Дмитрий Михеев
Технический директор ООО "АйТи БАСТИОН".
Родился в 1977 г. в Москве.
Окончил социологический факультет МГУ им. Ломоносова, кафедра "Социология организаций".
В сфере ИТ работает с 2001 года.
Обладает сертификатом Certified Information Systems Security Professional (CISSP).
Дмитрий Михеев, технический директор «АйТи БАСТИОН», компании — разработчика СКДПУ НТ, в беседе с Anti-Malware.ru рассказал об особенностях работы их команды в условиях распространения коронавирусной инфекции COVID-19 и поведал, насколько возрос интерес к контролю привилегированных учётных записей (PAM) во время режима самоизоляции граждан.
Эпидемия коронавируса сильно повлияла на нашу жизнь и ускорила внедрение новых информационных технологий. Информационная безопасность тоже переживает определённый подъём интереса к себе — в первую очередь за счёт удалённой работы и потребности в её защите. Насколько это всё повлияло на рынок PAM в России?
Д. М.: За весь рынок говорить сложно, я могу рассказать о том, что наблюдается у нас, поскольку мы внедряем и сопровождаем PAM-решения. Начнём с того, что мы «посчитали и прослезились»: у нас нагрузка на службу поддержки за время самоизоляции выросла примерно на 35% — то есть запросов стало больше. Мы выписали некоторое количество так называемых временных, аварийных лицензий, когда заказчики просили немного больше в связи с тем, что они перевели часть персонала на полностью дистанционный режим работы и просто перестало хватать имеющихся на уже внедрённых площадках. Здесь отработали наши специалисты по продажам — где-то сделали скидки, где-то просто пошли людям навстречу. Факт в том, что такие предложения были.
Если речь идёт об удалённом доступе, то люди, которые занимаются чем-то серьёзным и у которых есть потенциальный риск «визита» регулятора, как правило, вспоминают про PAM. Технология эта — известная, её не нужно продвигать «с нуля».
Когда потребовалось быстро решить проблемы, связанные с удалённым доступом, особенно в случаях с АСУ ТП, заказчики пришли задавать вопросы и рассказывать о своих бедах. Иначе говоря, интерес есть, и, что приятно, есть задачи. Мы старались помочь.
Основной рост — не за счёт новых клиентов, а за счёт того, что существующие захотели больше лицензий?
Д. М.: Я не могу сказать, что совсем не было новых — они были. Просто они не делали такой большой погоды. Мало кто отважится делать настолько сложное внедрение, когда и так проблем хватает. Где-то были инсталляции, которые изначально внедрялись под одного подрядчика, но во время пандемии развились для предоставления доступа собственным сотрудникам, оказавшимся снаружи периметра; таких случаев — гораздо больше.
Чем обусловлен рост спроса на PAM в первую очередь? Безопасностью использования привилегированных учётных записей и привилегированного доступа или желанием повысить контроль за прозрачностью удалённой работы?
Д. М.: Я думаю, что всего по чуть-чуть. Понятно, что PAM — не самая дешёвая «игрушка», чтобы её внедрять для одной задачи; люди решают спектр задач. Контроль за происходящим внутри компании — наверное, основополагающая причина. Речь идёт про процессы, про ответственность, про зону юрисдикции и так далее. Информационная безопасность — один из факторов. По моим личным впечатлениям, она идёт отдельной строкой в части, касающейся вопросов «а есть ли у вас сертификаты?» или «есть ли у вас опыт внедрения в таких ситуациях?». Просто потому, что PAM внедряют в те бизнесы, где люди занимаются серьёзными вещами — например, процессингом, персональными данными или ещё какими-то темами, которые могут дать регулятору повод возмутиться, что предоставляется удалённый доступ туда, куда этого делать нельзя.
Я далёк от мысли, что PAM — это какая-то «серебряная пуля». Как правило, если бизнес решается на такой серьёзный шаг, как открытие удалённого доступа (даже частичного) внутрь инфраструктуры, то это — комплекс мер, комплекс решений, где PAM — лишь одно из нескольких.
Заказчики идут на это просто потому, что надо работать. И это — основной мотив. «Ребята, нам надо работать. Давайте посмотрим, как мы сможем это делать, если будем видеть, чем занимаются администраторы, и не будет ли нам от этого очень страшно», — вот так, наверное, рассуждает заказчик.
