Андрей Лаптев, Индид: ITDR становится фундаментом комплексного подхода к Identity Security

Андрей Лаптев, директор продуктового офиса Индид, рассказал порталу Cyber Media, что такое Identity Security, почему многофакторной аутентификации сегодня становится недостаточно для защиты учетных данных, в чем особенность решений класса ITDR и почему они станут необходимостью в ближайшем будущем.

Cyber Media: Что такое Identity Security и как это понятие связано с учетными записями и личными данными?

Андрей Лаптев: Для начала стоит ответить на вопрос, что такое identity (айдентити).
В корпоративной безопасности понятие айдентити включает в себя не только учетные данные, но и профили пользователей, устройства, с которых они заходят в сеть, и некоторый исторический контекст общения с системой. Например, информацию о том, когда пользователь подключился к системе, с каких рабочих станций и что он делал.

Айдентити человека – это различные цифровые профили. Как у сотрудника компании у него есть корпоративные учетные данные и как у частного лица — идентификационные данные. Например, в своей обычной жизни мы все так или иначе взаимодействуем с различными информационными системами: имеем страницы в социальных сетях, электронную почту, аккаунт на Госуслугах и т. д.

Таким образом, identity security (защита айдентити) — это дисциплина, которая призвана обеспечить защиту информационных систем посредством предотвращения кражи учетных данных.

Cyber Media: Большинство систем аутентификации используют пароли, но они уязвимы к брутфорс-атакам и социальной инженерии. Какие методы усиленной аутентификации применяются, чтобы нейтрализовать угрозы и проблемы, связанных с парольной аутентификацией?

Андрей Лаптев: На данный момент существует несколько видов усиленной аутентификации, в том числе используется и строгая аутентификация. К усиленной относятся системы многофакторной аутентификации на базе одноразовых паролей.

В качестве примера строгой аутентификации можно привести решения на базе цифровых сертификатах. В западных источниках такая аутентификация называется certificate-based authentication. При этом появился новый стандарт, предложенный международным альянсом Fast Identity Online (FIDO Alliance) — passwordless authentication или беспарольной аутентификации. Он похож на аутентификацию по сертификатам и включает в себя применение криптографии, но не требует наличия инфраструктуры PKI. В данном случае инфраструктура PKI заменяется ведением реестра открытых ключей пользователей на стороне сервис-провайдера.

Аутентификация на базе цифровых сертификатов сегодня является самым безопасным способом аутентификации, поскольку там используется криптография.

Cyber Media: В чем проблема обычной многофакторной аутентификации и почему ее недостаточно для защиты identity? Как эту проблему решает многофакторная аутентификация по смарт-картам и цифровым сертификатам?

Андрей Лаптев: Как правило, современные системы многофакторной аутентификации реализуются на базе промежуточных компонентов. То есть в процессе взаимодействия пользователей с информационной системой есть компонент, который прерывает стандартный вход в систему по паролю и осуществляет инъекцию дополнительного фактора. Далее происходит верификация дополнительного фактора, и если все хорошо, то процесс проверки подлинности возвращается в стандартное русло. Но здесь есть существенный недостаток: система перестает взаимодействовать с пользователем и отслеживать его действия после прекращения процедуры аутентификации.Таким образом, это дает злоумышленникам определенную «лазейку», при которой они могут себя проявить.

В случае проникновения в систему по другим каналам попытка захвата учетной записи конкретного пользователя становится существенно проще. Пользователь уже прошел аутентификацию, обладает некоторыми привилегиями и атакующим достаточно украсть токен доступа, чтобы применить его для передвижения по инфраструктуре и захвата других учетных записей.

Cyber Media: Решает ли эту проблему аутентификация с использованием смарт-карт и цифровых сертификатов? И какие у нее есть преимущества?

Андрей Лаптев: У систем аутентификации на базе смарт-карт похожий принцип работы, поэтому для защиты identity их тоже недостаточно. Система проводит аутентификацию пользователя по цифровому сертификату (эта процедура более безопасна по сравнению с остальными видами многофакторной аутентификации), но взаимодействие с пользователем точно также прекращается после завершения проверки подлинности.

Преимущества зависят от того, какие сценарии являются базовыми для информационной системы. Если компания в своей работе в основном взаимодействует с системами документооборота, то у пользователя уже есть цифровой сертификат, поэтому его легко использовать также и для входа в систему.

До недавнего времени внедрение систем аутентификации с использованием смарт-карт в корпоративной среде было относительно простым. Нужно было всего лишь развернуть центр сертификации, выдать пользователям смарт-карты и выпустить сертификат. При этом поддержка такого вида аутентификации работает в корпоративной среде из коробки в определенных операционных системах.

Взяв курс на импортозамещение, внедрять системы аутентификации на базе цифровых сертификатов в отечественных ОС стало сложнее по двум причинам: во-первых, еще не все решения поддерживают работу со смарт-картами в отечественных операционных системах. Другая причина – в России пока не так много центров сертификации, которые зарегистрированы в реестре Минцифры и прошли оценку соответствия системе сертификации ФСТЭК.

