Максим Михалев

Максим Михалев:
Управление правами доступа пользователей — все еще актуальная задача для корпораций

Аналитики InfoWatch утверждают, что рост числа утечек конфиденциальной информации за первые шесть месяцев 2016 г. составил 16%. О текущей ситуации на рынке средств информационной безопасности, специфике различных моделей управления правами доступа и о том, почему компания занялась разработкой собственного решения в этом сегменте, CNews рассказал Максим Михалев, директор по развитию бизнеса CUSTIS.

CNews: Как чувствует себя российский рынок средств информационной безопасности? Верно ли, что спрос на отечественные продукты и решения в последние два года растет из-за санкций и курса валют?

Максим Михалев: Весь спектр технологий, относящихся к информационной безопасности, для большинства компаний является частью инфраструктуры. На российском рынке активный рост инвестиций в инфраструктуру закончился в 2013 году, после чего основные расходы в данной области были связаны с эксплуатацией. Кроме того, если посмотреть на отчеты аналитиков, то существенную часть рынка сейчас занимают антивирусы и средства межсетевой защиты, где традиционно работает модель возобновляемой подписки. Однако и здесь существенного роста рынка не произошло, так как все западные вендоры проводят политику плавного повышения цен в рублях. Остальные сегменты показывают отрицательную динамику.

CNews: Какие направления отечественных разработок в области информационной безопасности вы назвали бы успешными, а в каких российским заказчикам еще долго придется обращаться к западным ИТ-решениям?

Максим Михалев: Безусловно, тренд импортозамещения, а также повышение стоимости вендорских систем подталкивают бизнес обратить внимание на отечественные разработки. Традиционно сильными здесь остаются антивирусные системы, Web application firewall, средства защиты от DDoS–атак. Они развивались российскими разработчиками долгое время и, как правило, имеют все сертификаты, предписанные законодательством.

К слабым сторонам отечественного рынка информационной безопасности, помимо некоторого общего технологического отставания от западных коллег, можно отнести недостаточную проработку сегмента, связанного с новыми трендами и технологиями: социальной инженерией, организованной киберпреступностью, мобильными технологиями и интернетом вещей. Кроме того, пока практически невозможно представить Antifraud- и SIEM- системы, а также высокопроизводительные системы обнаружения и предотвращения вторжений без применения западных технологических активов.

Надо сказать, что российские поставщики решений по информационной безопасности сталкиваются со сложностями при проведении сертификации продукции, необходимость которой закреплена законодательно. Поэтому молодые стартапы, занимающиеся инновационными проектами, часто не выдерживают конкуренции с «тяжеловесами» рынка или ориентируются на западных потребителей, тем самым снижая потенциал быстрого замещения импортных решений нашими разработками.

Максим Михалев: Преимущество CUSTIS AMS — применение гибридного похода к управлению правами доступа

CNews: Вы недавно вышли на рынок информационной безопасности. Почему было принято такое решение и какую роль в стратегии развития компании играет новое направление?

Максим Михалев: Наша компания занимается проектированием и созданием решений, помогающих развитию бизнеса клиентов. Масштаб и сложность разрабатываемых нами систем таковы, что управление правами доступа к объектам системы превращается в сложную самостоятельную задачу. Два года назад мы поняли, что возможностей стандартных инструментов, которые широко представлены на рынке, нам не хватает, и создали собственное решение — CUSTIS Access Management Solution (CUSTIS AMS), позволяющее централизованно управлять правами доступа в разнородном ИТ-ландшафте.

В основе решения лежит гибридный подход, использующий возможности одновременно атрибутной и ролевой моделей доступа. Это позволяет управлять правами пользователей во всех ИТ-системах компании из одной точки, формулируя правила доступа в понятных всем пользователям терминах бизнес-языка в виде обычных логических выражений («если — то», «и (или)»). Вместо регулярного добавления прав пользователям или лишения их доступа департамент информационной безопасности компании один раз формирует политику управления правами в виде системы правил, не зависящих от конкретных ролей и привилегий. Все остальное CUSTIS AМS делает самостоятельно в режиме реального времени.

Для нашей компании создание подобного решения не означает изменений в ее стратегии. Оно является логичным развитием нашей услуги: само решение перед внедрением требует серьезного объема системного проектирования политик безопасности, а будучи внедренным дает бизнесу инструмент управления бизнес-приложениями другой мощности.

CNews: С какими угрозами информационной безопасности вы сталкиваетесь при реализации проектов?

Максим Михалев: Основные риски, с которыми мы чаще всего сталкиваемся в проектах, — это неправомерный доступ пользователей к объектам системы. В большинстве случаев это происходит не из-за злого умысла сотрудника, а из-за некорректно выданных ему прав.

В такой ситуации часто оказываются банковские операционисты. На таких позициях, как правило, высокий уровень текучки персонала. При этом, в силу специфики деятельности операционист имеет доступ к важным финансовым данным. При заведении учетной записи для нового операциониста права для него чаще всего копируются с учетной записи уже работающего сотрудника. В этот момент могут выдаться права, которые старому сотруднику были выданы ситуативно, например, если он какое-то время замещал руководителя. В результате новый сотрудник ошибочно получает доступ к данным, который не должен был получить.

Другой типичный случай — регулярный допуск во внутренние операционные (логистические, складские, учетные) системы внешних контрагентов. С точки зрения бизнеса такой подход позволяет значительно ускорить срок протекания процессов. Однако с точки зрения безопасности это риск того, что контрагент увидит не предназначенные для него данные или получит доступ к управлению объектами системы. Таким образом, управление правами доступа пользователей — все еще очень актуальная задача для корпораций.