Какие отрасли оказались наиболее активны в плане внедрения PAM и почему?
Д. М.: Какая-то подробная статистика по данному вопросу отсутствует по той причине, что она не очень-то складывается. Я бы не выделял некоего лидера, потому что здесь скорее имеет место ровный интерес с разных сторон. Есть и финансовые организации, занимающиеся своими задачами, и околофинансовые, защищающие всевозможные бонусные схемы, есть и заказчики, занимающиеся промышленностью и энергетикой.
Если люди занимаются чем-то серьёзным и привлекают подрядчиков, то мысль о том, что хорошо бы было этих подрядчиков контролировать, приходит им в голову одной из первых. Просто потому, что это — про деньги и про последствия в том случае, если что-то произойдёт. Речь здесь — не про троян, например, а про «бизнесовые вещи»: обязательства по контракту, SLA. Понятно, что где-то там в документах по проекту присутствует часть про безопасность, но далеко не всегда она является основополагающей, и далеко не всегда ей руководствуются при принятии решений.
Если говорить не про клиентов, а о том, по инициативе какого отдела внутри компании PAM принимается в работу, то в целом получается «50 на 50» — ИТ и безопасность примерно поровну. У кого есть задача и бюджет, тот и пытается её решать. Как мне объяснил один заказчик, этим и интересна технология PAM, поскольку в ней понятно, за что платишь: ты видишь, что происходит, и понимаешь, сколько это стоит.
Речь идёт преимущественно о крупных компаниях, которые работают с подрядчиками и у которых есть большой ИТ-отдел и служба безопасности?
Д. М.: Подрядчики — как раз в первую очередь. У нас есть несколько заказчиков, которых ни с какой стороны нельзя назвать крупными компаниями, но они, к примеру, занимаются аналитикой для своих задач, для своих заказчиков и хранят большой объём данных, которые можно отнести к конфиденциальным, персональным и тому подобное. Поскольку собственный штат у них невелик и люди занимаются специфической деятельностью, они безальтернативно обращаются к интеграторам, которые помогают им поддерживать инфраструктуру. Как следствие, они хотят контролировать и понимать, кто к ним приходит, что делает и так далее. Здесь, скорее, функция производна от задачи. PAM не равен по цене звездолёту, эти решения (я говорю сейчас не конкретно про наши, а про класс в целом) вполне можно подобрать практически на любой бюджет.
По техническим требованиям вопрос: что компания должна иметь, чтобы быть готовой к внедрениям такого типа?
Д. М.: В первую очередь, должен быть сотрудник, ответственный за безопасность или за ИТ-сервис, а остальное приложится. Если мы говорим о предоставлении защищённого удалённого доступа, то, естественно, должна быть техническая возможность обеспечить простую (незащищённую) удалённую работу.
В зависимости от условий, в которых мы действуем, наши решения порой внедряются «в чистом поле», где есть просто сеть, какой-то доступ в интернет (не обязательно постоянный) и некоторое количество оборудования, которое обслуживают люди снаружи.
Это может быть что-то очень небольшое, но достаточно ценное для того, чтобы за ним приглядывать.
А с точки зрения управления правами? Всё равно же должна быть какая-то внятная система управления? Я не говорю сейчас даже про Active Directory, но хоть что-то же должно быть?
Д. М.: Систему управления правами иметь приятно, но не обязательно. Почти все решения — за редким исключением — могут работать там, где нет AD, или не подключаясь к нему. Если есть задача, то найти решения, подходящие по бюджету и по техническим возможностям, можно. На рынке их достаточно.
Как закрываются риски компрометации удалённых рабочих станций привилегированных пользователей? Ведь домашняя сеть может быть очень плохо защищена, а поведение пользователя на машине невозможно надёжно контролировать.
Д. М.: Опять же, нет единообразного ответа на этот вопрос, и каждый выкручивается так, как может. Начнём с того, что для «больших ребят» есть рекомендации ФСТЭК, которая выпустила соответствующее письмо о том, как она видит работу в условиях удалённого доступа. А дальше логика не отличается от другой подобной ситуации. Где-то сотрудников, работающих в удалённом режиме, снабжают управляемыми изнутри периметра специализированными рабочими местами — ноутбуками или подготовленными рабочими станциями — с установленными средствами защиты. Да, это дорого, но это — понятный способ минимизировать риски.
