Solar inRights 3.5: расширенные возможности разграничения ролей и обновленная модель рисков для SoD-конфликтов

В релизе представлены механизмы контекстных назначений, расширенные возможности обнаружения и контроля разграничения полномочий (SoD), обновленный модуль рисков и оптимизированная работа со справочниками системы. Новая версия Solar inRights также поддерживает интеграцию IdM-платформы с системой контроля неструктурированных данных Solar DAG.

Как показывает исследование кибератак Центра исследования киберугроз Solar 4Rays, в первом полугодии 2024 года до 43% выросла доля инцидентов, связанных с скомпрометированными учетными записями (против 15% инцидентов в первом полугодии 2023 года). Поэтому в регулярных доработках системы Solar inRights 3.5 учитываются актуальные киберугрозы и практика использования решений класса IDM/IGA в бизнесе и госсекторе. Функциональность новой версии платформы позволяет упорядочить и более эффективно управлять учетными данными и правами пользователей, а также снижать риски неправомерного использования полномочий.

Механизм контекстных назначений помогает ограничить область применения ролей в информационных системах. Контексты загружаются из ИС в отдельный справочник и отображаются на разных формах системы применительно к ролям, например, в карточке пользователя, в которой указаны доступные роли, в отчетах и истории изменения ролей.

Теперь пользователь может выбрать не только роль для запроса, но и необходимые для назначения контексты. Например, в федеральных распределенных компаниях может быть востребован такой сценарий: администратору ИБ необходимо работать в рамках Южного филиала для контроля доступа в систему CRM. В этом случае «администратор ИБ» – это роль, а «Южный филиал» и «система CRM» – контексты двух типов для назначения этой роли.

Для регулирования работы с конфликтами разграничения полномочий SoD (Segregation of Duties) система теперь не только оценивает риск возникновения конфликтов при назначении прав доступа сотрудникам, но и проверяет все создаваемые и изменяемые роли и информирует о наличии в них противоречий.  Расширенная модель рисков также позволяет вести учет SoD-конфликтов в правах пользователя. Если система обнаруживает владение конфликтующими полномочиями, интегральный показатель возрастает. Таким образом появилась возможность уделять приоритетное внимание пользователям с высоким уровнем риска при работе с SoD. В результате компании могут снизить число уязвимостей в системе безопасности и обеспечить соблюдение внутренних регламентов и внешних нормативных требований.  

Доработки платформы позволяют настраивать автоматическую блокировку учетных записей при отзыве последней роли и разблокировку при новом назначении. Вендор также внедрил возможность ручного сброса пароля для пользовательских и технических учетных записей. При этом система изменяет пароли выбранных УЗ на автоматически сгенерированные в соответствии с установленными парольными политиками, затем сгенерированные пароли отправляются ответственным сотрудникам в виде заявки на передачу пароля.

Для технических учетных записей также добавлены атрибут «срок действия пароля» и функция автоматического сброса пароля при изменении списка владельцев (настраивается в конфигурации). Платформа позволяет создавать массовые заявки на блокировку и разблокировку нескольких учетных записей из списка, сформировать автоматические сценарии при увольнении владельцев объектов, например, роли, каталога, информационной системы.

Новый раздел «Справочники» даёт возможность хранить разные типы данных в интерфейсе системы и применять их в дополнительных характеристиках объектов системы. Можно вносить любую информацию, которую нужно структурировать, а затем использовать функцию выбора данных из справочника, когда это будет необходимо. Например, можно создать в системе каталог данных о разных категориях внешних подрядчиков: студентах-стажёрах, разработчиках, маркетинговых партнёрах и других. Затем информация о них вносится в отдельный справочник, который в дальнейшем используется для организации доступа к специализированным расширенным характеристикам пользователей системы.

Версия решения Solar inRights 3.5 поддерживает интеграцию с системой контроля неструктурированных данных Solar DAG. Этот интеграционный механизм разработан для обогащения информации о ролях данными, включая их классификацию по конфиденциальности. В рамках такого взаимодействия реализован микросервис, который подключается к системе DAG и получает информацию о классах данных и связанных с ними группах доступа. При получении этих данных сохраняется история их изменения и вся история взаимодействия с Solar DAG.

«Мы постоянно улучшаем функциональность платформы Solar inRights, чтобы расширить возможности системы, обеспечить безопасность и удобство для пользователей. Каждый релиз разрабатывается учетом постоянно меняющегося IT-ландшафта и возрастающих потребностей заказчиков. Интеграция IdM-системы с другими ИБ-решениями – как с Solar DAG, − усиливает экосистему продуктов по управлению доступом и обеспечивает целостный подход к защите информационных активов», – подчеркивает Дмитрий Бондарь, директор департамента развития продуктов управления доступом ГК «Солар».

В новой версии также представлены модули работы с техническими учетными записями (ТУЗ) и с заявками, доработки интерфейса для повышения гибкости управления и совершенствования коннекторов для эффективного взаимодействия с подключенными информационными системами и приложениями.