Отсутствие у компаний инструментов для обеспечения безопасного и контролируемого доступа привилегированных пользователей приводит к несанкционированному проникновению злоумышленников в ИТ-инфраструктуру. Злоумышленниками могут быть как хакеры, целенаправленно работающие над получением административного доступа к ИТ-системам, так и бывшие или действующие сотрудники, а также внешние подрядчики. Последствия их несанкционированных действий могут быть самыми разными: от незначительных инцидентов до полномасштабных кибератак, приводящих к компрометации или потере критичной информации, выводу из строя ИТ-инфраструктуры, остановке бизнес-процессов, а в некоторых случаях - и к полной потере бизнеса. Этот риск, растущий с каждым годом, должны учитывать не только крупные компании, но и компании малого и среднего бизнеса.
Российская компания Web Сontrol является разработчиком системы sPACE — простого и удобного в работе инструмента для обеспечения безопасного и контролируемого технологического доступа к ИТ-системам компании. Решение относится к классу PAM систем (Privileged Access Management) и позволяет защитить бизнес от кибератак с использованием скомпрометированных привилегированных учетных данных. Как работает система и каковы её особенности, рассказал Игорь Базелюк, операционный директор Web Control.
Сегодня мы будем говорить о продуктах по управлению привилегированным доступом (Privileged Access Management, PAM). Не так давно у нас был эфир на эту тему, Вы в нём тоже участвовали, но, к сожалению, многие вопросы тогда остались нераскрытыми. Надеюсь, сегодня в ходе интервью мы дадим на них ответы.
Около года назад я неожиданно узнал о том, что Web Control анонсировал свою собственную разработку. Помимо прочего у вас есть теперь и свой PAM-продукт. Как появилось решение инвестировать деньги и усилия именно в этот сегмент, несмотря на то что на нём и так уже весьма много продуктов, включая и российские?
В последние 2-3 года латентное противостояние в информационном пространстве превратилось сначала в активные боевые действия, а затем в полномасштабную кибервойну. Сегодня, имея в своем распоряжении целый арсенал различных инструментов и техник, хакеры способны проникнуть практически в любую сеть. Об этом свидетельствуют многочисленные исследования, результаты пентестов и новостные ленты.
Система управления привилегированным доступом sPACE PAM - российское решение, созданное для удовлетворения актуальных потребностей современной компании в управлении привилегированным доступом к ИТ-инфраструктуре. Развитие системы осуществляется при поддержке Российским фондом развития информационных технологий (РФРИТ).
5 сценариев эффективного использования PAM в организации
Использование РАМ наиболее актуально для организаций, бизнес-процессы которых зависят от безопасной и бесперебойной работы ИТ-инфраструктуры и целостности используемых данных. При этом анализ потребительских запросов и нашего опыта внедрения показал, что РАМ-системы успешно применяются в некоторых рассмотренных в статье ситуациях.
Использование РАМ наиболее актуально для организаций, бизнес-процессы которых зависят от безопасной и бесперебойной работы ИТ-инфраструктуры и целостности используемых данных. При этом анализ потребительских запросов и нашего опыта внедрения показал, что РАМ-системы успешно применяются в некоторых рассмотренных в статье ситуациях.
Скандал 2016 г. вокруг президентских выборов в США до сих пор вспоминают многие СМИ. Во влиянии на их результат обвиняли не только иностранные государства и хакерские группировки, но и социальные сети. Особенно отличилась компания Cambridge Analytica, которая использовала собранные личные данные пользователей одной из популярных социальных сетей, чтобы демонстрировать им релевантную политическую рекламу.
Как отреагировал рынок решений для контроля привилегированного доступа на уход западных игроков? Чем различаются системы PAM, PIM и PUM? Как эти решения устроены архитектурно и технологически, какие их функции наиболее востребованны с точки зрения заказчиков?
Алексей Смирнов: Не проверив Open Source “под капотом” продукта, нельзя утверждать, что он безопасен
В последнее время всё чаще стали говорить о безопасности проектов с открытым кодом. Это обсуждалось и в эфире AM Live во время дискуссии «Российский DevSecOps в условиях импортозамещения». Однако эфира нам показалось мало, и мы захотели более развёрнуто пообщаться с одним из его участников, Алексеем Смирновым, основателем компании Profiscope.