Где-то проблема решается иначе. Например, пускают внешних подрядчиков, исполнителей через тот или иной вариант терминального доступа. Это делается для того, чтобы скомпрометированная рабочая станция, подключившись к инфраструктуре, могла нанести наименьший вред. Это — и всевозможные аппаратные «тонкие клиенты», и подключение к различным песочницам (например, терминальная сессия, в которой «зарезана» масса возможностей, и людям предоставляется только браузер), и, конечно, применение PAM-системы, что является одним из эшелонов этого спектра защиты. У нас уже неоднократно были ситуации, когда выходит очередная 0-day уязвимость RDP, мы проверяем её на своём RDP-сервере, и оказывается, что мы не подвержены этой уязвимости из-за нашей специфики реализации.
Таким образом, до некоторой степени PAM-системы могут прикрывать внутреннюю инфраструктуру от вредоносных программ или потенциальных нарушителей.
То есть это — своего рода ещё один шлюз?
Д. М.: По сути, почти все решения PAM так или иначе работают на уровне шлюза или на уровне агента безопасности, третьего не дано. Если это — агент безопасности, то, как правило, он комплектуется дополнительными средствами защиты: антивирусами, EDR и так далее. Если это — шлюз, то он работает с передаваемыми данными и до некоторой степени может защищать целевую инфраструктуру от возможных воздействий.
Надо понимать, что если организовывается узел удалённого доступа, то PAM-система не «выставляется» во внешний мир без защиты. Как правило, есть какие-то средства VPN, межсетевого экранирования, сетевой антивирус, IDS — у кого на что хватает средств и у кого какие задачи. Как я уже говорил, PAM-система — это часть инфраструктуры доступа, часть инфраструктуры безопасности; всё это собирается в более-менее сложную систему организации удалённого доступа и работает в том числе на благо безопасности.
Насколько востребованны и применимы к PAM-системам такие технологии, как двухфакторная аутентификация или единый вход (SSO)?
Д. М.: Это, в принципе, — «прикольные» возможности, и с точки зрения безопасности они дают дополнительное усиление, но, как правило, в большинстве случаев внедрять что-то сложное для всех исполнителей банально неудобно. Если у вас используется двухфакторная аутентификация или есть какой-то токен, который нужно всем раздать, то появляется проблема с логистикой. Или, например, в случае SMS появляются затраты на доставку этих сообщений.
Это — удобные механизмы, и, если они есть, — прекрасно. Но жёстко на них опираться — не факт, что всегда имеет смысл. Может быть, 2FA нужна людям, которые непосредственно работают с критичными точками инфраструктуры, с финансами и так далее, но тем, кто их обслуживает, это нужно далеко не всегда.
Надо понимать, что тот же самый SSO, та же самая «двухфакторка» могут быть востребованны и не в контексте PAM-системы. Часто они приходят сначала на рабочие места, а потом уже распределяются по средствам защиты.
У меня нет никаких возражений, если заказчики обладают возможностями и хотят эти технологии применять (или уже применяют) — почему бы и нет; но является ли это ключевой необходимостью? На мой взгляд, не для всех. Мы всегда боремся за то, чтобы не пересечь грань между удобством и безопасностью. И далеко не всегда внедрение SSO или многофакторной аутентификации облегчает нам эту задачу.
В чём, на ваш взгляд, заключается правильное использование PAM и что в идеальных условиях должно входить в окружающую его экосистему? SSO, 2FA, VPN?
Д. М.: Честно говоря, я бы начал не с SSO. По опыту тех проблем, которые мы наблюдаем и решаем ежедневно, что бы хотелось видеть в идеальной картине мира? Стандарт организации удалённого доступа, на самом деле, давно сложился: VPN на входе и вступление в силу всех остальных средств защиты уже после того, как вы подключились по туннелю к периметру.
Я бы надеялся, что есть какие-то средства централизованной авторизации, которые очень сильно облегчают всем жизнь. Без Active Directory жить можно, но неудобно в сколь-нибудь развитой инфраструктуре. Если с использованием домена можно назначать доступы на основе групп домена, то при его отсутствии настройка и поддержка политик доступа будет целиком на PAM-системе. Она справится, но операторам будет тяжело. Во-вторых, очень хочется, чтобы PAM был включён в общую инфраструктуру безопасности на уровне централизованного журналирования или управления. В такой конфигурации системы PAM приносят больше всего пользы каждый день.
