В современной цифровой экосистеме предприятия данные — это новая нефть. И так же, как и ценные ресурсы, доступ к ним должен быть строго регламентирован и контролируемым. Ежедневно ИТ- и ИБ-специалисты сталкиваются с десятками запросов на предоставление доступа: к сетевым папкам, сервисам, VPN. Традиционный процесс через тикеты в Service Desk или, что хуже, через личные сообщения и email, превращается в непрозрачный, медленный и рискованный хаос.

Согласно исследованию Gartner, до 40% всех обращений в службу поддержки так или иначе связаны с управлением учетными записями и паролями, а ручная обработка одного такого запроса может обходиться организации в $25-$50. Forrester в своем отчете по Total Economic Impact™ автоматизации управления идентификацией отмечает, что компании теряют миллионы из-за низкой продуктивности сотрудников, ожидающих доступ, и из-за рисков, связанных с его избыточным назначением.

Ручные процессы согласования прав:

• имеют непредсказуемое (на практике) время исполнения, что замедляет работу конечных сотрудников;
• создают риски безопасности – «забытые» права бывших сотрудников, ошибки администрирования. По данным IBM Cost of a Data Breach Report 2023, на компрометацию учетных данных приходится 19% всех утечек, а средняя стоимость инцидента составляет $4.45 млн.;
• отвлекают дорогостоящих специалистов — ИТ-администраторы тратят время на рутинное добавление пользователей в группы, а не на стратегические задачи.

 

Что такое Спектр | Портал?

Спектр | Портал — это централизованная система для автоматизации запросов пользователей на согласование и предоставление прав доступа к различным сетевым папкам, а также сервисам и службам организации. Это не просто еще один модуль Service Desk или громоздкая IDM-система. Это гибкий инструмент, который берет лучшее от обоих подходов:

• от Service Desk — удобство для пользователя, простота создания заявок;
• от IDM— глубокая автоматизация, работа с группами безопасности, аудит.

Ключевое отличие и преимущество Спектр | Портала — его привязка к реальной файловой структуре файловых серверов. В отличие от многих абстрактных IDM-систем, которые оперируют виртуальными каталогами, Портал работает с тем, что есть на самом деле: структурой каталогов на управляемом хранилище. Это кардинально снижает сложность внедрения, настройки и дальнейшего поддержания системы в актуальном состоянии.

 

Концепция работы

Ключевая идея Спектр | Портала — создать единый, прозрачный и автоматизированный конвейер для обработки любого запроса, связанного с доступом к ресурсам:

• Сначала сотруднику, которому нужен доступ для работы, или его руководителю необходимо создать в Системе запрос. В нем указывается, к каким именно сетевым каталогам, сервисам или службам требуется доступ и с каким уровнем привилегий (только чтение, запись, «полный доступ» и т.д.).
• Далее Система автоматически направляет уведомления по почте согласно предварительно настроенному для данного ресурса маршруту согласования. В цепочку согласования могут входить:
  • непосредственный руководитель сотрудника – для подтверждения производственной необходимости;
  • владелец бизнес-данных – например, руководитель отдела, к чьим папкам запрашивается доступ;
  • согласующие различных уровней – по иерархии или зоне ответственности;
  • сотрудники ИТ- и ИБ-департаментов – для финальной проверки на соответствие политикам безопасности.
• Ответственный сотрудник на каждом этапе согласования может одобрить, отклонить или запросить дополнительную информацию по запросу в Системе или прямо по почте. Жизненный цикл заявки полностью прозрачен, что исключает «потерю» запросов и необходимость постоянных напоминаний.
• После согласования Система автоматически исполняет запрос: как только последний согласующий в маршруте «дает добро», Спектр | Портал самостоятельно выполняет всю техническую работу. Система сама добавляет учетную запись сотрудника в нужные группы безопасности в Active Directory, предоставляя необходимые права. ИТ-администратор больше не получает задание вручную что-то настраивать — его роль сводится лишь к контролю и решению нестандартных ситуаций.

Аналогичным образом работают запросы на создание новых ресурсов: технических учетных записей, групп рассылки, почтовых ящиков или сетевых папок. Только на последнем этапе специальный сотрудник-исполнитель корректирует названия ресурсов или групп безопасности, чтобы они совпадали с привычными правилами наименования сущностей в службах каталогов доменов.

В результате данная концепция позволяет в разы ускорить процесс выдачи прав пользователям, экономить время ИТ-специалистов, вовлекать владельцев данных и повысить прозрачность процесса для удобного контроля со стороны департамента ИБ.

 

Уникальный функционал: как Портал меняет процесс выдачи прав.

На случай, когда сотруднику требуется доступ к нескольким ресурсам сразу или он запрашивает доступ за группу коллег, в системе предусмотрены массовые запросы. Система в дальнейшем автоматически разделит такой групповой запрос на отдельные заявки для согласования по заданным маршрутам.

Рис.: Массовый запрос на предоставление доступа (несколько сотрудников с разными привилегиями)

Каждый маршрут согласования представляет из себя цепочку последовательности согласующих лиц или групп безопасности с произвольным порядком и возможностью дублирования ролей на случай отсутствия согласующего сотрудника.