В наши дни все больше элементов общественной инфраструктуры используют современные решения, основанные на компьютеризированных информационных системах. В то же время львиная доля программных компонентов, из которых они состоят, происходит из проектов с открытым кодом, зачастую не имеющих должной организации процесса разработки и тестирования. Отсутствие ответственности за надежность компонента приводит к нарушению цепочки доверия ко всем составляющим и продукту в целом. Внедрение в компании процессов безопасной разработки SDL поможет избежать подобной проблемы. Давайте разберемся, какие тренды и организационные моменты необходимо учесть, какие инструменты использовать, чтобы добиться цели.
Privileged Access Management, PAM Решения для управления привилегированным доступом (мировой рынок)
По мнению аналитиков Gartner, в 2022 году PAM-решения с основным функционалом по-прежнему остаются важными инструментами безопасности, при этом изменение спроса на рынке привнесло новый акцент на облако, от SaaS-доставки инструментов PAM до поддержки обеспечения безопасности облака, включая управление секретами и CIEM (Cloud infrastructure entitlement management).
Растущие риски и повсеместное использование открытого исходного кода в разработке программного обеспечения требуют анализа состава программного обеспечения (SCA) для обеспечения безопасности приложений. Руководители служб безопасности должны расширить область применения SCA-инструментов, включив в нее обнаружение вредоносного кода, операционных рисков и рисков цепочки поставок, считают в Gartner. Аналитики Gartner подготовили отчет «Market Guide for Software Composition Analysis», который помогает разобраться в функциональных возможностях класса SCA - Software Composition Analysis, анализ состава ПО - и выбрать подходящий для себя инструмент. Эксперты компании Web Control (Вэб Контрол ДК) специально для TAdviser сделали обзор этого документа.
Предпринимательством я занимаюсь более 20 лет. Начал с классического бизнеса: торговля, IT-интеграция, ИБ-дистрибуция. Но когда ко мне пришла идея IT-стартапа, стало понятно, что имеющегося опыта недостаточно, и я стал искать новые знания.
В различных методологиях безопасной разработки мы всегда встречаем отдельный раздел про контроль заимствованных компонентов с открытым кодом. Даются понятные объяснения, зачем нужно делать инвентаризацию open source и проверку на уязвимости, но лишь вскользь говорится про инструменты SCA, которыми такой анализ выполняется. По итогам прочтенных рекомендаций зачастую остается ощущение, что статическим анализом закрываются все вопросы проверки кода.
Российское решение композиционного анализа программного обеспечения CodeScoring официально добавлено в реестр российского ПО.
Продукт CodeScoring повышает безопасность использования Open Source на всех этапах обеспечения жизненного цикла разработки программного обеспечения. База знаний CodeScoring содержит собираемый из крупнейших репозиториев реестр компонентов, который регулярно обогащается данными об имеющихся в них уязвимостях и лицензиях, получаемых из различных источников. CodeScoring поддерживает ключевые OSS экосистемы популярных языков программирования, такие как Maven, PyPi, NPM, RubyGems и другие.
Новое РАМ-решение sPACE от компании Web Control вошло в реестр российского ПО Минкомсвязи.
Отличительными особенностями sPACE являются простота внедрения и удобство использования, что создает основу для безопасной работы не только ИТ-специалистов, но и бизнес-пользователей. Уникальный подход к запускам сеансов привилегированного доступа позволяет интегрировать решение с любыми инструментами.
Системы класса Privileged Access Management (PAM) прочно заняли своё место в ландшафте средств информационной безопасности современного предприятия. Управление паролями и мониторинг действий пользователей с расширенным набором привилегий позволяют предотвратить утечки конфиденциальной информации и вовремя выявить компрометацию учётных записей. Ещё одной важной возможностью PAM является контроль работы внешних подрядчиков — как с точки зрения безопасности, так и в плане эффективности их деятельности.
Системы управления привилегированным доступом (PAM) стали трендом, и этому способствует не только рост киберугроз, но и законодательные инициативы. К сожалению, PAM в сознании большинства пользователей ассоциируется с неудобствами, высокими затратами на внедрение и усложнением рабочих процессов компании. Желание опровергнуть это представление стало вызовом для нашей компании и привело к созданию новой PAM-системы – удобной, простой в развертывании и использовании.