PAM, как я уже говорил, не является «серебряной пулей»: его надо рассматривать в комплексе с прочими решениями — интеграция, централизованный мониторинг, реакция на всевозможные инциденты. Бо́льшая часть проблем, которые мы наблюдаем ежедневно, — это запросы типа «у нас очень нужный человек не смог соединиться по такой-то причине». Поэтому нужно вкладываться в цикл поддержки, чтобы люди могли нормально работать и зарабатывать деньги. Это касается проблем и ИТ, и безопасности, потому что если люди у вас занимаются удалённым доступом к чему-то ценному, то кто-то должен как минимум приглядывать за этим, анализировать их действия и иметь возможность в дальнейшем привлечь к ним внимание.
У нас — настолько сильное внимание к этому аспекту, что мы разработали дополнительный модуль к нашей PAM-системе по более интеллектуальной отчётности, аналитике и поведенческому анализу. Безопасников в принципе не очень много в любой компании, и ресурсы у них очень ограничены; соответственно, если у вас резко возрастает нагрузка на службу «Б», они вынуждены как-то расставлять приоритеты. Понятно, что расстановка приоритетов — задача отдельная, и должна быть какая-то автоматизация, которая им помогает с простыми случаями.
Та же самая история была с DLP-решениями: выявить и контролировать именно тех, кто потенциально опасен. Сейчас, в связи с распространением коронавируса и большим интересом, то же самое приходит в PAM.
То есть основная рекомендация — вкладываться в интеграцию с системами мониторинга и в подключение к единому центру обслуживания?
Д. М.: Две вещи, которые должны стоять стандартно, — это система заявок и система мониторинга. Потому что всё остальное либо так или иначе уже есть, либо очень специфично.
Если мы говорим про бизнес-функцию, то PAM-система в первую очередь предназначена для того, чтобы люди могли работать. А всё то, что мешает, нужно эффективно убирать с пути решения этой задачи.
Прозвучала интересная мысль о добавлении к традиционной функциональности PAM некоего модуля или функции по поведенческому анализу. Эта вещь сейчас становится востребованной? Или это — будущее, куда всё придёт, но пока клиенты не понимают всех преимуществ такого подхода?
Д. М.: Я, опять же, не готов сказать про весь рынок, но могу сказать про наше решение. Интерес к подобному модулю пришёл от заказчиков и от понимания того, что в день может быть несколько тысяч сессий удалённого доступа, некоторые из которых длятся сутками. И если просто сидеть и наблюдать за ними, то потребуется бесконечное число специалистов по безопасности. А если таких специалистов всего два, и один из них в данный момент находится в отпуске, то что делать? Ситуация — абсолютно жизненная. Это означает, что если у вас есть один человек на такую задачу, то у него имеется максимум три часа в день, чтобы что-то проверить, когда он с полной отдачей может разбирать события. Следовательно, нужна нормальная автоматизация: приоритеты, дополнительный анализ, запрос на принятие каких-то несложных решений, ответ в виде «да-нет» — некий экспертный «движок».
Мы знаем: когда вы строите какую-то аналитическую систему, должно быть две кнопки: «сделать хорошо» и «сделать как было». Роль оператора должна сводиться к тому, чтобы вовремя «сделать как было» — исключительно ради этого происходит анализ, потому что мы всё равно работаем с людьми, а люди что-то делают, мы должны понять, что именно они делают, проанализировать и, если нам что-то не нравится, «подать три зелёных свистка», чтобы оператор безопасности решил, беспокоит ли это его или мы пока можем расслабиться. Вот на этом уровне появляется технология поведенческого анализа UBA. Она абсолютно практична, на мой взгляд, она востребованна, потому что если у вас идёт рост удалённого доступа, то у вас нет параллельного роста количества сотрудников, которые это всё обслуживают. Это и есть тот самый «бизнесовый» конфликт, который требует автоматизации.
У СКДПУ этот модуль уже есть?
Д. М.: Да, мы уже его внедряем, работаем с ним. Это — «Модуль поведенческого анализа», и мы с удовольствием про него расскажем, если придёте и посмотрите. Мы его сейчас активно развиваем.
