Проект

МСП Банк внедрил решение для контролируемого безопасного доступа сотрудников к инфраструктуре

Заказчики: МСП Банк

Москва; Финансовые услуги, инвестиции и аудит

Подрядчики: АйТи Бастион
Продукт: АйТи Бастион: СКДПУ НТ Система контроля действий поставщиков ИТ-услуг

Дата проекта: 2019/09  - 2020/03
Технология: ИБ - Аутентификация
подрядчики - 235
проекты - 726
системы - 380
вендоры - 223
Технология: PAM Privileged Access Management
подрядчики - 11
проекты - 13
системы - 14
вендоры - 12
Технология: ИБ - Управление информацией и событиями в системе безопасности (SIEM)
подрядчики - 46
проекты - 76
системы - 143
вендоры - 94

Содержание

В ситуации со стремительным ростом сотрудников, работающих удаленно, соответствующими темпами растет нагрузка на ИТ-инфраструктуру компании и становится сложнее контролировать действия пользователей. Эту проблему можно решить с помощью соответствующих ИТ-решений. Так, например, поступили в МСП Банке, там внедрили систему контроля действий привилегированных пользователей СКДПУ НТ.

Во время пандемии сложнее контролировать пользователей ИТ-инфраструктуры

Несмотря на все ограничения компаний и требования регуляторов удаленный доступ остается востребованной услугой. Особенно актуальным это стало во время пандемии — удаленных пользователей становится всё больше, а конфигурации ИТ-инфраструктуры усложняются.

«
Если раньше бизнесу хватало решения для 50 удаленных пользователей, то теперь им нужно сразу 5000. Аналогично происходит более широкая передача под контроль системы различных инфраструктур — мы фиксируем скачок со 100-200 целевых систем до 3000 и более, — говорит технический директор «АйТи Бастион» Дмитрий Михеев.
»

Узел удаленного доступа — критичный сервис, тем более если на него переводят доступ специалистов по бизнес-задачам: финансистов, логистиков, бухгалтерию. Компании применяют дополнительные средства авторизации, интегрируют их в систему безопасности компании — с Active Directory, средствами многофакторной авторизации, DLP и AV-средствами. С одной стороны, это необходимо делать по требованиям регуляторов, с другой — чтобы ответственные за безопасность решали свои задачи по контролю. В результате, в составе системы появляются несколько шлюзов, обеспечивающих доступ к разным сегментам информационной системы по подчинению и ответственности.

Такой рост как правило не означает, что операторов системы станет больше. Скорее становится больше работы для уже имеющихся сотрудников. В таком случае ответственным за внезапно выросшую систему требуются средства анализа, поиска и отчетности, чтобы эффективно решать новые проблемы. Условно, если раньше хватало минимальной комплектации системы — только шлюза — теперь необходимо внедрять модуль анализа аномалий и отчетности. А можно развернуть систему контроля действий привилегированных пользователей СКДПУ НТ, которую разработали и внедряют «АйТи БАСТИОН».

Как работает СКДПУ НТ

Система контроля доступа привилегированных пользователей СКДПУ присутствует на рынке с 2014 года. Ее новую версию СКДПУ НТ «АйТи Бастион» начали разрабатывать с 2017 года, потому что заказчики хотели получить более функциональный продукт без отказа от ранее внедренных решений. Система, которую анонсировали 7 декабря 2018 года, имеет обратную совместимость с более ранними продуктами компании СКДПУ и СКДПУ Компакт. А НТ означает `новые технологии`.

Если объяснять простыми словами, СКДПУ НТ позволяет организовать удаленный доступ к критичным элементам инфраструктуры контролируемым образом для их управления, настройки и контроля работы. Система позволяет вести подробную запись выполняемых исполнителями действий, вплоть до видеофиксации, записи содержимого файлов, выполняемых команд и операций в диалоговых окнах.

При ее использовании можно дать исполнителям возможность выполнять действия на инфраструктуре с административными полномочиями, не выдавая исполнителям знания об административных паролях, ключах доступа и вообще лишнего знания об устройствах инфраструктуры. Все действия, выполняемые внешними или внутренними подрядчиками через СКДПУ НТ, можно подробно записать, проанализировать и при необходимости исследовать в будущем.