Стремительно нарастающий объем мирового Open Source вовлекает все новых игроков не только из коммерческого сектора, но и из государственного: переиспользование кода и включение отечественных разработок Open Source в международные проекты стратегически важны на государственном уровне
Традиционно бытует мнение о несовместимости Agile с развитой иерархической структурой крупных корпораций, которая по природе своей имеет планово-отчетный характер и основана на стандартах. В статье «Мифы об Agile в разработке корпоративного программного обеспечения», опубликованной в журнале InformationSecurity № 4, Андрей Акинин и Василий Окулесский постарались развенчать такие стереотипы как отсутствие планирования, документирования и невозможность создавать безопасные подходы при гибкой разработке, а в результате пришли к выводу о родственности принципов Agile и положений стандарта ISO 9001.
«В ходе дискуссии мы пришли к выводу, что принятие Agile – это логичное развитие традиционных подходов к разработке ПО, при этом в основе Agile-методологии лежат теория менеджмента качества Деминга, бережливое производство, теория управления изменениями, системное мышление и другие проверенные долгой практикой теории и методологии управления процессами разработки ПО».
По итогам участия в Tech Week в июне 2021 г. компания Web Control получила много вопросов про новое российское SCA-решение CodeScoring от компании Profiscope, но краткий формат общения на выставке не позволил раскрыть все детали, и мы выполняем свое обещание ответить на вопросы в отдельной публикации. Директор по развитию Web Control Дарья Орешкина собрала вопросы и задала их основателю решения CodeScoring Алексею Смирнову.
В начале 2021 г. на рынке инструментов разработки появилось оригинальное решение CodeScoring для анализа и оценки кодовой базы на лицензионное соответствие, наличие известных уязвимостей и уровня технического долга от российской компании Профископ. Это первое отечественное решение для композиционного анализа исходного кода (SCA).
Об особенностях CodeScoring и решаемых им задачах с CEO и основателем компании Алексеем Смирновым побеседовала эксперт компании Web Control Дарья Орешкина.
Российская компания Web Control начала продажи РАМ-системы (Privileged Access Management, управление привилегированным доступом) собственной разработки под названием sPACE. При построении архитектуры и создании системы использован многолетний опыт работы компании по дистрибьюции и внедрению признанных мировых решений в области информационной и сетевой безопасности.
Вышел 1-й номер журнала Information Security.
Читайте в номере: Место безопасности в новой парадигме цифрового бизнеса. От "безопасной разработки" к безопасному программному обеспечению.
Андрей Акинин, Web Control
Андрей Акинин, Web Control
Читайте в номере: Я верю в подход Security By Nature
Интервью с Андреем Акининым, Web Control
Интервью с Андреем Акининым, Web Control
Быстрое создание цифровых продуктов с помощью Agile, DevOps, DevSecOps-практик, как правило, гарантирует получение наилучших показателей, но на деле высокая скорость разработки далеко не всегда позволяет получить требуемые результаты. Поиски новых способов, которые помогали бы достигать целей не только отдельным командам, но и всему бизнесу, привели к открытию Value Stream Management – метода управления потоком создания ценности, который объединил культуру, инструменты и методологии Agile, DevOps/DevSecOps и Lean.
В новой статье Дарьи Орешкиной «Создание ценности на каждом этапе», опубликованной в 5 номере журнала InformationSecurity, рассказывается об основных возможностях платформы Digital.ai Value Stream Platform.
В 2020 году независимое аналитическое агентство Forrester подготовило отчет «Elevate Agile-Plus-DevOps With Value Stream Management», в котором знакомит руководителей разработки с практиками и инструментами VSM и представляет некоторых вендоров этого развивающегося сегмента рынка.
Андрей Акинин рассказал NBJ, как происходит цифровая трансформация российского бизнеса, что представляют из себя системы контроля действий и прав привилегированных пользователей (PAM – Privileged Access or Account Management ) и, в частности, решение BeyondTrust, которое его компания предлагает на российском рынке.
Прочтите статью Дарьи Орешиной «Автоматизация сквозного контроля процесса разработки ПО» и узнайте как в управлении и контроле DevSecOps принимать прозорливые управленческие решения и вовремя реагировать на изменения.
Удаленная работа – это тренд XXI века, а сложившаяся карантинная ситуация лишь ускорила процесс реформирования подходов к организации труда. Автоматизация бизнеса за счет внедрения ЭВМ, начавшаяся во второй половине XX века, перешла к новому этапу – использованию распределенного офиса. Этот процесс диалектически обусловлен, и только инертность мышления и страх перед изменениями сдерживали его до последнего времени.