Cyber Media: Gartner считает, что многие инциденты происходят по причине уязвимых или плохо настроенных систем идентификации и аутентификации. Поэтому принципы identity fabric immunity вместе с решениями ITDR (identity threat detection and response) должны, по оценке аналитиков, предотвратить до 85% атак. Что такое решения класса ITDR и как они работают?

Андрей Лаптев: ITDR (Identity Threat Detection and Response) — это решения, призванные предотвращать атаки на айдентити и, в частности, на учетные данные.

В корпоративных системах учетные данные обычно хранятся в централизованных каталогах у пользователей, к которым относится контроллер домена, или во внутренних базах данных определенных информационных систем.

Если смотреть в целом на инфраструктуру защиты айдентити, то она складывается из нескольких частей: непосредственно защиты самих каталогов или контроллеров домена и защиты айдентити.

В корпоративных информационных системах контроллеры домена часто выступают в роли так называемой «священной коровы»: в них стараются вносить минимум изменений и на сервера, где они работают, добавляют минимум внешних компонентов, к которым также относятся и системы защиты. Поэтому контроллеры домена — самый важный элемент инфраструктуры, но при этом наименее защищенный.

Классы решений ITDR выполняют разные задачи. Одни фокусируются на отслеживании изменений в каталогах. Например, если отслеживать изменения привилегий учетных записей и сопоставлять их с паттернами поведения, можно понять, происходит стандартный легитимный процесс или это действуют злоумышленники. Существуют системы этого же класса, которые работают по другим технологиям, как правило, на ретроспективных данных. Они анализируют логи контроллера домена, логи информационных систем и с некоторой задержкой могут выявить атаку. У этих решений может и не быть инструментов реагирования. В таком случае им приходится взаимодействовать с внешними системами, например, с SIEM, SOAR, чтобы плейбуки отработали и появился какой-то механизм предотвращения.

Принимая во внимание эти аспекты, компания «Индид», как вендор, решила пойти несколько другим путем. Мы разработали собственный продукт ITDR-класса, который позволяет напрямую взаимодействовать с каналом общения пользователя и контроллера домена. В частности, система встраивается в канал и отслеживает весь аутентификационный трафик. Работа происходит на сетевом уровне и дает пользователям ряд определенных преимуществ.

В частности, с помощью Indeed ITDR администраторы могут отслеживать любые попытки использования всех учетных записей: как людей, пользователей системы, так и системные учетные записи, машинные аккаунты, предназначенные для компьютеров, информационных систем. Кроме этого, в системе видны все протоколы аутентификации, которые используются, что дает возможность накапливать информацию о пользователях и учетных данных. Анализируя эти данные, можно строить некоторые статистические модели, которые определяют тренд поведения пользователей. В случае отклонения поведения от тренда можно блокировать взаимодействие пользователей контроллера домена, прекращать его доступ к информационным системам.

Еще одно важное преимущество – возможность выявлять определенные признаки атак на различные протоколы аутентификации: на kerberos, NTLM, LDAP, используя информацию, которая содержится в сетевом обмене между пользователем и контроллером домена. Таким же образом администратор может прекращать взаимодействие между пользователем и контроллером домена в канале, что позволяет практически в режиме онлайн противодействовать атакам на учетные данные.

Indeed ITDR можно отнести к классу превентивных решений.В нем сочетаются функция обнаружения с функцией противодействия. Уже в этом году мы планируем представить наше решение на рынке и заказчикам.

Cyber Media: Кроме ITDR, какие технологии по защите айдентити сегодня наиболее востребованы у ваших заказчиков и почему?

Андрей Лаптев: На текущий момент одно из самой востребованных решений в нашем портфеле — это продукт по управлению привилегированным доступом Indeed Privileged Access Manager (Indeed PAM). Его актуальность с каждым днем только растет, потому что увеличивается количество ИТ-систем, критически важных для любой организации. Вместе с этим растет число пользователей, которые имеют доступ к этим системам, как внутренних – сотрудников компании, так и внешних – контрагентов, подрядчиков, партнеров, клиентов. Так как пользователи ИТ-систем с повышенными правами обладают наиболее широкими привилегиями, то для компаний крайне важно обеспечить максимальную защиту доступа к учетным записям и предоставить удобный инструмент удаленного администрирования.

В свою очередь, Indeed PAM помогает снизить риски несанкционированного доступа и взлома систем злоумышленниками.

Другой актуальный для заказчиков Индид продукт — программный комплекс Indeed Access Manager (Indeed AM) для централизованного управления доступом и многофакторной аутентификации обычных пользователей. Он обеспечивает строгий контроль и единую процедуру проверки подлинности пользователей при доступе к корпоративным информационным системам.

