партнёра это устраивает.

А можно ли говорить о расширении сферы применения СКДПУ? Например, за последний год возникли новые сценарии применения, новые кейсы?

Д. М.: Безусловно. В 2020 году у нас вполовину увеличилось количество проектов в банках, причём запросы от них не похожи один на другой, у каждого свои задачи и ожидания от нашего продукта. Новый вид заказчиков для нас – НИИ и наукоёмкие производства. Со стороны промышленных предприятий стабильно высокая заинтересованность. С начала этого года у нас — больше 40 «пилотов», это больше, чем в прошлом году. То есть решение востребованно, и мы тут немного даже «зашиваемся», нанимаем инженеров. У нас достаточно много кейсов, которые мы сделали за счёт разработки нашего модуля анализа и отчётности, поскольку мы его рассматриваем как фрагмент функциональности по интеграции. Например, с его помощью мы сделали интеграцию с Positive Technologies ISIM, Kaspersky ICS и с некоторыми другими решениями, для того чтобы организовать кейс контроля обхода средств защиты, в частности PAM-защиты — кейс, которого у нас раньше не было, поскольку он не решается без привлечения дополнительного источника информации. В общем, мы за прошлый год пообщались с коллегами из разных компаний и, на мой взгляд, сумели с ними подружиться и сделать совместные решения. Кейс, где мы с помощью нашего модуля анализа интегрируемся с сенсорами InfoWatch, особенно с сенсорами производственных сетей, и детектируем факты того, что есть соединения на целевые системы помимо PAM-решения, оказался очень простым. В ситуации, когда оба эти решения уже есть на площадке, оно вообще ничего не стоит. А результат приносит быстрый и понятный.

Эта интеграция обогащает именно PAM-систему, то есть она в первую очередь полезна вашей системе?

Д. М.: Мы сделали модуль анализа так, чтобы он был полезен не только для нас. Мы собираем в него данные с наших PAM-шлюзов. Мы действительно обогащаем его из разных источников, а потом отправляем информацию об активности людей и о подозрениях на инциденты в SIEM-систему или в какой-то другой приёмный журнал. За счёт этого мы становимся не такими «эгоистичными», что называется.

Получается, за счёт этой интеграции с Kaspersky, Positive Technologies и InfoWatch СКДПУ НТ получает информацию о том, кто пытался обойти PAM-систему и управлять ресурсами напрямую при использовании иных учётных записей?

Д. М.: Да.

Логин, о котором мы ничего не знаем на PAM-системе, — это признак того, что у кого-то есть возможность успешно залогиниться минуя PAM-систему. Это не всегда инцидент, но это всегда подозрительно.

И, конечно, всегда по таким случаям мы заводим у себя «алёрт» и сигнализируем наверх, в систему сбора событий.

А в обратную сторону это сработает? От себя вы можете давать данные об активности привилегированных пользователей в те же самые системы контроля сети?

Д. М.: У нас сейчас нет прямой интеграции, чтобы мы что-то там разрывали, например. Мы не расцениваем это как нашу задачу. Если верхняя система такую интеграцию имеет, то почему бы и нет? Мы же фактически не контролируем это соединение, это может быть факт логина с консоли, которую мы физически не можем запретить. Но наша задача — предоставить дополнительную информацию, которую не может получить напрямую тот же Kaspersky ICS, ISIM или центр управления другой подобной системы. Вся эта информация так или иначе должна где-то агрегироваться и анализироваться, и явно не у нас.

Вы описали сценарий использования модуля аналитики для АСУ ТП, для сегмента КИИ. А почему такая же связка не используется для обычных корпоративных сетей?

Д. М.: Используется, просто там, как правило, работают другие сенсоры. Для сбора таких данных мы сейчас дорабатываем интеграцию с SIEM-системами, чтобы прямо оттуда получать факты логинов.

А агентская технология там плохо работает, на ваш взгляд?