В условиях эпидемии некоторые компании вынуждены второпях настраивать удалённый доступ для определённых сотрудников. С какими ошибками они могут столкнуться?
Д. М.: Ошибок может быть много: всевозможные изъяны конфигурации, неверный выбор инструментов (по функциям, по производительности), дополнительный рост нагрузки на каналы связи. Поэтому мы постарались тем людям, которые к нам обратились, предоставить экспертизу наших сотрудников, чтобы помочь решить эту задачу хорошо: пусть это будет «времянка», но это будет хорошая времянка. Я обратил внимание на то, что как эти люди пришли к нам, точно так же они пришли и к производителям антивирусов и VPN-систем, договорились с ними. И это — нормальная ситуация. Мы пошли на такие действия, коллеги из других компаний тоже предоставили свои решения.
Всем всё понятно. Всем жить на рынке, и хорошее отношение проверяется именно в такие моменты. Обращайтесь к профессионалам, если считаете, что у вас могут быть проблемы. Сходите к вашим любимым поставщикам и поговорите.
Реально ИТ и ИБ требуют внимания, и передать свою голову другому, наверное, сложно: у всех — своя инфраструктура и свои задачи, и их имеет смысл обсуждать с людьми, которые ими постоянно занимаются.
Может ли неправильное, не совсем грамотное внедрение PAM-системы в конечном итоге привести к инциденту? Были ли такие случаи?
Д. М.: У нас таких страшных историй нет. Даже если вы совсем плохо внедрите PAM-систему, то у вас никто никуда не пройдёт, — она просто не заработает. «Если свет выключен, то никакой музыки».
Но на самом деле такая ситуация возможна. Ошибки в настройке политики доступа могут предоставить более широкие полномочия — или наоборот, если пользователь должен иметь легитимный доступ, а он туда не попадает, то для вас это тоже является «бизнесовой» проблемой. Но это — не катастрофа, это — просто проблема, которую нужно отследить и решать.
Неслучайно я говорил чуть ранее о том, что это — вопрос управления. Служба заявок и служба поддержки должны включать в себя работу с PAM. Мониторинг, поддержка, исполнение заявок — ключевые «фичи», с которыми нужно интегрироваться в процессном смысле.
То есть самый плачевный сценарий, который может возникнуть из-за неудачного внедрения PAM, — когда какому-то сотруднику ИТ или отдела безопасности срочно необходимо будет получить доступ, а у него его вдруг не будет?
Д. М.: Да, именно так. Стандартная история о том, как можно выстрелить себе в ногу: оператор PAM-системы сидит на «удалёнке», и именно у него нет доступа снаружи к управлению ею. Вот красота! Такие вещи нужно проверять на уровне внедрения. И главное: вы следите за изменением этих политик, и если что-то сильно начинает меняться, то вы внимательно на это смотрите, поскольку доступ к PAM-системе — это такой же доступ к одному из ключевых компонентов системы безопасности. И если там начинается странная активность, то кто-то должен её предупредить.
Как на изменения ландшафта угроз и рост интереса к PAM реагируют регуляторы? Ранее вы упоминали письмо ФСТЭК России.
Д. М.: ФСТЭК России выпустила письмо с рекомендациями (письмо ФСТЭК России от 20 марта 2020 г. № 240/84/389), и если его почитать «в разных очках», то с одной стороны видно, что уважаемый регулятор осознаёт, что людям нужно работать, и выпустил некий набор рекомендаций, которому как минимум частично можно следовать, а с другой — не все положения из этих рекомендаций технологически выполнить легко или вообще реально.
Мы опять-таки выходим в некую «серую зону» и выполняем из этих рекомендаций те, которые подходят под нашу ситуацию. И это понятно. Жизнь часто бывает сложнее бумаги. Спасибо регулятору за то, что он понимает, что деньги мы делаем не из воздуха и нам нужно работать — в том числе если у нас есть средства автоматизации, персональные данные и другие вещи, в отношении которых регулятор обязан выполнять свои контролирующие функции. Мы, к слову, проанализировали все требования последнего письма ФСТЭК России и поняли, что с помощью наших решений «закрываем» 9 из 14 требований, то есть все, которые по своему направлению относятся к функциональности PAM-системы.