Стоит отметить, что многие заказчики по привычке выбирают для себя продукты по принципу решения конкретных задач. Например, если им нужно реализовать защиту привилегированных учетных записей, они внедряют PAM. Нужно реализовать многофакторную аутентификацию — внедряют AM. Но так как границы периметра корпоративной сети сегодня размываются, достичь максимальной безопасности, защищая только отдельные части айдентити, уже невозможно. Поэтому подход, при котором внедряются отдельные продукты, устаревает и будущее — за комплексным подходом к identity security, где все продукты работают в тесной связке и дополняют друг друга.

Cyber Media: Из чего в идеале должна состоять комплексная защита identity?

Андрей Лаптев: Наверное, фундаментом комплексного подхода должны выступать решения класса ITDR, поскольку их функционал фокусируется именно на айдентити. ITDR будут видеть айдентити во всех информационных системах, отслеживать их изменения, их поведение.

Следующий компонент комплексного подхода — это многофакторная аутентификация. Здесь вендоры могут выбирать разные стратегии защиты. Кто-то в случае атаки на айдентити будет взаимодействовать с системами класса Endpoint Protection (защита конечных точек) просто изолировав endpoint, на котором выявлена уязвимость или атака. Или как мы будет противодействовать атаке, использовав решение многофакторной идентификации. То есть в случае выявления атаки на айдентити повторно направлять запрос этому пользователю для подтверждения его действий.

Если говорить о защите привилегированных учетных записей, то ITDR поможет выявить неизвестные системные или привилегированные учетные записи, ограничить их использование или применять только в рамках разрешенных серверов. Например, можно отслеживать интерактивный вход от имени определенной учетной записи на рабочей станции. Если такое случается, то это явный сигнал, что данная учетная запись скомпрометирована. Соответственно, использование ITDR в комплексе с другими решениями даст максимальный эффект с точки зрения обеспечения безопасности для организации.

Cyber Media: Какими вы видите перспективы развития identity security ближайшие несколько лет в России?

Андрей Лаптев: Актуальность подхода identity security вырастет и сама концепция найдет свое отражение в технической реализации: другие вендоры подключатся к этой идее, и построение информационных систем будет проходить с учетом защиты айдентити.

До бурного роста цифровизации и использования облачных технологий у компаний был четко ограниченный периметр корпоративной сети с полным пониманием того, что находится внутри. Защиту выстраивали в терминах фаервола, то есть где разрешено соединение, а где запрещено. Сейчас взаимодействие пользователя с информационной системой происходит через связь «многие ко многим». Пользователь может находиться со своей рабочей станцией дома, взаимодействовать при этом одновременно в рамках работы как и с корпоративной сетью, так и с облаком. Чтобы управлять доступом к информации, фаерволами здесь оперировать невозможно, потому что и системы между собой взаимодействуют, и пользователь взаимодействует с системами. Гораздо проще оперировать в терминах айдентити: есть ли у этой учетной записи или у конкретного пользователя доступ к той системе или к другой.

Модели построения информационных систем будут подстраиваться под идеологию айдентити, при которой в центре находится пользователь и данные.

Учитывая эти факторы, мы в Индид видим своей миссией способствовать распространению идеи о необходимости обеспечивать identity security. В частности, в прошлом году мы провели первую ежегодную конференцию Айдентити Конф 2024, на которой обсудили различные аспекты и подходы защиты айдентити.

Cyber Media: Почему в России решения класса ITDR еще не представлены на рынке и будет ли развиваться именно это направление у вендоров?

Андрей Лаптев: Тема защита айдентити новая для России. На западе начали говорить о ней всего два-три года назад, а наш рынок она идет с некоторым опозданием. Так как западные решения, в основном, имеют фокус на облако. То есть движок или аналитический сервер располагается в облаке, а сенсоры заказчики могут приносить в свою инфраструктуру или настраивать взаимодействие сенсоров с облачными продуктами.

Как я говорил ранее, в ближайшем будущем на российском рынке будет представлен наш продукт по ITDR. Также можно ожидать появления продуктов этого класса от других вендоров. Возможно, они будут использовать отличную от нашей технологию.
Indeed ITDR в технологическом плане непростое решение. Оно встает в канал между пользователем и контроллером домена и при этом минимально меняет инфраструктуру. Немногие могут такое реализовать. Кроме того, продукты класса Detection Response фокусируются на логах или ретроспективных данных, а наш продукт отслеживает атаки в режиме онлайн.

Cyber Media: Вы сказали, что западные решения ITDR больше обращены на облачные среды. А будут ли такие решения разрабатываться в России?

Андрей Лаптев: События последних лет оказали очень сильное влияние на применение облаков у нас в стране. Многие до сих пор опасаются использовать облачные продукты, не только западные, но и отечественные.

Кроме того, в России есть довольно жесткие регуляторные ограничения на использование облаков, в частности, для обработки персональных данных, для работы с КИИ или с банковской тайной. Если в ближайшее время законодательство в этом направлении не изменится, то можно ожидать бум решений по безопасности для облаков. Но для создания таких продуктов нужны технологии, и построение будет происходить совершенно на других архитектурных принципах, в отличие от классических on-prem решений.