Д. М.: Мы подумали и решили, что в корпоративном окружении и так уже много агентов; добавив ещё один, мы не сделаем ничего запредельно хорошего, а стоимость развёртывания и поддержки увеличится. Мы все знаем, что к агентам — много вопросов. Есть ситуации, когда без них не обойтись, когда это — основная функциональность; у нас это — функциональность обогащения, и если у заказчика уже есть точка сбора подобной информации, логично не заставлять его тратить больше денег на обслуживание. Мы в этом смысле выступаем за горизонтальные связи, потому что денег в безопасность вкладывается много — и по требованиям регуляторов, и просто от понимания того, что это обеспечивает устойчивость и развитие бизнеса. Но это — не повод накручивать сложность. Скорее надо поучиться взаимодействовать горизонтально, используя те решения, которые мы встречаем сейчас на наших площадках. От этого все выигрывают, на мой взгляд. Вы же знаете грустную шутку разработчиков: «Чем меньше мы программируем, тем лучше мы программируем»? То есть люди целенаправленно занимаются сбором событий, они это по умолчанию делают хорошо, иначе бы их не было на площадке. Вопрос — с кем мы сможем «подружиться» горизонтально, через программные интерфейсы или какие-то штатные инструменты, чтобы получать от них эту информацию.

В настоящий момент мы работаем с двумя компаниями: одна — это Positive Technologies с MaxPatrol SIEM, вторая — RuSIEM. Сейчас ещё ведутся переговоры с Kaspersky, чтобы мы получали эти данные из KUMA.

Мы не первый год приходили с подобными запросами к разным коллегам-разработчикам, но за последний год что-то поменялось и наши запросы начали находить отзыв: коллеги идут навстречу, делятся информацией, мы делаем совместные продукты, а потом радостно совместно их представляем; это хорошо, присутствует ощущение нашего живого локального рынка.

Помимо принесённого пандемией общего позитива для рынка PAM-систем были ли негативные моменты, когда какие-то ваши перспективные инициативы «забуксовали»?

Д. М.: Одна из сложностей — у нас серьёзно снизился темп сертификации. Во-первых, мы не сразу оказались готовыми к новым требованиям и нам пришлось усиленно вкладываться в это. Во-вторых, изменения в «нормативке» оказались слишком масштабными. Это не связано напрямую с пандемией, просто так совпало. Что касается пандемии, технических проблем это не создало: технически мы решали те же задачи, что и раньше, просто их стало больше — больше требований к производительности, к надёжности, проекты стали сложнее. Проблема — больше в маркетинговой части: ни одного мероприятия, нет возможности нормально встречаться с заказчиками, сильно не разбежишься. Слава Богу, мы не первый день на рынке, нас знают. Но, на мой взгляд, здесь стало сложнее из-за пандемии. Конечно, всегда остаётся онлайн; но есть люди, которые в онлайне хорошо себя чувствуют, а есть те, кто не готов на какие-то взаимоотношения, пока не посмотрит лично, не «потрогает» продукт.

Мне показалось, что многие функции PAM-систем и без того мало кем использовались, а сейчас, в период кризиса, когда нужно было срочно «гасить пожар», стало совсем не до такого рода инноваций.

Д. М.: Совсем не согласен. Например, за последние 3–4 месяца у нас очень много запросов на управление паролями в разных задачах. И люди разными путями приходят к этим вещам. Во-первых, потому, что многие находятся на «удалёнке» и информация об учётных данных так или иначе требует защиты в подобных условиях. Второй тренд — это всевозможные средства автоматизации, то есть DevOps, SecOps. Этим решениям в любом случае нужны автоматизированные методы доступа к парольной информации, и парольные сейфы востребованны. Этого тоже стало много: для того чтобы решать масштабные задачи на современных решениях, люди вынуждены в этих концепциях жить. А это — либо окружения типа Kubernetes и Docker, либо ещё что-то подобное; и тут немедленно появляются вопросы об управлении сервисными учётными записями.

Радует, что уровень внедрения инноваций не стал падать.

Д. М.: Скорее, уровень оборачиваемости инфраструктуры. Как правило, это — не какое-то широкое внедрение. Чаще это — внедрение частной виртуальной инфраструктуры под определённые задачи. Оно может быть крупным, но не в масштабах всего предприятия, а, например, только под сервисную службу, для их внутренних дел. Или в рамках обеспечения процессов управления безопасной разработкой и так далее. Сложно пока оценить, но такие запросы точно есть, они интересны и сложны. Но и не только этот сценарий выступил.