Рис.: Настройка правил для разных категорий пользователей

Дополнительно в маршруте можно создавать уникальные правила ветвления в зависимости от свойств учетной записи сотрудника, которому выдается доступ. Таким образом можно создавать разные цепочки согласования, например:

• Для обычных сотрудников согласовывать запросы через непосредственного руководителя, согласующих и сотрудника ИБ.
• Для привилегированных пользователей (VIP) использовать сокращенный маршрут только через владельцев данных, минуя стандартные уровни.
• Для доступа к чувствительным папкам применять более длинную цепочку согласующих, а для стандартных ресурсов — ограничиться несколькими лицами.

Также в запросе можно указать точную дату начала и окончания действия прав доступа с опциональным уведомлением сотрудника за несколько дней – это очень удобно на случай проектной деятельности или вахтового режима работы. По истечении указанного срока права будут автоматически отозваны.

Рис.: Временные настройки и ограничения запроса

При этом исполнение запросов не подразумевает никакого вмешательства со стороны ИТ-департамента – после окончательного согласования система автоматически предоставляет права, добавляя пользователей в соответствующие группы безопасности в Active Directory. ИТ-администратор освобождается от ручной работы, ускоряется срок выполнения заявки, исключается человеческий фактор.

Бизнес-владельцы данных (обычно – руководители направлений) также получают инструмент для самостоятельного просмотра и управления правами доступа к своим ресурсам – достаточно открыть интересующую папку и добавить или удалить сотрудника из разрешений. Изменения сразу же вступают в силу без необходимости дополнительных согласований с ИТ или прохождения цепочки согласования.

Рис.: Просмотр списков доступа владельцем данных

На случай долгосрочного отсутствия любого согласующего лица (руководитель, владелец данных, сотрудник ИБ и пр.) предусмотрен механизм делегирования, позволяющий администратору системы или самому сотруднику назначить заместителя на период своего отсутствия. Можно тонко настроить, какие именно роли и для каких ресурсов делегируются, а также временной промежуток передачи полномочий.

Рис.: Настройка передачи полномочий

Портал не ограничивается доступом к существующему. Через него также можно подавать заявки на создание новых ресурсов: сетевых папок, технических учетных записей, групп рассылки и почтовых ящиков. Важно, что при создании папки можно сразу запросить права для сотрудников, а итоговое наименование ресурса и технических групп остается за ИТ-специалистом.

Рис.: Возможность создания запроса на создание сущностей

Система также предоставляет мощный и гибкий инструментарий для аудита запросов и согласований. Веб-интерфейс позволяет применять множество фильтров для поиска любого запроса по таким параметрам, как:

• инициатор запроса или конечный получатель прав;
• тип запроса (доступ, создание ресурса);
• целевой ресурс или сервис;
• временной период;
• статус согласования;
• компания (при сложной структуре организации).

Рис.: Аудит запросов

Отфильтрованная информация может быть легко экспортирована в файл для последующего анализа или предоставления аудиторам.

 

Синергия с DAG/DCAP: Поддержание порядка в правах

Одной из ключевых задач решений класса Data Access Governance (DAG) или Data-Centric Audit and Protection (DCAP) является аудит и наведение порядка в структуре прав доступа к файловым хранилищам. Они отвечают на вопрос «Кто и к чему имеет доступ прямо сейчас?».

Спектр | Портал решает следующую, не менее важную задачу: «Как легитимно и безопасно этот доступ предоставлять в будущем?».

Вместе они формируют замкнутый цикл управления данными:

• DAG/DCAP находит «проблемные» точки: избыточные права, несоответствия политикам и прочие риски. Затем при помощи встроенных в DAG/DCAP инструментов, а также нативных инструментов КД/ОС уязвимости устраняются, права пользователей приводятся к соответствию политике наименьших достаточных привилегий.
• Спектр | Портал обрабатывает все последующие запросы на предоставление прав – прозрачно для всех участников процесса, с контролем от ИБ и владельцев данных – во избежание деградации матрицы доступа и появления рисков излишнего или неправомерного доступа к каталогам с информацией.

 

В заключение

Спектр | Портал — это не просто инструмент для удобства, это стратегический актив, который встраивается в процессы соответствия требованиям регуляторов, управления рисками и операционной эффективности ИТ-департамента.

Ключевые преимущества для всех участников процесса:

• для пользователей: скорость получения прав, прозрачность процесса;
• для ИТ-администраторов: автоматизация рутины, минимизация ошибок, освобождение времени для важных задач. Простое внедрение не создает дополнительной нагрузки;
• для согласующих: удобный интерфейс (включая согласование прямо из почты), делегирование. Гибкие правила подстраиваются под бизнес-логику;
• для владельцев данных: прямой контроль над своими ресурсами;
• для офицеров ИБ: полный контроль процесса и детализированный аудит всех действий, история согласований, соответствие требованиям регуляторов.

Также, Спектр | Портал легко встраивается в существующую ИТ-инфраструктуру. Он может быть интегрирован с Service Desk-системой организации, например, путем добавления кнопки или пункта меню, который перенаправляет пользователя в Портал для создания соответствующего запроса. Это позволяет не заменять, а дополнять и усиливать текущие процессы, обеспечивая специализированный и автоматизированный сценарий именно для управления доступом.

В отличие от сложных и дорогих в развертывании IDM-решений, внедрение Спектр | Портала требует минимальных затрат – как со стороны инфраструктуры, так и преднастройки и запуска в эксплуатацию.

Внедрение Спектр | Портала — это конкретный шаг к созданию современной, безопасной и эффективной цифровой среды предприятия, где данные защищены, а процессы упорядочены и автоматизированы.

Антон Здоров, инженер технического сопровождения продаж компании «Сайберпик»