В
качестве компенсационных мер могут применяться различные сценарии: эскалация
запросов, ограничение времени доступа, плановый пересмотр критичных полномочий,
усиление политик, применяемых к учетной записи и многие другие. По сути, этот
функционал делает продукт интересным не только традиционным заказчикам решений
класса IdM/IGA – ИТ и ИБ, но и подразделениям, отвечающим за внутренний
комплаенс и управление рисками.
Отметим,
что модель оценки рисков носит индивидуальный характер и зависит от сценариев
использования, в которых планируется ее применять. Вместе с тем, существует
универсальный набор базовых параметров, на которые требуется обратить внимание в
первую очередь. К их числу специалисты компании Аванпост относят: обладание
правом доступа (базовая переменная, показывающая уровень привилегии в системе;
является основой для скоринга); совмещение прав (оценка отдельно взятых рисков
может быть низкой, но их сочетание у одного лица может оказаться значительно выше,
чем их простая сумма); способ получения права (право, полученное на основе
ролевой модели несет меньше рисков, чем полученное по дополнительному запросу
или вне IDM); неиспользование учетной записи («забытые» учетные записи значительно
больше подвержены компрометации); статус пользователя (например, долгосрочный
отпуск повышает риск компрометации его учетной записи); местоположение
пользователя (риск злонамеренного использования привилегий пользователями,
работающими удаленно, значительно выше, чем у офисных работников); тип
пользователя (внешний подрядчик, обладающий критичным набором полномочий, несет
дополнительный риск).
В
итоге такая модель позволяет точно и своевременно выявлять комплексные риски и
реагировать на них; в первую очередь, это риск компрометации учетной записи и
риск злонамеренного поведения пользователя. В соответствии с этим, функционал
системы дает возможность получить оценку уровня потенциального ущерба, который
может причинить злоумышленник, завладевший отдельной учетной записью, а также
определить вред, который может причинить человек, обладающий всем набором
учетных записей.
Важным
аспектом реализации в Avanpost IDM и основным отличием от западных решений
является отсутствие необходимости разработки полноценной модели оценки рисков и
утверждения компенсационных процедур для начала использования функции и
получения практической пользы. На первом этапе достаточно оценить наиболее
критичные полномочия и это моментально позволит определить список
привилегированных учетных записей и их владельцев, а добавление простого
процесса аттестации полномочий привилегированных учетных записей позволит
сократить накопление доступов, особенно распространенное у ИТ-специалистов.
«Функция оценки и управления рисками в IDM не так сложна, как это все еще представляют себе многие владельцы систем, – говорит Андрей Конусов, генеральный директор компании Аванпост. – Предлагаемое нами решение поможет не только выявить, но и взять под контроль привилегированные учетные записи, где и сосредоточена большая часть угроз для информационной безопасности любого предприятия. Сегодня это особенно актуально, ведь многие сотрудники, обладающие расширенными правами доступа в корпоративную информационную систему, работают удаленно, в том числе, и со своих личных устройств».