Также в решении заложены возможности автоматического анализа действий, профилирования поведения пользователей. Оно позволяет находить аномалии в поведении и привлекать внимание офицеров безопасности к наиболее потенциально опасным ситуациям и лицам, которые имеют доступ к инфраструктуре. Для каждого пользователя система формирует его цифровой профиль на основе его типичных действий, поэтому отклонения от стандартных сценариев сразу становятся видны.

Цифровой профиль пользователя

Архитектурно решение представляет собой шлюз протоколов удаленного доступа с необходимой интеграционной обвязкой: средства авторизации, управления, хранения и анализа данных. Базовая платформа решения Astra-Linux SEОС российского производства, усиленная в части безопасности. Система может комплектоваться дополнительными модулями, которые обеспечивают масштабирование на мощность, отказоустойчивость, долговременное хранение, детектирование аномалий в действиях пользователей.

«
Мы используем наши продукты для самых разных по размеру и назначению проектов, от минимальных — доступ к 1 защищаемому серверу, например, до довольно крупных, когда есть тысячи серверов, сотни активных пользователей, отказоусточивые геораспределенные внедрения и так далее, — рассказывает Дмитрий Михеев. — Размер компаний-заказчиков тоже может разниться, здесь, скорее, от задач идет необходимость подобного решения. Если компания привлекает много внешних подрядчиков, то это еще не значит, что компания большая. Наши продукты развернуты на предприятиях госсектора, в финансовых организациях и на крупных промышленных предприятиях. Например, среди наших заказчиков — ДИТ Москвы, к слову, самая большая инсталляция в Европе, АО «Сбербанк Лизинг», ООО «РН-Уватнефтегаз», АО «Объединенная судостроительная корпорация»
»

.

Опыт внедрения в МСП Банке

Один из последних примеров внедрения СКДПУ НТ — МСП Банк. В «АйТи Бастионе» отмечают, что в банковском секторе есть целый ряд особенностей: это чаще всего крупная инфраструктура, жесткое разделение полномочий и как следствие масштабные проекты. Поскольку банковские организации традиционно уделяют много внимания вопросам устойчивости и масштабирования, это приводит к не самым простым решениям при проектировании и внедрении.

В случае с МСП Банком внедрение происходило сразу на двух площадках заказчика, в двух разных дата-центрах. Для повышения надежности и масштабирования по мощности в рамках проекта развернули несколько узлов СКДПУ, обеспечили балансировку соединений между ними, а также подключили к узлам анализа и мониторинга.

Экран общего мониторинга
«
Система СКДПУ позволила в кратчайшие сроки организовать для работников «МСП Банка» защищенный удаленный доступ к информационным системам и ресурсам. СКДПУ отвечает всем требованиям, предъявляемым к защите и контролю удаленного доступа, а также обладает простым и интуитивно понятным для пользователей интерфейсом, — отмечает руководитель службы информационной безопасности департамента экономической и информационной безопасности «Российского банка поддержки малого и среднего предпринимательства» Дмитрий Сушков.

»

Поскольку система имеет доступ к действиям привилегированных пользователей на критичных элементах инфраструктуры, таким как команды, передаваемые данные, информация о выполняемых приложениях, ее внедряли в рамках задач службы ИБ. Воспользоваться поиском аномалий, расследованиями и работой с инцидентами могут как ИБ, так и ИТ-специалисты.

Прямо сейчас проект развивается — уже прошли пилотное внедрение, опытная эксплуатация в ограниченном масштабе и перевод в промышленную эксплуатацию. Параллельно сотрудники банка осваивают новую систему. В первую очередь это касается специалистов ИТ и ИБ, которые эксплуатируют и сопровождают СКДПУ НТ.

«
Поскольку проект масштабный и достаточно сложный, специалисты нашей технической поддержки готовы рассказать, объяснить, если что-то не получается или возникают концептуальные вопросы. Мы провели несколько мероприятий, где представляли решение и отвечали на вопросы. К тому же сотрудники банка совместно с нами работали на всех этапах, поэтому они успели накопить достаточно опыта, — объясняет технический директор «АйТи Бастион».
»