Андрей Акинин
Соучредитель и генеральный директор Web Control
Выпускник Московского государственного технического университета им. Н. Э. Баумана, сертифицированный консультант Certified SAFe Program Consultant, Certified LeSS Practitioner и Certified Professional OKR Coach.
В начале карьеры Андрей работал техническим директором, руководил ИТ-подразделением холдинга, где занимался разработкой системы корпоративного документооборота. Затем управлял проектами строительства сетей связи федерального уровня в крупном системном интеграторе.
В 2008 году с партнёрами основал компанию «Вэб Контрол» — VAD-дистрибьютора ведущих мировых ИБ-продуктов. Как руководитель компании и предприниматель Андрей занимался развитием продаж, управлением продуктовой линейкой, созданием службы технической поддержки и учебного центра.
В 2017 году принимает решение о создании собственного продукта в компании — системы управления привилегированным доступом sPACE и в 2021 году начинает выводить его на российский рынок.
Андрей часто выступает на конференциях и пишет статьи для журналов по вопросам информационной безопасности и управления разработкой.
Новые времена ставят перед нами новые задачи, и в условиях возросшей зависимости компаний от своих ИТ-структур особую актуальность приобретают вопросы контроля над действиями привилегированных пользователей. Почему это так и что поможет российским заказчикам защитить себя от новых угроз? О суровом, но эффективном подходе «никаких постоянных привилегий» (Zero Standing Privilege, ZSP) нам рассказал визионер отечественного ИБ-рынка Андрей Акинин, генеральный директор компании Web Control.
Сегодня мы будем говорить о продуктах по управлению привилегированным доступом (Privileged Access Management, PAM). Не так давно у нас был эфир на эту тему, Вы в нём тоже участвовали, но, к сожалению, многие вопросы тогда остались нераскрытыми. Надеюсь, сегодня в ходе интервью мы дадим на них ответы.
Около года назад я неожиданно узнал о том, что Web Control анонсировал свою собственную разработку. Помимо прочего у вас есть теперь и свой PAM-продукт. Как появилось решение инвестировать деньги и усилия именно в этот сегмент, несмотря на то что на нём и так уже весьма много продуктов, включая и российские?
А. А.: Действительно, мы долго думали над тем, выводить наш продукт на рынок или нет, потому что он появился очень давно, мы сделали свой PAM ещё в 2017 году. Он у нас появился достаточно органично как дополнение к продуктам иностранного производства, которые мы продавали на российском рынке. Не только продавали, но и продвигали саму идею нового подхода к PAM. И он появился именно как дополнение, потому что существующие продукты не могли решить тех задач, которые стояли перед заказчиками. Он стал некой базовой высокопроизводительной безопасной средой для реализации привилегий. Его название — это аббревиатура.
Кстати, почему он так называется и что это значит?
А. А.: Когда продукт только появился, мы его позиционировали в том числе и для выхода на иностранные рынки. Именно поэтому у него иностранное название — sPACE (Secure Privilege Access Control Environment). Как явствует из названия, это именно среда, в которой реализуется контроль привилегий.
В названии скрыта также и наша концептуальная идея, именно поэтому буква «s» — строчная. Главная часть — PACE. В переводе на русский «pace» символизирует «движение вперёд». Таким образом, sPACE — это решение, которое не ограничивает действия привилегированных пользователей. Мы создали его именно как источник возможностей (enabler), решение, которое позволит реализовать привилегии безопасно и надёжно.
Решение было создано уже давно. Не является ли оно переработкой какого-то зарубежного кода?
А. А.: Конечно, нет. Я не знаю других продуктов на российском рынке, которые были бы написаны с нуля, как наш. Половина из них являются клонами западных, а вторая половина — это развитие средств управления идентификацией (IdM). На рынке нет ни одного специализированного продукта, который был бы предназначен для автоматизации среды привилегированного доступа, причём во главе угла здесь — даже не сам доступ, а реализация привилегий. Хочу акцентировать на этом внимание: мы говорим не про привилегированный доступ, не про идентификацию пользователя, а про обеспечение безопасности тех привилегированных действий, которые исполняют любые пользователи.
В этом решении воплощены наши концепция и подход, которые на шесть лет предвосхитили потребности рынка.