Однажды в кафе произошел занимательный диалог официанта и посетителя:
– Я просил не курицу, а говядину, и не полусырую, а прожаренную.
– Да, вышла небольшая ошибка, извиняемся, но у нас все свежее, так что приятного аппетита!
– Я хирург. Верно ли я понял, что когда вы ко мне попадете и я вместо аппендицита удалю
что-нибудь другое, потом просто извинюсь, то это будет правильно и всех устроит результат?
Стоит ли уточнять, какое было тщательное обслуживание после этого...
– Я просил не курицу, а говядину, и не полусырую, а прожаренную.
– Да, вышла небольшая ошибка, извиняемся, но у нас все свежее, так что приятного аппетита!
– Я хирург. Верно ли я понял, что когда вы ко мне попадете и я вместо аппендицита удалю
что-нибудь другое, потом просто извинюсь, то это будет правильно и всех устроит результат?
Стоит ли уточнять, какое было тщательное обслуживание после этого...
Спецпроект журнала " "Information Security" №3 - "ИИ как предсказатель утечек данных". Экспертом от Web Control выступила Дарья Орешкина, директор по развитию бизнеса
В конце мая команда журнала "Информационная безопасность" провела онлайн-мероприятие ITSEC ADAPT. Предлагаем вашему вниманию онлайн-дискуссию, которая состоялась в рамках этой конференции.
Жизнь ускоряется, и без цифровой трансформации компании обречены на отставание. В отдельных организациях уже созданы автоматизированные “островки скорости", но для качественного рывка требуются “магистрали".
Российская компания Web Control начала продажи РАМ-системы (Privileged Access Management, управление привилегированным доступом) собственной разработки под названием sPACE. При построении архитектуры и создании системы использован многолетний опыт работы компании по дистрибьюции и внедрению признанных мировых решений в области информационной и сетевой безопасности.
В связи со сложившейся ситуацией в мире все больше компаний вынуждены переводить сотрудников в режим удаленной работы. В этих условиях руководители разного уровня ощущают потребность в инструменте организации полноценного распределенного рабочего пространства и помощи с внедрением культуры удаленной работы.
Какие подходы используются сегодня к анализу безопасности ПО и как автоматизировать проверку безопасности Open Source компонентов в конвейере разработки ПО вы узнаете из новой статьи Орешкиной Дарьи «Методы анализа исходного кода», опубликованной в журнала «Information Security/Информационная безопасность» №1 2020.
Flow-данные (NetFlow/IPFIX и т. д.) широко известны в ИT-сообществе на протяжении многих лет и используются, например, в таких случаях, как биллинг, планирование мощностей и защита от DDoS-атак, в основном в сегменте Telco. ИT-менеджеры и ИT-директора предприятий и организаций только недавно начали изучать их огромный потенциал. Тем не менее в сетевом сообществе все еще сохраняются мифы, препятствующие более быстрому внедрению flow-технологий. Павел Минарик, CTO Flowmon Networks, рассмотрит четыре основных.
В последние несколько лет управление привилегированным доступом (Privileged Access Management, PAM) – контроль, мониторинг и аудит привилегированных пользователей, учетных записей и секретов для удаленного подключения и управления IT-системами – стало одной из наиболее актуальных тем.
На секции "Инструменты управления безопасностью: вопросы интеграции" будут представлены прикладные примеры интеграции отечественных производителей, не упустите возможность узнать об этом из первых рук!
Сегодня сложно представить себе разработку программного обеспечения без Open Source. Компоненты с открытым исходным кодом дают существенные преимущества в скорости выпуска программных продуктов. Разработчики не пишут код с нуля, если он уже опубликован и проверен сообществом. Однако, бесконтрольное применение Open Source влечет за собой повышенные риски безопасности программных проектов, в том числе и юридического характера.
"Активное изменение IT-ландшафта самым серьезным образом влияет на все аспекты информационной безопасности финансовой (и не только) сферы. Вечный поединок щита и меча переходит в новую фазу – фазу скрытых атак и защиты по всем направлениям. Все уходит в «облака», а это значит, что привычного периметра больше нет, а при отсутствии устоявшейся границы – размываются четкие рубежи обороны..."
