О новых приоритетах информационной безопасности расскажет Фомичева Татьяна Леонидовна, кандидат экономических наук, доцент кафедры математики и анализа данных Финансового университета при Правительстве РФ.

Как, наверное, всем наглядно видно, темп жизни последнее время значительно увеличился. Такие же изменения происходят и в области IT: сокращается срок эксплуатации информационных систем, в первую очередь, из-за их морального устаревания, сама IT-инфраструктура организаций стала преимущественно гибридной и более изменчивой, большим изменениям и движениям подвержены и персонал, и устройства. Поэтому специалистам по информационной безопасности (ИБ) для различения субъектов доступа удобнее стало использовать не IP-адреса, а сущностные понятия, такие, как система, человек, права доступа, т.е. категории айдентити (Identity). Зачастую под понятием «айдентити» понимают исключительно учетные данные конкретного пользователя в системе, но на самом деле, это понятие гораздо шире. Айдентити – это набор признаков, отличающий различные сущности в информационной системе, включающий учетные данные (часто это может быть несколько различных наборов для входа в соответствующие системы), сведения о ролях и разрешениях доступа, о точках подключения и времени работы, паттерны поведения, исторические данные об активности пользователя. Айдентити присутствует не только у людей, но и у аппаратно-программных комплексов. Важно различать «пользователя» - человека, использующего IT-ресурс и «айдентити» - цифровой профиль человека или компьютерной системы в данном ресурсе, отражающий его с ним взаимодействие. В России область рынка ИБ, связанная с защитой айдентити пока еще в стадии становления, но данный процесс уже становится приоритетной задачей служб ИБ, что, несомненно, способствует его развитию.

IT-инфраструктура современных компаний, особенно крупных и диверсифицированных, уже не ограничивается собственной корпоративной сетью. Многие ресурсы, причем зачастую имеющие критическое значение, размещаются в облаке; увеличивается число сотрудников, работающих удаленно, а также внешних специалистов, которым необходим дистанционный доступ к корпоративным данным: контрагенты, клиенты, партнеры и т.п.; активно развивается IT-практика привлечения аутсорсинговых компаний, как для разовых проектов, так и постоянной основе, в том числе и для обеспечения ИБ. При таком размытом периметре, классические методы защиты становятся гораздо менее эффективными, чем все чаще и пользуются злоумышленники, которым проще получить корпоративный доступ кражей айдентити, чем преодолением многоступенчатой традиционной защиты.

Согласно статистическим данным, в 2024 году треть успешных кибератак использовали компрометацию учетных данных, а к 2025 году, оценочный объем компроментации айдентити вырос еще в полтора раза. Распространяется тренд организации атак на крупные компании не на прямую, а через подрядчиков, поставщиков, контрагентов и других подобных более мелких фирм, имеющих менее надежную ИБ, сотрудничающих с основной целью. А уже через украденные у них и, соответственно, скомпрометированные айдентити, осуществляется доступ в корпоративные ресурсы крупной компании, «легально» обходящий все ее защитные построения. Поэтому айдентити - это новый периметр безопасности, который должен быть надежно защищен.

Для противодействия злоумышленникам в данном направлении должен быть внедрен упреждающий комплексный подход: использовать современные передовые средства защиты и процессы управления и контроля айдентити, такие как, управление аутентификацией, разграничение и контроль ролевого доступа, в режиме реального времени отслеживание аномальной активности и угроз, управление доступом.

Рассмотрим процесс создания надежной системы защиты айдентити.

1. Создание и применение регламентов управления идентификацией. Разработка, формализация процедур, которые включают в себя полный жизненный цикл учетных записей: создание, разграничение прав доступа (распределение ролей), обновление, постоянный мониторинг.

2. Применение строгой многофакторной аутентификации. Чаще всего это делается с помощью смарт-карт и токенов, при выдаче пользователям цифровых сертификатов. Для пользователей, которым доступ в систему нужен лишь время от времени, может применяться система одноразовых паролей и push-уведомлений. Наиболее прогрессивным является оценка поведенческой сигнатуры пользователя, когда система не полагается на какой-то один признак, а проверяет их совокупность, например: скорость и характер набора текста, траекторию движения мыши, привычки в отношении приложений, временные и геолокационные данные и др. Управление учетными записями, правами доступа и контроль корректности доступа в небольших организациях может осуществляться в ручном режиме, но в крупных корпорациях с большим количеством персонала, информационных систем, бизнес-процессов, клиентов, контрагентов, партнеров это возможно только с помощью автоматизированной информационной системы, берущей на себя все эти функции, контролирующей их и обеспечивающую нужную степень защиты.

3. Внедрение комплексных решений класса ITDR (Identity Threat Detection and Response – обнаружение угроз идентичности и ответ), которые в режиме реального времени проводят мониторинг активности айдентити в системе, обращая внимание на события, выделяющиеся какими-либо параметрами из обычных, что может быть признаком подготовки или уже даже проведения атаки. Если выявляется аномальное поведение, конкретный пользователь блокируется и производится разбор инцидента.

4. Защита корпоративных секретов и привилегированных учетных записей. Одним из ключевых принципов построения современных систем ИБ является принцип «zero tolerance» («нулевого доверия»), когда считается, что любой доступ в систему может быть уже скомпрометирован. Поэтому даже для vip-пользователей с расширенными правами доступа исключена возможность доступа и действий, обходящих средства защиты. В частности, все их действия в системе могут фиксироваться, записываться и храниться в безопасном месте.

5. Система ИБ должна быть комплексной. Нельзя чрезмерно развивать какие-то отдельные системы в ущерб остальным. Так и забота о безопасности айдентити, являясь приоритетом, должна дополняться другими системами. Причем все они должны работать согласованно, бесшовно обеспечивая корпоративную информзащиту.

Грамотное построение защиты айдентити предоставляет как компании, так и пользователям целый ряд преимуществ, зачастую упрощая общение с компьютерными корпоративными системами и делая их более безопасным.

1. Безопасность облачного перехода. Большое число корпоративных услуг в настоящее время завязаны на облачные сервисы, но, зачастую, доступ к ним может иметь более слабую защиту, чем к внутренним корпоративным ресурсам. Если же организация применяет единую систему защиты айдентити ко всем видам своих ресурсов, это снижает риск компрометации данных и незаконного проникновения.

2. Снижение нагрузки на службу ИБ, управляющую учетными записями – назначение и удаление соответствующих допусков при приеме на работу, движении сотрудника в организации, увольнении система производит автоматически.

3. Повышение удобства работы для сотрудников. Пользователи при пользовании корпоративными сервисами не входят в каждый из них отдельно своей учетной записью, а пользуются единым входом в систему. Система мониторинга будет обращаться к сотруднику за проверкой и подтверждением его действий только в случае каких-то аномалий или работы с защищенной информацией. Упрощается удаленный доступ в систему, как для сотрудников, так и для доверенных внешних пользователей. Правда, уровень проверок и глубина доступа может отличаться от входа в систему на рабочем месте.

4. Снижение регуляторных рисков. Централизованная система защиты айдентити гораздо лучше отвечает требованиям законодателей и регуляторов в отношении защиты персональных данных.

Важным моментом относительно систем защиты айдентити является импортозамещение. Да, первоначальный этап адаптации пройден, но подавляющее большинство отечественных решений узкоспециализированы и для встраивания их в общую систему ИБ требуются интеграционные доработки. Отсутствуют полноценные российские экосистемные решения. Поэтому для качественного и безопасного управления доступом, обеспечивающего необходимый уровень защиты айдентити необходимо повышать зрелость создаваемых в России продуктов, активно используя современные подходы.