Интервью с Максимом Прокоповым, руководителем направления ИБ «Акстел-Безопасность»

Максим Прокопов: По итогам наших испытаний мы рекомендуем только одно PAM-решение

Максим Прокопов: По итогам наших испытаний мы рекомендуем только одно PAM-решение

Максим Прокопов

Руководитель направления информационной безопасности в ООО «Акстел-Безопасность» (бренд Axxtel), г. Новосибирск

Образование

Высшее. В 2008 г. окончил Новосибирский государственный технический университет по специальности «Комплексное обеспечение информационной безопасности автоматизированных систем».

Карьера

В настоящее время — руководитель направления ИБ в компании «Axxtel», соучредитель компании. Также является соучредителем учебного центра «Сибирская академия информационной безопасности», автором ИТ-решения HoneyCorn.

Член технического комитета № 122 «Стандарты финансовых операций» при ЦБ РФ.

Имеет более 40 сертификатов по информационной безопасности, более 7 лет преподавательского стажа в области ИБ.

...

Редакция Anti-Malware.ru побеседовала о PAM-системах, особенностях их выбора, а также о надёжности, защищённости и сценариях обхода этих систем с Максимом Прокоповым, руководителем направления ИБ «Акстел-Безопасность» (бренд Axxtel), и Константином Родиным, руководителем направления по развитию продуктов компании «АйТи Бастион».

Ваша компания специализируется на проведении киберучений. Это весьма широкое понятие. Какие именно киберучения вы проводите и какова их цель?

Максим Прокопов: Да, наша компания специализируется на подобного рода технических испытаниях (мы называем их «киберучениями») средств защиты информации и SOC, с которыми мы работаем. Будучи системным интегратором в области информационной безопасности, считаем: у нас должна быть стопроцентная уверенность в том, что своим заказчикам мы предлагаем самое лучшее — лучшие решения, которые надёжны, безопасны, отказоустойчивы.

Конкретные направления, по которым мы проводим киберучения, — это безопасность учётных записей, проверка трендовых уязвимостей, атаки на внутренний периметр, пентест, нарушение корпоративных политик, атаки на периметр, социотехническая инженерия и проверка настроек средств защиты информации.

Отмечу отдельно то, что конкретно мы делаем: имитация шифровальщика, анализ защищённости PAM, социотехника через мессенджеры, горизонтальное продвижение, L2-атаки, работа по сценариям, оценка эффективности конкретных СЗИ, стресс-тестирование иностранного ПО, имитация DDoS.

Насколько я понимаю, речь идёт о типовых сценариях. Но особняком тут стоит обход систем защиты. Как это происходит на практике?

М. П.: Мы проводим как типовые технические испытания, так и проектные. Всё зависит от конкретных задач. Сначала определяем сценарий и работаем по нему: проводим имитацию кибератак по чек-листам. После этого формируем подробный отчёт и даём практические рекомендации по испытуемым продуктам.

К типовым киберучениям относятся фишинговые рассылки, обход системы защиты почты, проверка форм аутентификации и безопасность учётных записей.

К проектным киберучениям относятся обход PAM, оценка эффективности SOC, стресс-тестирование и L2-атаки.

Для чего нужно обходить PAM-системы? 

М. П.: PAM-системы закрывают собой критическую инфраструктуру — контролем доступа или полным разрывом. Это приоритетные и востребованные задачи для любого бизнеса, в том числе и для наших заказчиков.

Однако, если у злоумышленника появляется возможность получить такой прямой доступ к внутренним корпоративным системам, PAM своей задачи уже не решает. Следовательно, ресурсы на внедрение были потрачены зря. Надо работать на опережение и, конечно, комплексно.

Константин Родин: PAM-решения, конечно, не нужно обходить в штатной ситуации. Но бывает, что в целях повышения надёжности общей системы, к примеру для минимизации рисков отказа единой точки входа и для оперативного подключения к системам в случае чрезвычайных ситуаций, оставляют прямую связность между пользователем и целевой ИБ-платформой. Это регламентированный прямой доступ, и нарушитель может им воспользоваться при определённых условиях. Другим сценарием является компрометация данных пользователя и / или нарушение конфигурирования сети. Обход системы — это не норма, но потенциальный вектор атаки. В обоих случаях нарушитель сможет получить то, что хочет. Именно такие сценарии рассматриваются в данном контексте.

Предположим, PAM-систему обошли. Чем это грозит?

М. П.: Это чревато прямым и неконтролируемым доступом к «чувствительным» внутренним данным, критическим (защищаемым) сервисам. По сути, такие данные оказываются в руках киберпреступников и те могут с ними делать всё что угодно: продавать, использовать в противоправных целях, шантажировать ими, требуя выкуп.

К. Р.: Грозит отсутствием доказательной базы, которую собирает PAM, а также обходом механизмов предотвращения нелегитимного доступа. То есть фактически функции, для которых покупается PAM, становятся неработоспособными.

А есть ли примеры того, как можно обойти PAM-системы?

М. П.: Мы недавно описывали их по итогам испытаний решения СКДПУ НТ, платформы контроля привилегированного доступа от компании «АйТи Бастион». Она, к слову, успешно выдержала все наши имитируемые хакерские атаки.