Применение компонентов с открытым исходным кодом (open source) снижает стоимость разработки и ускоряет выпуск программ. Однако компоненты open source являются также и источником рисков для программного проекта. Во-первых, уязвимости безопасности могут использовать киберпреступники. Во-вторых, лицензионные соглашения open source бывают разных видов, и условия некоторых из них могут быть неприемлемыми для компании-разработчика. Таким образом, компоненты с открытым исходным кодом необходимо тщательно выбирать.
В современной России развитие сегмента облачных технологий опережает общемировой уровень. Согласно отчету IDC, в 2018 году рост облачных технологий ожидается на уровне 11,8%. Облака все больше привлекают внимание и частных предпринимателей, и крупных холдингов, при этом информационная безопасность и контроль за потоками данных становятся все более актуальными.
Рутинные задачи в ИТ-департаменте отнимают немало рабочего времени ценных специалистов. К счастью, есть возможность автоматизировать многие действия. В статье говорится о системах, которые помогают сэкономить время при инвентаризации оборудования и программного обеспечения, облегчают задачи управления ПО, лицензиями, обновлениями, рабочими станциями и оборудованием в центре обработки данных, позволяют вести учет ИТ-активов и единую базу конфигурационных единиц.
Как ни странно, Shadow IT может повышать производительность труда и даже превращаться в часть бизнеса. Сотрудники компаний используют облачные ресурсы для совместной работы, обмена информацией, удаленного доступа к документам, но это не всегда происходит с ведома руководителей и ИБ-специалистов. А с точки зрения безопасности Shadow IT представляет собой угрозу, поскольку конфиденциальные корпоративные данные бесконтрольно покидают периметр компании.
В данном обзоре мы выясняли, под воздействием каких факторов и как преобразуются подходы к обеспечению сетевой безопасности в нынешних условиях, когда, с одной стороны, происходят быстрые изменения в корпоративной ИКТ-инфраструктуре, а с другой — столь же быстро меняется и усложняется ландшафт киберугроз. Нашими экспертами стали представители компаний, работающих в области информационной безопасности.
Конец года – весьма подходящее время, чтобы отметить важные тенденции, которые наметились в деятельности киберпреступников и сфокусировать внимание на наиболее актуальных в отношении своей компании. Мегатрендами, по мнению исполнительного директора INTERPOL IGCI Нобору Накатани, остаются вирусы-вымогатели, атаки на финансовые учреждения и DDoS-атаки. Конечно, в фокусе злоумышленников остается получение денег. Не прекратятся и целенаправленные атаки, осложненные сокрытием следов. Компаниям потребуется надежно защищать критичные IT-активы.
Многие предприятия пересматривают свой подход к веб-безопасности. В большом количестве технологий и средств защиты не так легко разобраться, чтобы выбрать самое лучшее решение. Давайте посмотрим, почему архитектура прокси — самая эффективная архитектура для веб-защиты и почему решение Symantec Secure Web Gateway на базе прокси много лет подряд занимает лидирующие позиции на мировом уровне.
Водонагревательный котел несет угрозу "умному дому"? При чем здесь трубопроводы, доменные печи и электростанции? И почему об этом говорят в контексте информационной безопасности?
Про это и многое другое читайте в аналитической статье Дарьи Орешкиной - Эталонная архитектура безопасности интернета вещей (IoT).
За последние несколько лет радикально изменился ландшафт ИБ. Если раньше мы говорили о защите корпоративных сетей и информационных систем, то сейчас на первый план выходит защита бизнеса и всех субъектов информационного обмена — серверов и сетевой инфраструктуры, каждого сотрудника и контрагента компании.
В последнее время вместо защиты информации все чаще говорят о киберустойчивости, понимая под этим обеспечение устойчивого и бесперебойного функционирования информационной инфраструктуры в условиях постоянно присутствующего риска, а также в ходе кибератаки. Все более актуальной становится задача снижения ущерба в условиях принятия рисков безопасности взамен ранее приоритетной задачи устранения этих рисков. Стремление во чтобы то ни стало устранить риски приводит к снижению гибкости системы, что в свою очередь приводит к потере позиций в конкурентной среде.
Несмотря на то, что большинство киберпреступников сейчас охотится за деньгами неосторожных пользователей, таргетированные атаки никуда не исчезли. Согласно опросу «Лаборатории Касперского», за последний год от APT-атак пострадало 10% российских компаний.