В этом письме речь идёт о рекомендациях или о требованиях?
Д. М.: Традиционно на всех мероприятиях ФСТЭК слышит вопросы «а что же у нас с удалённым доступом?», «можно ли организовать удалённый доступ к критической информационной инфраструктуре или к системе управления обработки персональных данных?» и им подобные. У клиентов, кстати, ответ стандартный: «Удалённого доступа у нас нет. И не будет». Но оказывается, что будет, и ФСТЭК это понимает. Как минимум на тех мероприятиях, на которых я был, ответ регулятора можно сформулировать примерно так: «Да, удалённый доступ возможен, но он должен быть безопасным». А что такое «безопасный», в каждом конкретном случае описывается документами регулятора, подходящими под ситуацию.
Вопрос этот — крайне непростой, он сложен и с точки зрения технической реализации, и с позиций административной проработки, и в отношении возможных последствий. И на него нет идеального ответа: надо разбираться в задаче, в проблеме, искать подходы и договариваться с регулятором.
Есть ли в основных документах, приказах ФСТЭК России упоминания о том, что компаниям при удалённом доступе следует использовать PAM-системы?
Д. М.: Сам термин «PAM» я не встречал. Но в документах разных регуляторов есть требования к контролю доступа, к контролю изменений, к контролю конфигурации, к записи происходящего и тому подобное. И этот спектр задач в некоторой степени или целиком закрывается тем или иным PAM-решением.
PAM-система не является базовой функцией системы безопасности, но соответствующие задачи она решает. Опыт показывает, что регулятор ничего против такого подхода не имеет (если мы прошли соответствующие уровни доверия, лицензирования, сертификации и так далее).
Каких дальнейших шагов стоит ожидать от ФСТЭК России в части наведения порядка с защитой удалённого доступа?
Д. М.: При всём моём уважении к регулятору, на мой взгляд, и так уже написано по этому поводу достаточно. Нам бы освоить то, что было принято за предыдущие годы, поскольку к этим же приказам сейчас приходят дополнения и изменения. И для соответствия им необходимо выполнить большой объём работы на стороне клиентов. Это — без учёта вопросов, связанных с сертификацией решений, членством во всевозможных реестрах и так далее.
В наши дни разрабатывать под информационную безопасность непросто. Но претензий к регулятору у меня нет. Я глубоко уважаю их усилия, поскольку они занимаются своим делом — они разъясняют, они продвигают определённую концепцию, на которой стоят. Конечно, проблемы есть. А где их нет? Я просто надеюсь, что они продолжат свой непростой труд и не будут сильно менять правила игры, потому что, как я уже говорил, те и так менялись в последние годы.
Сейчас у бизнеса во многих направлениях одно желание в отношении госорганов: не менять правила игры. Особенно — в кризис.
Д. М.: Да, поскольку нужно немного выдохнуть, пережить всё, что на нас навалилось. У нас же как у разработчиков сейчас идёт переход с системы сертификации по НДВ (недокументированные возможности. — Прим. ред.) на уровни доверия — и это достаточно непростой процесс, который отнимает время и силы. И примерно так же у всех наших коллег, которые что-то разрабатывают. Новые приказы, связанные со 187-м федеральным законом, тоже подразумевают многочисленные изменения. И параллельно случилась такая незадача, что и экономику встряхнуло, и эпидемия наступила — год не заканчивается, приключений хватает. Я очень надеюсь, что регулятор в мудрости своей даст нам возможность просто работать.
С постепенным снятием карантина ажиотажный спрос на PAM сойдёт на нет? Сколько, на ваш взгляд, процентов заказчиков продолжат его активное использование после снятия самоизоляции?
Д. М.: Я не готов дать однозначный ответ просто потому, что не наблюдаю картину целиком. Если судить по опыту общения с нашими заказчиками (а они, как правило, — люди очень «бизнесовые» и считают риски тщательно и ответственно), то картина здесь получается такая: если кто-то использовал подобного рода системы, они будут их продолжать использовать, развивать в зависимости от наличия задач и их количества. А вот те, кто раньше не использовал, — среди них будет заметный процент прежде не учитывавших подобный риск (что нам придётся всем попрятаться по домам) в своих прогнозах, а сейчас вынужденных его учитывать просто по причине того, что за летом обязательно наступит осень, а с ней придёт очередная волна или какая-то другая бацилла. Это уже случилось, риск «сыграл», а значит, его надо учитывать в плане мероприятий. Я говорю именно про безопасность бизнес-процессов, про то, что называется business continuity planning (планирование непрерывности бизнеса. — Прим. ред.). Это означает, что в определённый момент необходимость в подобного рода системах у них возникнет. Насколько это сразу «выльется» на рынок — я не готов сказать, но в понятных и жёстких цифрах это можно будет посчитать где-то в феврале следующего года, а оценить — по конкурсам, которые мы будем наблюдать до конца года.