Очень актуальными оказались вопросы в целом связанные с автоматизацией PAM-системы — это то, ради чего мы развиваем наш модуль аналитики. Потому что требования по сценариям реагирования нам достались достаточно многочисленные и «развесистые».

Мы поняли, что надо упаковать это в удобную для работы клиентов «коробочку», которая помогает быстро сформулировать контексты инцидентов для офицеров безопасности.

Последние год-два очень активно говорят о реагировании, о внедрении SOAR-систем, или IRP, как их ещё называют. Приходили ли вам запросы на глубокую интеграцию с такого рода системами?

Д. М.: Честно говоря, чтобы именно автоматически кого-то блокировать, — был один запрос. Но он не относился ни к какой готовой системе такого рода. Он относился к конкретному сценарию: мы увидели странное поведение и нам нужно сделать офицерам безопасности «стоп-кран» на эту учётную запись до того, как она будет отключена в AD, потому что AD занимается другой отдел и они не могут обеспечить быстрое взаимодействие. Поразмыслив, они пришли к выводу, что лучше выстроить внутреннее взаимодействие, чем вступать в конфликт с «айтишниками».

Но технически такая возможность есть?

Д. М.: Технически там — ничего сложного. Мы уже детектируем критически важные накопления инцидентов на каких-то персон, мы уже об этом оповещаем. В ситуации, когда уровень доверия упал ниже указанной планки, мы вполне можем «подёргать» какую-то внешнюю систему и её проинформировать. Но сейчас, по сути, единственную реакцию подобного рода мы делаем путём передачи события во внешний SIEM.

У SOAR логика немного другая: когда мы видим на уровне SIEM-системы чёткие аномалии, фиксируем их, передаём этот инцидент в SOAR, там активируется плейбук по реагированию. В том числе реагирование может быть автоматическим.

Д. М.: Технически, у нас в этой ситуации есть API, который нам позволяет прервать сессию. Если с той стороны попросят сессию прервать — мы её прервём. Если заказчику так удобно, мы можем так сделать. Подобного рода API у нас давно используется для управления сессиями, просто это делается с привлечением живого человека за консолью самой системы. Добавить в эту картину внешнего «решателя» технически несложно.

Меняется ли как-то сам термин «привилегированный пользователь»? Раньше под ним понимался некий «сисадмин», потом стали считать, что под это понятие подходят аудиторы и вообще все аутсорсеры.

Д. М.: Самый популярный в этом сезоне привилегированный пользователь — это оператор 1С (смеётся). Потому что он имеет возможность «накосячить» на всю компанию.

Этот тренд — наши решения применяются там, где есть риск поплатиться большими деньгами — никуда не делся, он стал лишь более отчётливым.

Есть попытки использовать PAM-систему в режиме контроля рабочего времени, интенсивности и так далее. На мой взгляд, это перебор, потому что всё-таки для решения подобных задач есть масса альтернатив, проще внедряемых и дающих не меньше информации. Однако такие пожелания есть. Мы стараемся что-то в этом направлении делать — как часть функциональности, — но не пытаемся сделать из себя «большого брата». Нет интереса заниматься такими вещами.

Были ли экзотические запросы типа «а давайте то, что вы делаете для привилегированных учётных записей, будем использовать и для остальных наших сотрудников»?

Д. М.: Да, это происходит постоянно. Говорят, например: давайте вы вашу систему «натянете» на 80 000 пользователей. Мы спрашиваем: вы понимаете, что объём записей, которые будет генерировать подобная инсталляция, будет, мягко говоря, большим, даже при том, что мы очень экономно это делаем? И эксплуатация этой системы будет сложной и ответственной, поскольку это будет критическая точка отказа для всех 80 000 пользователей. И в этот момент клиент всё-таки задумывается, потому что на самом деле системы для контроля привилегированных пользователей не являются панацеей. Для обычных людей такие системы, как правило, «overkill», то есть слишком много данных собирают. Для обычных пользователей есть миллиард вариантов — от DLP до решений типа Spector 360 или «Стахановец».

Радости от того, что вы запишете каждое движение мышки, не так много, если вы не сможете это контролировать. А в таких объёмах никто не сможет это контролировать, даже искусственный интеллект с ума сойдёт.