Для отечественного рынка ИБ шесть лет — это вполне большой срок.
А. А.: Мировой рынок также кардинально изменился, и эти изменения начались приблизительно в 2019 году. Тогда в информационном пространстве была ситуация латентного противостояния, которая постепенно переросла в активные боевые действия, а сейчас мы наблюдаем уже полномасштабную кибервойну.
Я как раз вспоминал сегодня о том, что каких-то шесть лет назад никто даже и не обсуждал необходимость и возможность управления правами привилегированных пользователей. Наверное, у топ-менеджеров даже в головах этого не было.
А. А.: Мы начали поднимать эти вопросы весьма давно и на банковских мероприятиях, и на предназначенных для топ-менеджеров по ИБ (CISO). Просто долгое время это считалось излишним. Если посмотреть на последний аналитический обзор компании «РТК-Солар», мы увидим очень интересные цифры.
Только 10 % респондентов заявили о том, что они используют специализированные PAM-решения для управления привилегированным доступом. Ещё 30 % пользуются для этого разными подручными средствами, например IdM, а 40 % управляют привилегиями вручную.
При этом «вишенка на торте» — это те 19 %, которые приняли риски и не делают ничего. По сути, они отдали управление доступом на откуп своим администраторам, считая, что это входит в должностные обязанности последних. Риск признан небольшим и решаемым за счёт штатных средств. Какое-то время так, действительно, было можно.
Однако уже в 2014 году в одном американском обзоре по существующим проблемам безопасности говорилось о том, что 80 % скомпрометированных учётных записей существуют больше года.
Если говорить о соблюдении парольной политики в целом, в любой компании аудиторская проверка всегда обнаружит пароли, которые не менялись уже больше года.
Таким образом, разговоры об этом идут весьма давно, но острой проблемой это не считалось, так как время было мирное. Было некоторое количество злоумышленников, но существенный ущерб нанести они не могли. И самое главное — компании не так сильно зависели от своих ИТ-структур, как сейчас.
Почему решения по контролю привилегий приобрели серьёзную значимость именно сейчас? Связано ли это с общей милитаризацией интернета и увеличением рисков, вызванных ценой инцидента?
А. А.: Назвать какую-то одну-единственную причину трудно. Думаю, здесь сыграл свою роль целый комплекс факторов, и я попробую назвать некоторые из них.
Прежде всего следует сказать о том, что количество ИТ-объектов в инфраструктуре компаний выросло на порядок, а во многих из них — и на порядки. Поверхность атаки приобрела гигантские размеры. Как говорит мой руководитель разработки, любую систему можно сделать стопроцентно безопасной с точки зрения привилегий, но при этом обслуживать её будет практически невозможно.
Если у тебя два-три объекта защиты, их безопасностью ещё можно управлять вручную. Хороший администратор на сто процентов защитит их от взлома при простом соблюдении гигиенических мер предосторожности, выполнении рутинных смен паролей и секретов, а также надлежащем обеспечении процедур для наделения доступом.
Привилегия нужна тогда, когда она необходима для реализации какой-либо бизнес-функции.
Когда же у тебя огромное количество систем, их ручная защита и ручная же реализация всех регламентов обеспечения безопасности становятся просто невозможны. В результате всегда появляются какие-то уязвимости, которыми могут воспользоваться злоумышленники.
Например, забытые учётные записи, неотозванные права и тому подобное?
А. А.: По опросу «РТК-Солара», 60 % компаний сталкивались с проблемами информационной безопасности, связанными с привилегиями. Как вы думаете, какие из них наиболее часто встречаются?
Утечки данных?
А. А.: Нет. Я был поражён, насколько это совпало с моей практикой. Во-первых, админы скачивают запрещённый контент, пользуясь своими привилегиями, и «цепляют» там трояны, вирусы и шифровальщики. Второе — использование излишних привилегий в личных целях. Так где здесь злоумышленник?
Я бы сказал, что это злоупотребление полномочиями.
А. А.: Корень большинства проблем в ИТ-инфраструктуре — злоупотребление полномочиями. Поэтому в концепцию нашего продукта и был положен принцип сегрегации привилегий, то есть отделение полномочий от привилегированных пользователей.