Например, тогда в ходе испытаний наши эксперты выявили, что в 28 % случаев тестируемые продукты содержали внутренние архитектурные неточности, которые способствовали обходу систем защиты. В технической настройке 22 % решений были допущены ошибки. В 14 % сценариев РАМ-продукт или операционная система, на базе которой он был внедрён, содержали уязвимости для простейших кибератак. Развёртывание основного решения было спроектировано с нарушениями в 36 % ситуаций.

Константин Родин, руководитель направления по развитию продуктов компании «АйТи Бастион»

Константин Родин

Руководитель направления по развитию продуктов компании «АйТи Бастион», г. Москва

Образование

Высшее. В 2008 году окончил Московский государственный технический университет им. Н. Э. Баумана, факультет «Машиностроительные технологии». Имеет диплом о профессиональной переподготовке по направлению «Информационная безопасность».

Карьера

В сфере ИТ работает с 2002 года, в сфере ИБ — с 2018 года. Участвовал в различных проектах в области ИТ-аутсорсинга, разработки ПО и информационной безопасности. Участвует в профильных мероприятиях, круглых столах и образовательных проектах. Является автором статей на темы ИБ и ИТ для профильных и отраслевых изданий.

Насколько часто эта проблема встречается в вашей практике?

М. П.: Эта проблема очень актуальна. Зачастую решения внедряются с неточностями и ошибками, поэтому весь этот процесс нуждается в доработке, дальнейшей поддержке, так как он «живой». И бизнесу надо понимать, что обращаться можно только к специалистам, экспертам.

В чём причины этой ситуации? Плохое внедрение или архитектурные недостатки PAM-систем?

М. П.: Причины могут быть разными. Провели непроработанное внедрение, не продумали заранее и точно архитектуру. Некоторые РАМ-системы могут сами иметь недостатки, а сопутствующее прикладное ПО — существенные уязвимости.

Нужно всё грамотно анализировать, тестировать, постоянно мониторить. Не отпускать процесс, а постоянно держать руку на пульсе.

Какие PAM-системы архитектурно более устойчивы к обходу?

М. П.: По итогам наших технических испытаний и «проверок на прочность» мы рекомендуем СКДПУ НТ от компании «АйТи Бастион». Оно действительно выдержало абсолютно все наши «нападения», устояло во всех неблагоприятных сценариях.

СКДПУ НТ обладает всей необходимой функциональностью для решения проектных задач и демонстрирует эффективность в «боевых» условиях, максимально приближенных к реальным. Другие отсмотренные нами системы не решали всех поставленных задач, создавая мнимое чувство безопасности.

Понимают ли заказчики, что их PAM-системы, по сути, «дырявые»?

М. П.: За редким исключением — да, но таких компаний мало. На практике обычно нужно подробно рассказывать и наглядно демонстрировать, чтобы бизнес понял, что уязвим с точки зрения информационной безопасности, и сделал выбор в сторону более надёжных продуктов.

К. Р.: PAM-система, как и любое средство защиты, требует правильной настройки и эксплуатации. Но стоит признать, что некоторые PAM с точки зрения архитектуры имеют слабые стороны, которые позволяют в той или иной мере обойти механизмы доступа.

Насколько важна в этом контексте техническая поддержка для PAM и какие тут возникают нюансы?

М. П.: Техническая поддержка — это больше о работоспособности продукта и предоставлении обновлений (ПО, в частности). Это тоже важно, но скорее косвенно. Важно, как я уже отметил выше, вести процесс организации и развёртывания РАМ-системы в ИТ-контуре на всём цикле, совершенствовать его.

К. Р.: Техническая поддержка — это не только ответы на вопросы по эксплуатации, хотя и они, безусловно, важны, потому что именно вендор обладает максимальным уровнем компетенций по эксплуатации и практическому внедрению. Но также это доступ к обновлениям системы, её новым функциям и возможностям.

Как в связи с этим меняется спрос на такие системы?

М. П.: Этот вопрос нами не изучен. Как нам кажется, это не влияет на спрос.

К. Р.: Меняется не сам спрос. Меняется отношение к конкретным системам и подходам к их эксплуатации. Кто готов к рискам, выбирает менее надёжные продукты, в том числе за счёт их стоимости.

Интересным выглядит использование PAM-системы в качестве источника данных для работы SOC. Как должна правильно настраиваться PAM-система в этом случае, паролями?

К. Р.: Большинство современных систем позволяют маскировать пароли, чтобы они не попадали в открытый доступ, хотя и тут есть свои сложности. Но действительно сами PAM-решения — это богатый и весьма полезный набор данных для SOC-систем, так как они могут указать на переход злоумышленника на новый уровень прав и доступ к критически важным системам.

Что ожидает рынок PAM дальше? Каков ваш прогноз?

М. П.: Мы уверены, что рынок PAM-систем будет только расти. Уже сейчас появляются новые схемы их внедрения и новые задачи от бизнеса. Заказчики во всё большей степени осознают необходимость подобных решений, ведь те максимально закрывают их потребности по информационной безопасности и сохранности критически важных данных.

К. Р.: Уже выстраивается вектор перехода от контроля «всего и вся» к точечному контролю определённых протоколов, по улучшению систем аналитики и поведенческого анализа. Плюс начинает размываться грань между привилегированными и обычными пользователями. Всё больше запросов на контроль общего числа удалённых пользователей, которые работают вне контура компании.

Максим, Константин, большое спасибо за интересную беседу. Наша редакция желает вам успехов в работе!