В любой компании не так много людей, которые могут серьёзно подвергать бизнес риску, поэтому нет смысла контролировать всех пользователей — это дорого и неоправданно, хотя и возможно технически. Решение рассчитано либо на привилегированных пользователей, либо на вопросы связанные с затратами времени: тот же самый менеджмент паролей делали вручную с малой автоматизацией. В ситуации, когда за день может быть развёрнуто и «снесено» несколько виртуальных машин и на них должны быть развёрнуты и обслужены какие-то сервисы, конечно, нужна автоматизация, и мы для этого хорошо подходим — например, в частных облаках. Но это — опять же инфраструктурная вещь, и она не относится напрямую к функциональности ежедневной активности офисного служащего, это — административные изменения в инфраструктуре. Мы очень стараемся не вмешиваться в такие истории и стараемся переводить это дело в понятные обеим сторонам сценарии работы.

Может получиться, что заказчик стал внедрять PAM-систему и что-то пошло не так. Ему срочно нужна помощь от вендора. Как тут быть? Насколько важно быстро реагировать? И как это происходит?

Д. М.: У нас есть заказчики, с которыми мы работаем так: сидим в чате их инженеров и отслеживаем жалобы. Уровень отношений с некоторыми заказчиками таков, что ещё до того, как они открывают заявку, мы бежим на шлюз и смотрим, в чём там может быть проблема. Такой уровень взаимодействия, при готовности заказчика так работать, мы способны обеспечить, это удобно всем сторонам. У нас — грамотная служба поддержки, это моя гордость, потому что об этом нам говорят сами заказчики: мы быстро реагируем и стараемся помочь. Если нужно обеспечить удалённое, но регулярное присутствие инженера от вендора на площадке, мы эту возможность предоставляем.

У нас доступна поддержка 24×7. Она не очень популярна у заказчиков, потому что довольно дорогостояща, но сейчас у нас есть несколько инженеров в разных часовых поясах, и это позволяет штатно работать в одних регионах, пока другие ещё спят.

И это я говорю только о наших инженерах, есть ещё партнёры.

Если смотреть в будущее — на этот год и на следующий, — есть ли у вас какой-то прогноз по рынку, что будет дальше?

Д. М.: Несомненно, история с «удалёнкой» останется, по многим причинам. При этом я вижу два направления: одни очень довольны, что это станет нормой жизни и бизнеса, другие будут говорить, что им в таком режиме неудобно управлять бизнесом. Мы будем работать с теми, кому наша система нужна, как и раньше, и развивать её функциональность. Мы очень активно будем дружить с разными производителями средств защиты и сервисными системами: увиденное за прошедший сложный год показало, что это — хороший сценарий для того, чтобы вместе работать на площадках. Если мы это делаем заранее, а не в рамках внедрения на конкретной площадке, то все от этого в выгоде. Интеграция становится очень весомым фактором принятия решения о внедрении: «с кем вы умеете дружить?». Смотрят не только на стоимость самой системы, но и на то, насколько беспроблемно она войдёт в существующий у заказчика стек решений. Это — серьёзный тренд, и чем больше разных поводов для «дружбы» мы будем находить, тем будет интереснее.

Мы уже упомянули, что в прошлом году поменялись требования по сертификации. Насколько я помню, действующий сертификат по старым требованиям у вас был. Чего ожидать в ближайшее время?

Д. М.: Мы продлили поддержку до 2023 года, получено подтверждение со стороны ФСТЭК России. У нас есть ещё сертификация модуля анализа и более новой версии шлюза PAM, то есть на этот год у нас запланирована очень интенсивная работа в этом поле. И мы надеемся осенью получить эти сертификаты. Все сертификации — по уровню доверия. Если всё будет хорошо, мы будем двигаться выше, но только после того, как будет результат. И попутно мы стараемся развивать функциональность: на этот год мы запланировали «выкатить» несколько интересных функций, про которые пока говорить не буду. Но в любом случае мы постараемся сделать то, что на рынке пока не представлено, опираясь на концепцию снижения человеческого участия в процессах, автоматизации, контроля — всё то, на чём мы специализируемся как производитель. И, конечно же, будет много разных интеграций, потому что мы рассматриваем наше решение как дружественное для интеграций и хотим в эту сторону активно продвигаться.

Будем следить за анонсами! Благодарим за интервью и желаем успехов.