Но ведь существуют IdM-системы. Разве их недостаточно?
А. А.: У этих систем — другая задача. Она заключается не в управлении правами, а в профилировании пользователя. Другими словами, IdM определяет, что можно пользователю, а что нельзя. Это статика.
Как работает IdM-система? Она даёт администратору право доступа к определённым серверам, и там он может делать что хочет. Как это предотвращает злоупотребление привилегиями?
Наверное, никак. Хотя сейчас в современных системах уже есть механизмы аттестации и пересмотра.
А. А.: Какая разница? Это же не штатный процесс, это процесс, который могут делать время от времени. Мы говорим, что IdM должен быть, то есть когда человек пришёл за привилегиями, он должен соответствовать ряду критериев.
Во-первых, он должен быть стопроцентно и гарантированно идентифицирован, причём не с помощью доменной учётной записи. Как известно, 97 процентов успешных проникновений от компании PT были сделаны с использованием атаки на Active Directory, то есть были скомпрометированы учётные записи. Поэтому должна использоваться строгая аутентификация. Она должна быть двухфакторной и машинонезависимой, другими словами, должен использоваться какой-то дополнительный фактор.
Во-вторых, мы должны чётко понимать, какие у человека права и полномочия. Это просто должно быть по определению. Мы должны знать, кто пришёл, кто он такой и какова его область полномочий. После того как мы это узнаем, мы зададим вопросы о том, к какому ресурсу он запрашивает доступ и с какой целью. Таким образом, привилегия должна быть гранулированной.
Например, администратор запрашивает доступ к серверу баз данных. Разве там есть какая-то проблема? Там есть открытая сервисная заявка (тикет)? Что он хочет там делать? Просим его это обосновать. И самый главный вопрос: знает ли владелец ресурса о запросе на доступ к нему?
В идеале, владелец должен это подтвердить.
А. А.: Да, мы говорим сейчас об организационных процессах. Всё это звучит очень просто, но есть ли хоть одна IdM- или PAM-система, которая это делает автоматически в режиме онлайн?
Честно говоря, я о таких не знаю. То, что вы описываете, очень похоже даже не на PAM или IdM, а на классический подход с «нулевым доверием» (Zero Trust Network Access). Очень интересно, что он находит отражение именно на уровне PAM-систем. Думаю, для России это — просто революционный подход.
А. А.: В этом нет ничего нового. Подход к управлению привилегиями претерпел свою эволюцию. Когда создавались PAM-системы, их основной задачей было смягчение или снижение ущерба от различных инцидентов с привилегиями. Соответственно, это были «полицейские» системы, которые стараются как можно скорее устранить проблемы в ИТ-инфраструктуре.
Так было в самом начале, и поэтому раньше всего у нас появились системы контроля привилегированного доступа, записи сессий, а также ротации паролей. Это — три основные функции классического PAM.
Но с временем ИТ-системы становились всё сложнее, у нас появился второй уровень — одноразовый или строго ограниченный по времени доступ к привилегированным функциям (just-in-time). Это был второй шаг на пути к Zero Trust.
Буквально два-три года назад все стали активно обсуждать новый подход, который называется Zero Standing Privilege. Он состоит в том, что сотрудники постоянно имеют нулевые привилегии, вне зависимости от того, какие у них полномочия. Таким образом, привилегии полностью удалены из профиля пользователя.
Другими словами, ни у кого из пользователей по умолчанию нет доступа, но когда им это нужно, они его получают.
А. А.: Совершенно верно. Я познакомился с этим подходом почти 10 лет назад, при внедрении западной системы в одном из крупнейших российских банков. Собственно, sPACE и появился как ответ на потребность в обеспечении Zero Standing Privilege.
В этом банке 12 000 администраторов, и каждый из них работает со своим «кусочком» инфраструктуры. Причём администраторы — это одни люди, а те, кто имеет полномочия наделять доступом, офицеры ИБ, — другие. Зачастую на каком-то сервере «живёт» база данных и владельцем этого сервиса является программист, который с нею работает, а чинят его всё те же администраторы.