CNews: Кого вы бы назвали своими конкурентами на рынке и в чем вы видите преимущества CUSTIS AMS?

Максим Михалев: На рынке существуют решения класса Identity and Access Management (IAM), основанные на ролевой модели доступа. Помимо типовой функциональности по управлению учетными записями и ролями, они предлагают еще и динамическое управление распределением привилегий. Пример такого решения — Sailpoint IdentityIQ. Подобные расширения функционала позволяют существенно увеличить гибкость управления доступом, но этого не хватает в случаях, когда требуется разграничивать доступ к объектам систем в реальном времени, основываясь на контексте выполнения бизнес-задачи.

С другой стороны, есть решения, базирующиеся только на атрибутной модели управления правами доступа. Заметным представителем такого подхода является Policy Server от компании Axiomatics. Компания предлагает полноценную поддержку возможностей Attribute-Based Access Control (ABAC) и стандарта XACML 3.0, интеграцию с различными компонентами технической архитектуры предприятия и средства управления политиками доступа. Однако переход к этому решению требует полного отказа от ролевой модели доступа и единовременной доработки всех ИТ-систем компании для интеграции с централизованным сервисом авторизации.

Преимуществом CUSTIS AMS является применение гибридного похода к управлению правами доступа. Благодаря этому решение поддерживает полноценное использование возможностей модели ABAC для перешедших на нее систем предприятия. Однако, если по каким-то причинам ИТ-система не готова к одномоментному переходу на ABAC, решение обеспечит гибкое управление ролевой моделью системы с помощью политик доступа, сформулированных в терминах атрибутной модели.

Таким образом, CUSTIS AMS предоставляет компании все преимущества атрибутной модели прав доступа — централизацию, работу в бизнес-терминах, гибкость настроек, но при этом позволяет сделать процесс миграции на ABAC более плавным. Кроме того, решение может использоваться либо как дополнение к уже существующей системе авторизации и настройки прав доступа, либо самостоятельно. Это позволяет сохранять инвестиции.

CNews: Как меняется спрос на услуги аутсорсинга в области информационной безопасности и насколько клиенты сегодня готовы работать по модели SaaS?

Максим Михалев: Развитие и увеличение доступности облачных сервисов, а также перенос большинства инфраструктурных функций компании в публичное или частное облако становятся все более распространенными явлениями на рынке. Крупные игроки пытаются оптимизировать таким образом издержки, а средний и малый бизнес предпочитает трудоемкому процессу создания собственной ИБ-инфраструктуры использование удобного и персонализированного сервиса. По данным исследования PwC, около 46% российских компаний пользуются услугами внешних центров оперативного мониторинга и анализа угроз. При этом на рынке развиваются как отдельные сервисы для защиты от атак или спам-фильтры, так и комплексные системы классов SOC и SIEM, которые ведут круглосуточный автоматизированный контроль за всей ИТ-экосистемой компании, прогнозируя и предотвращая угрозы.

Разумеется, есть факторы, существенно сдерживающие спрос и усложняющие переход компаний на сервисную модель работы с информационной безопасностью. Несмотря на растущую надежность и промышленное качество сервисов, не все предприятия готовы хранить важные данные на стороне провайдера, а проблема «безопасности аутсорсинга безопасности» в глазах бизнеса все еще остается чувствительной. Одним из серьезных факторов, сдерживающих рынок, является также жесткое регулирование этой сферы государством. Закон о локализации персональных данных вычислительных центров госкомпаний не позволяет крупным вендорам продвигать свои решения в нашей стране, ведь сама природа облачных сервисов состоит в распределенности ЦОДов и повышении за счет этого стабильности работы. Впрочем, для использования отдельных облачных сервисов в сфере информационной безопасности преград меньше, и поэтому число пользователей VPN-сервисов и сетевых экранов, антивирусных баз сигнатур, репутационных и спам-фильтров только увеличивается.

CNews: Какие тренды вы считаете определяющими для российского рынка информационной безопасности в 2016–2017 годах и как компания CUSTIS будет их учитывать?

Максим Михалев: Если говорить о потенциальных перспективах оживления сегмента информационной безопасности, то, вероятнее всего, оно будет связано с двумя факторами. Во-первых, росту рынка может способствовать повышение актуальности задач оптимизации бизнеса: не секрет, что в периоды кризиса ущерб компаний от внешнего и внутреннего мошенничества растет, что повышает спрос на инструменты мониторинга и контроля. Во-вторых, на оживление в данном сегменте повлияет обновление парка морально устаревших технологий. Развитие ИТ в целом неизбежно тянет за собой и развитие технологий информационной безопасности, тем самым создавая спрос на новые продукты и решения этого рынка. Так, в ближайшие 2–3 года стоит ожидать роста спроса на технологии и решения, обеспечивающие защиту облачных и мобильных сервисов.

Наша компания внимательно следит за тенденциями в сфере кибербезопасности, поскольку при работе с крупными отраслевыми решениями в банковской, ритейл- области и других направлениях этот «сквозной функционал» является критичным. Мы всегда стараемся предоставить своим клиентам проектировочные и технологические решения, позволяющие поддержать развитие бизнеса и устраняющие основные риски в быстро меняющейся среде, обеспечивая при этом разумную стоимость владения ИТ-ландшафтом.

Вернуться на главную страницу обзора