Мне кажется, что интерес сохранится, просто он не будет запредельно большим — это моё личное мнение. Люди будут оценивать, что происходило в течение этих двух-трёх месяцев, и понимать: тем, кто заранее организовал хоть какой-то узел доступа (пусть минимальный) и сделал его правильно, развить и расширить его на большее количество людей оказалось заметно быстрее и дешевле, чем запускать что-то с нуля.
Эта разница — и в количестве затрат, и в рисках, которые пришлось учитывать в аварийном режиме — будет такой, что даже если у кого-то не было удалённого доступа, то они его (маленький, аккуратный, хорошо сделанный) постараются завести. И я на это надеюсь, потому что это — наш хлеб.
Тем клиентам, которые в данный момент выбирают PAM-систему, что можно посоветовать? На что следует обратить внимание?
Д. М.: Каких-то специальных советов, кроме приглашения прийти и поговорить к нам, я не дам. Приходите — покажем, что умеем делать мы.
Средний набор технологий, используемых в PAM-системах, наверное, одинаков. Дальше нужно смотреть на задачу, на бюджет и искать подходящий вариант среди того, что вызывает наибольший интерес. На рынке — более одного решения, все они работают в той или иной степени. Идеальных решений нет, их нужно подбирать под свои задачи, под свои мощности и под свои бюджеты.
Всего есть два класса решений: шлюзовые и агентские. У обоих есть характерные для их архитектур «плюсы» и «минусы». Агентские сложнее сопровождать, потому что у вас будет много точек присутствия; они дают большую гранулярность данных, которые вы получите. Агентские решения, как правило, не помогут вам в работе с UNIX-серверами и активным сетевым оборудованием — или помогут хуже, чем шлюзовые. И наоборот: шлюзовые, как правило, «нативно» работают с UNIX- и Windows-системами, но гранулярность данных у них будет меньше, потому что они взаимодействуют только с теми данными, которые есть в сессии; это — основополагающая разница. А дальше уже идут дополнительные возможности: качество записи, объём хранения, сколько требуется ресурсов для того, чтобы система работала, всевозможные интеграции или встроенные средства многофакторной авторизации, управления заявками, отчётности, мониторинга, анализа содержимого и так далее — много разных функций, которые были придуманы не самыми глупыми людьми.
Стоит обратить внимание на то, как решение встраивается в вашу инфраструктуру, насколько оно понятно вашим специалистам (потому что им предстоит его сопровождать и эксплуатировать), насколько хороша поддержка, насколько хороши — хотя бы по документации — возможности по встраиванию в ваш процесс поддержки пользователей, в мониторинг и так далее. На это имеет смысл обращать такое же внимание, как на ежедневные вопросы и задачи.
Некоторое время назад мы делали сравнение PAM-систем и выяснили, что отличия между ними заключаются, например, в отсутствии поддержки определённых протоколов. В некоторых PAM-системах есть функциональность, о которой заказчики даже не подозревают — например, автоматическая смена паролей для встроенных учётных записей. Или я неправ?
Д. М.: Управление паролями встроенных учётных записей, анализ файлов, которые передаются, отказоустойчивость в различных видах и мерах, горизонтальное и вертикальное масштабирование — сложный технологический кусок кода, «железа» и процессов. PAM-системы не просто так называются «системами» — они довольно сложны внутри. И во внедрении они могут быть непростыми, и многое придётся узнать, если вы на эту дорогу впервые выходите.
PAM-системы — тема широкая и интересная. В следующий раз с удовольствием расскажу о самых интересных аспектах нашего опыта по их разработке и внедрению. Нам есть чем поделиться.
Что ж, до встречи! Большое спасибо за интервью! Успехов!