В банке, о котором идёт речь, владельцы баз данных были очень против того, чтобы в их владения по разным поводам постоянно вторгались. Поэтому было принято решение наделить администраторов правом доступа к этим целевым системам в целях их обслуживания только в определённые технологические окна. То же самое мы наблюдаем сейчас практически на любой критической инфраструктуре.
Это и есть подход «just-in-time». Мы говорим администратору, что у него есть привилегии в конкретное время. Но когда идут аварийные работы, доступ у него должен быть мгновенным. Создавая свою систему, мы сделали так, чтобы все эти процессы обеспечения безопасности были автоматизированы и чтобы это было максимально удобно для всех вовлечённых сотрудников компании.
Разве бывает так, чтобы было максимально удобно и в то же время максимально безопасно?
А. А.: На самом деле, именно так и должно быть.
Можно предположить, что 12 000 администраторов — это, наверное, или «большой зелёный» банк, или «большой синий». Они готовы к такому подходу. А вот насколько готов рынок, если многие заказчики используют PAM для ведения записей в журналах доступа? Есть ли спрос на то, чтобы Zero Trust Network Access применялся в PAM-решениях?
А. А.: Я вижу потребность. Спрос и потребность — разные вещи.
Например, когда впервые появились айфоны, у пользователей была потребность слушать музыку, но они её решали с помощью классического плеера. Было специализированное решение. Потом оказалось, что айфон это делает эффективнее, потому что у него есть ещё дополнительные функции.
Давайте вернёмся теперь к теме эволюции PAM. Классический PAM — это три функции. Первое — это базовое смягчение (митигация). Следующий шаг — «just-in-time», когда мы наделяем людей привилегиями в определённые технологические окна. И третья функция — это, наконец, Zero Standing Privilege. Кстати, у Gartner недавно по этому поводу вышел обзор, в котором эти три функции соотносятся со смягчением, снижением и предотвращением рисков.
Профилактика всегда более эффективна; львиная доля проникновений связана с компрометацией учётных данных (не обязательно привилегий) и последующих за нею легитимных действий, за которыми уже прячутся различные виды активности. Самый первый шаг — получение прав, а дальше уже идёт эскалация привилегий. Если в компании всё скомпрометировано, её обязательно сломают изнутри.
При правильном подходе практически любая компания изнутри ломается.
Но если цель неподвижна, как статические привилегии, мы облегчаем жизнь злоумышленникам. Если же цель подвижна или «показывается» лишь на какое-то время, жизнь злоумышленников становится сложнее. А если цель появляется на необходимое время реализации привилегии, мы тем самым уменьшаем поверхность атаки. Мы сокращаем её до тех размеров, которые существовали 5 и 10 лет назад.
Это уже радикальный выигрыш в качестве защиты.
А. А.: Не стоит забывать, что это справедливо лишь применительно к малой части злоумышленников, которые действительно нападают. Почему раньше большинство компаний принимали эти риски? Потому что есть принцип массовости, когда ты чувствуешь себя защищённым. Это как быть в толпе. Где-то есть хулиган, и он может залезть ко мне в карман, но вероятность того, что это будет именно мой карман, очень мала.
Нет ли здесь связи с определённым типом ментальности?
А. А.: Я видел то же самое два-три года назад в западных обзорах. Разницы нет. Мы все одинаковы. Здесь важно, что раньше мы находились в условно безопасной среде, где было всего несколько «карманников».
Потом, по мере развития вычислительных средств и даркнета, хулиганов стало гораздо больше, и сейчас уровень развития информационных систем и систем искусственного интеллекта достиг такого уровня, что мы находимся в условиях постоянных боевых действий.
Ситуация поменялась радикально, а люди пока ещё не перестроились.
Если говорить в целом о количестве инцидентов, связанных с компрометацией данных пользователей, то поверхность атаки огромна как внутри самой компании, так и при взаимодействии компаний друг с другом. Большая часть утечек происходит через подрядчиков, поставщиков, партнёров и так далее. Самое главное — все они связаны с компрометацией учётных данных.
Не получится ли так, что вследствие подхода Zero Standing Privilege мы устанем всё это администрировать? Не приведёт ли это к огромной стоимости владения?
А. А.: Естественно, если использовать исторические (legacy) PAM, которыми сейчас пользуются 10 процентов заказчиков, если использовать подручные средства, то реализовать этот подход невозможно. Нужно использовать соответствующие инструменты.
