Денис Ковалёв: Контроль технологических учётных данных необходим для кибербезопасности компании

От действий киберпреступников не застрахованы ни крупный, ни средний, ни малый бизнес. В 2023 году объём утечек данных российских компаний увеличился на 33 % по сравнению с прошлым годом. Также выросла критическая значимость последствий подобных утечек. О таких ситуациях на российском рынке ИТ, о способах борьбы с ними и мерах по их недопущению нам рассказал Денис Ковалёв, директор направления ИБ Лиги цифровой экономики.

Что чаще всего становится причиной кибератак?

Д. К.: Статистика и наш практический опыт показывают, что одна из главных причин кибератак — кража учётных данных. Так,Verizon сообщала, что в 2022 году почти 50 % утечек произошли при таких обстоятельствах. Отдельно хочется отметить, что кража не всегда означает взлом внутренних систем компании. В некоторых случаях злоумышленники даже не прилагают усилий: разработчики могут оставить парольную информацию в коде, так что киберпреступникам достаточно найти и использовать её для своих целей. Под секретами я имею в виду пароли, SSH-ключи, API-токены, сертификаты и прочее — всё, что открывает доступ ко внутренним ресурсам компании.

Почему секреты могут оказаться в коде и попасть в открытый доступ? 

Д. К.: Сейчас почти вся разработка ПО ведётся с применением сервисных и микросервисных архитектур. Каждый блок операций при таком подходе контролирует отдельный самостоятельный сервис. Многочисленные сервисы постоянно взаимодействуют между собой, используя для аутентификации различные секреты. Дополнительно любому приложению требуются секреты для доступа к объектам инфраструктуры или компонентам интегрируемых приложений. Таких секретов даже в рамках одного ПО может быть весьма много. Их количество увеличивается за счёт наличия различных сред для разработки, тестирования и промышленной эксплуатации. Все эти технологические учётные данные нужно где-то хранить. Зачастую разработчики сохраняют их в конфигурационных файлах приложения или, что ещё хуже, оставляют в коде. 

Как избежать ошибок в хранении данных? 

Д. К.: В первую очередь оговорюсь, что нет никакой «волшебной кнопки», нажатием которой можно навсегда защититься от кражи конфиденциальных данных.

В качестве ориентира рекомендую использовать требования ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер». В нём описаны требования, которые помогут обеспечить информационную безопасность и организовать управление секретами на высоком уровне.

ГОСТ обязывает финансовые организации в полном объёме управлять технологическими секретами, контролировать и ротировать их. Несмотря на то что стандарт ориентирован на финансовые организации, его соблюдение будет полезно и компаниям из других отраслей. Главный результат соблюдения стандарта — заметное снижение рисков компрометации и утечки данных. 

С чего начать организацию информационной защиты? 

Д. К.: Первое, что необходимо сделать, — провести аудит информационных систем, который поможет определить достигнутый уровень защищённости данных в компании. Если ресурсы позволяют — например, в компании работает собственный отдел кибербезопасности, — можно организовать аудит самостоятельно. Если подобного ресурса нет, можно пригласить специализированную организацию — экспертный взгляд со стороны будет полезен.

Аудит покажет уязвимые области. На следующем этапе нужно проанализировать их и понять, какие риски они несут. Именно с устранения наиболее критически значимых рисков нужно начинать повышение информационной безопасности в компании.

Некоторые общие рекомендации можно дать и без аудита, на основе статистики и профессионального опыта.

Одна из важнейших составляющих информационной безопасности компании — контроль технологических учётных данных. Если такие секреты свободно распространяются, хранятся без шифрования и защиты, не обновляются, утечка данных будет вопросом времени.

Эффективный способ контроля — исключить доступ сотрудников к такой конфиденциальной информации. Это можно сделать с помощью систем управления секретами. 

Что такое системы управления секретами и какую пользу они приносят?

Д. К.: Решения для централизованного управления секретами предотвращают утечки конфиденциальной информации, а вместе с ними — финансовые и репутационные риски. Такие системы позволят отказаться от публикации секретов в коде или незащищённых хранилищах, а значит — снизить угрозу их кражи.

К сожалению, в России пока мало подобных продуктов. Если говорить о промышленном (enterprise) сегменте, то выбор становится совсем скудным. Именно поэтому в своё время мы решили закрыть этот пробел и выпустили продукт «Центр управления пользователями» (ЦУП), в который входит «Модуль управления секретами». Этот модуль по своим функциям полностью закрывает потребности российского рынка и требования регуляторов в различных отраслях экономики и промышленности нашей страны. Более того, возможности модуля совершенно не уступают зарубежным аналогам, таким как всеми признанный Vault от компании HashiCorp, а в некоторых моментах даже превосходят их.

Я правильно понимаю, что ваш продукт зарегистрирован в реестре российского ПО?

Д. К.: Да, всё верно, продукт входит в реестр. Более того, это первая система централизованного управления секретами в реестре Минцифры. Зарегистрирована под № 5757 от 20.09.2019.

Что даст бизнесу внедрение подобного решения?

Д. К.: Прежде всего, оно значительно повысит безопасность и защищённость ИТ-инфраструктуры компании, при этом стоимость разработки будет снижена за счёт автоматизации процессов управления секретами.

ЦУП 2.0 имеет ряд преимуществ для заказчиков. Его использование не ограничивается только хранением секретов. Во-первых, с его помощью можно выпускать и подписывать сертификаты — например, SSH-сертификаты для доступа на объекты инфраструктуры, которые будут действительны только на время проведения регламентных работ на объектах. При этом возможна централизованная автоматизированная смена сертификатов. Во-вторых, продукт позволяет организовать процесс доставки кода CI / CD с использованием динамических учётных данных и с полным исключением доступа к ним сотрудников эксплуатации. В-третьих, ЦУП 2.0 способен обеспечить межсервисное взаимодействие внутри приложения с использованием динамических учётных данных. Кроме того, клиенты из сферы ретейла смогут организовать через ЦУП управление секретами для кассового программного обеспечения.

Бизнес в этом случае получает контроль за использованием доступов, что значительно облегчит проведение аудитов и расследований. Будет налажена своевременная ротация секретов компании.

Отличное масштабирование, возможность построить географически распределённое отказоустойчивое решение, разнообразная и постоянно пополняемая система плагинов позволяют использовать систему в промышленных масштабах, в сложных высоконагруженных инфраструктурах.

Какие ещё продукты и услуги разрабатывает ваша команда?

Д. К.: На мой взгляд, одной из самых перспективных является «Система управления доступом», продукт IAM-класса. Она позволит выполнять не только идентификацию и аутентификацию пользователей различными способами, но ещё и авторизацию.

Мы сфокусировали усилия на проектировании гибкого и удобного механизма настройки ролевой модели, который позволит выдавать пользователям права в соответствии с потребностями тех информационных систем, с которыми наше решение будет интегрировано.

Необходимо отметить широкие возможности интеграции. Система создаётся с использованием подхода безопасной разработки программного обеспечения. В ближайшем будущем планируем пройти сертификацию на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России. 

Спасибо за беседу. Желаем успехов!