Дмитрий Стуров, Ренессанс Банк: Будущее систем информационной безопасности – за поведенческим анализом

Дмитрий Стуров, Начальник управления информационной безопасности в «Ренессанс Банке», в рамках круглого стола «Информационная безопасность в финансовом секторе 2024», рассказал порталу Cyber Media об особенностях систем управления доступом, балансе между правами сотрудников в инфраструктуре и информационной безопасностью, а также о развитии систем управления доступом в организациях.

Cyber Media: Какие основные принципы и цели лежат в основе управления правами доступа в вашем банке?

Дмитрий Стуров: В основе процесса управления правами доступа в нашем банке лежит Ролевая модель. Она представляет собой набор бизнес-ролей, локаций, проектных ролей и некоторых других атрибутов, на основе которых вычисляется итоговый набор прав и привилегий автоматически предоставляемых пользователю. Ролевая модель покрывает почти все информационные системы за очень малым исключением. В итоге, прямая заявочная модель задействована по минимуму.

Cyber Media: Какие методы аутентификации и авторизации вы считаете наиболее перспективными и эффективными?

Дмитрий Стуров: Наиболее эффективным методом аутентификации я считаю многофакторную аутентификацию на основе динамической рисковой модели. При ее использовании количество и последовательность факторов выбираются на основе скоринга риска, вычисляемого при попытке входа. Данная схема может комбинироваться с беспарольной аутентификацией, которая упрощает клиентский путь не снижая уровня защищенности приложения.

Cyber Media: Какие технологии и инструменты вы используете для эффективного управления правами доступа?

Дмитрий Стуров: За реализацию процессов Ролевой модели отвечает система класса Identity Manager. Она была внедрена в банке в 2016 году и с тех пор значительно кастомизировалась, как в части интеграции с другими (управляемыми) системами, так и в части оптимизации внутренних процессов.

На данный момент уровень кастомизации системы достаточно глубокий, только лишь строк кода в ней более 15 тысяч, не считая созданных процессов и объектов модели данных.

Cyber Media: Какие внешние изменения, на ваш взгляд, стали драйвером для кастомизации решений класса Identity Manager?

Основными драйверами для внедрения решений класса Identity Manager является высвобождение ресурсов специалистов поддержки, снятие с них нагрузки по выполнению задач предоставления доступа, снижение рисков, связанных с некорректно распределенным доступом в системы, а также сокращение времени предоставления доступа новым сотрудникам.

К внешним изменениям можно отнести резкий рост количества информационных систем, в которых работает среднестатистический сотрудник. Также стоит отметить общий тренд на роботизацию и автоматизацию рутинных задач.

Возросли и требования бизнеса. Если раньше считалось нормальным ждать доступа несколько дней, перепроверять его, иногда перезапрашивать, то сейчас новый сотрудник должен получать все необходимые доступы почти моментально.

Cyber Media: С какими вызовами или сложностями вы сталкиваетесь чаще всего при управлении правами доступа?

Дмитрий Стуров: Главный вызов – сделать систему управления правами удобной и прозрачной для пользователя, максимально снизив количество точек соприкосновения (сотрудник должен работать, а не отвлекаться на получение доступов). При этом необходимо сохранить принципы безопасного распределения прав доступа, в основном принцип минимально необходимых прав. Эти две задачи зачастую разнонаправлены. Но мы стараемся найти компромиссы – реализовать какое-либо из требований при помощи автоматизации, не влияя на пользовательский опыт.

Cyber Media: Какие типовые ошибки совершают компании при разработке политики прав доступа?

Разработка процессов управления доступом – один из хороших моментов выйти на бизнес-подразделения и решить непосредственно их проблемы и задачи. Судя по разговорам на профильных конференциях, таких точек взаимодействия ИБ и бизнеса не так много, и этими отношениями надо дорожить.

Всегда необходимо помнить, что доступы необходимы сотрудникам для выполнения их рабочих обязанностей, а не по личной прихоти. Они должны предоставляться в короткий срок в необходимом объеме. Зачастую от этого зависят бизнес-показатели организации. Строгие, неповоротливые процессы могут здесь только навредить, хотя и о требованиях безопасности забывать не стоит.

Доступы должны быть собраны по принципу минимально необходимых прав с разделением критичных полномочий. Эту сложную и отчасти противоречивую задачу и надо решать создавая процессы управления доступом в организации.

Cyber Media: Одна из систематических болевых точек, связанных с контролем доступа – это привилегированные пользователи, доступ которых сложно ограничивать в силу их должности и рабочих обязанностей. Как вы решаете эту проблему?

Скажу сразу, управление привилегированным доступом имеет мало общего с управлением доступом обычных сотрудников, хотя терминология похожа. Управление привилегированным доступом, помимо непосредственно предоставления самого доступа, имеет в себе подпроцессы, связанные с управлением паролями и управления сессиями. Мы используем специализированное решение, которые контролируют все подключения администраторов к системам, позволяют управлять и даже записывать сессии. Доступ администраторов не укладывается в бизнес-роли, он более атомарен и живёт по прежнему в рамках заявочных моделей с согласованиями. Типизация, конечно, присутствует, но в гораздо меньшей степени чем у рядовых сотрудников.

Cyber Media: Все чаще говорят о системах контроля сотрудников, основанных на поведенческом анализе. На Ваш взгляд, насколько эта технология перспективна и эффективна с точки зрения контроля прав доступа?

Дмитрий Стуров: Я считаю, что за поведенческим анализом будущее систем информационной безопасности. Уже сейчас на рынке есть несколько интересных решений. В скором времени, думаю, появится больше продуктов, которые будут применять поведенческий анализ в своих подсистемах принятия решения. И это будут решения из совершенно различных областей – от низкоуровневых анализаторов трафика до комплексного анализа поведения пользователя в различных системах. Способствовать развитию таких систем будет в том числе развитие алгоритмов ML и других технологий из области искусственного интеллекта.