Возвращаясь же к ответу на вопрос о том, есть ли спрос на этот подход, можно ответить, что его нет. Его нет потому, что на рынке пока ещё нет продукта, который может реализовать этот подход в полной мере так, чтобы это не приводило к затруднению бизнеса компании.
Когда мы создавали систему для нашего заказчика, о котором я упомянул выше, одним из основных требований было время на организацию сеанса привилегированного доступа. Требования исчислялись в секундах: сколько конкретно секунд проходит с того момента, когда администратор получил заявку из системы поддержки (helpdesk), до того момента, когда он получил доступ к контрольному интерфейсу соответствующей целевой системы. Подчеркну, что требования именно что исчислялись в секундах. Мы создавали свою систему под эти требования, разработанные для инфраструктуры с сотней тысяч компьютеров.
Следует признать, что трудно создать что-то новое и выходящее за пределы текущих потребностей за свои деньги. Для этого нужно быть немного авантюристом, потому что в этот продукт мы вложили больше миллиона долларов. Для нас это было очень серьёзным вызовом.
В прошлом году государство объявило гранты для отечественных производителей, и мы получили поддержку РФРИТ с целью доработки нашей системы с точки зрения ориентира на будущее, на корпоративных пользователей.
У нас «под капотом» мощное ядро, мощная технология, и сейчас мы выходим на новый уровень и делаем этот интерфейс более удобным, эффективным и более дружественным.
Самое главное — поддержка облачных инфраструктур. Многие спорят, нужен ли PAM в облаке. Он не нужен, если не используется облачная инфраструктура. Если же у тебя она есть, без PAM жить нельзя, обычными профилями уже не обойтись. Сейчас поддержка от РФРИТ позволяет нам делать это гораздо быстрее.
Каковы планы на ближайшее время? Когда можно ждать этих улучшений и новых мажорных версий?
А. А.: Первую фазу доработок мы закончили в марте и уже можем показывать своё решение заказчикам и потенциальным пользователям. Поддержку облачных сервисов и мультиарендность для крупных заказчиков мы рассчитываем реализовать до конца года.
Я хотел уточнить вот ещё что: есть ли у вашего решения те базовые функции, которые приписываются классическим PAM: запись сессии и контроль доступа?
А. А.: Безусловно, более того, это обязательно (must have). Через открытый интерфейс происходит интеграция с IdM, из которого извлекаются пользовательские профили. Мы можем интегрироваться с системами строгой аутентификации, использующими ключевые носители, в том числе и отечественные. У нас уже есть опыт успешной интеграции с компанией «Аладдин Р. Д.», и я в принципе не вижу сложностей в интеграции с любой из отечественных систем идентификации.
У нас реализованы механизмы контроля доступа, а также сокрытия привилегий и их обслуживания. Сюда входят смены паролей и записи сессий. При этом у нас также реализована функция, которой нет больше ни у кого. Она позволяет делегировать предоставление доступа владельцам соответствующих систем. Решение о том, чтобы предоставить или не предоставить доступ к серверу привилегированному пользователю, будь то администратор, аутсорсер или кто-то ещё, принимает сам владелец этого ресурса, и это делается в рамках стандартной рабочей процедуры. От владельца не требуется каких-то дополнительных действий.
Безусловно, мы сейчас говорим про крупные компании. Задачи компаний небольшого уровня вполне решают присутствующие на рынке системы. Они либо вышли из IdM, либо являются классическими PAM, которые в принципе эти вопросы решают. Повторюсь, сейчас я говорю о работе в развитых информационных средах.
При этом мы постарались сделать продукт удобным и для небольших компаний. Он может применяться и как классический PAM, но при этом наша основная задача всё же состоит в том, чтобы не давать хорошим людям делать плохие вещи.
Андрей, большое спасибо за содержательное интервью. Мы наконец-то раскрыли специфику подхода, который заложен внутри вашего продукта sPACE. Я уверен, нашим читателям было очень интересно узнать, как он работает и чем отличается от классических PAM-решений. Желаем Вам и вашей компании дальнейших успехов, а нашим читателям, как всегда, — всего самого безопасного!