Тонкие настройки прав доступа в новом релизе IdM-системы Solar inRights

ГК «Солар», архитектор комплексной кибербезопасности, выпустила новый релиз IdM-системы Solar inRights 3.8. В обновленной версии реализованы дополнительные параметры прав доступа и расширенные возможности интеграции с платформой Solar DAG за счет настройки передачи кадровой информации.

По данным аналитиков центра противодействия кибератакам Solar JSOC, компрометация учетных записей входит в ТОП-10 основных категорий ИБ-инцидентов, выявленных в российских компаниях. Основными источниками компрометации становятся базы данных доступов, которые злоумышленники собирают в результате проведенной кибератаки, а также практика продажи доступов со стороны инсайдеров и представителей подрядчиков, имеющих доступ к инфраструктуре компании-клиента. Поэтому в разработке IDM-системы Solar inRights учитывается опыт экспертных подразделений «Солара» по расследованию цифровых угроз и кибератак на российские компании и госструктуры.

Александр Титаренко

руководитель направления по развитию продуктов управления доступом ГК «Солар»

«Технологии управления доступом в большинстве случаев выступают первым барьером для попыток взлома. Если преступник воспользуется скомпрометированной учетной записью, дальнейшее расширение привилегий, чтобы получить доступ к управлению бизнес-процессами будет проще реализовать с помощью взломанной «учетки». Поэтому, защита цифровых каналов идентификации становится стержнем для концепции Zero trust и общей инфраструктуры информационной безопасности».

Развитие IdM-системы Solar inRights отражает долгосрочный тренд по совершенствованию инфраструктуры управления доступом. С сентября 2024 года система интегрирована с платформой Solar DAG, которая обеспечивает контроль и защиту неструктурированных данных. В новом релизе интеграция приобретает новые функции. Теперь из IdM-системы в DAG передается ключевая кадровая информация: организационно-штатная структура и сотрудники в привязке к ней. Расширенные возможности интеграции двух решений «Солара» также позволяют передавать информацию о связи учетных записей в домене с кадровыми данными. Благодаря этому обновлению ИБ-специалисты могут не просто настраивать более детальные политики доступа, но и оперативно выявлять риски, связанные с неструктурированными данными, что значительно упрощает аудиты и расследование инцидентов.

В новом релизе безопасность данных и защита от утечек критически важной информации усилена за счет маскировки чувствительных данных в логах. Это напрямую отвечает требованиям регуляторов и защищает коммерческую тайну от действий инсайдеров, в том числе, если в этой роли действуют системные администраторы. Обновленная версия дополнена механизмом, который отмечает специальным признаком любой атрибут любого объекта. Вместо реального значения для подобных атрибутов в логах будут выведены спецсимволы. Также теперь система может писать большое число логов в разных режимах. К примеру, добавлены режимы логирования, когда в лог записывается вся информация по обрабатываемым объектам, в том числе и критически важная (например, пароли учетных записей), что необходимо для детального разбора инцидентов.

В новой версии Solar inRights также доступны несколько вариантов авторизации благодаря универсальному коннектору для подключения к API управляемой системы. Теперь доступна настройка подключения по статическому и динамическому токенам. Для статического токена система теперь потребует, кроме логина и пароля, еще и постоянный API-токен для дополнительной проверки — по примеру «двухфакторной» аутентификации. Все действия (создание/удаление пользователей, назначения ролей) в новой версии пройдут только при наличии обоих факторов. Для динамического токена после авторизации по логину/паролю система выдает временный токен для всех последующих API-запросов.

Версия 3.8. Solar inRights также решает проблему дополнительных настроек, которые могут ограничить использование назначенных прав доступа в рамках определенных задач. Так, в информационных системах документооборота дополнительными параметрами права доступа могут быть филиалы, процессы или конкретные документы. Поэтому разработчики добавили больше вариантов для выбора разных типов настроек для одной и той же роли. Это позволяет не только точнее отразить ролевую модель компании, но и минимизировать риски несанкционированных действий сотрудников, предоставляя им доступ только к тем данным и операциям, которые необходимы для выполнения конкретной задачи.

Другое важное обновление системы также связано с кадровой информацией. В новой версии теперь поддерживается процесс отложенного увольнения. В определенную дату, заданную системе, автоматически запускаются все стандартные процессы. Для бизнеса это означает исключение человеческого фактора: автоматизация процесса увольнения гарантирует своевременный отзыв всех прав и блокировку учетных записей, что предотвращает утечки данных через бывших сотрудников.