По статистике МВД России за 2021 год, каждое четвертое преступление в стране совершается с использованием информационных технологий. Данные Генпрокуратуры говорят о росте числа таких преступлений в 12,5 раз за последние пять лет. При этом большинство из них остаются нераскрытыми.
За прошлый год потери экономики от киберпреступности составили, по разным оценкам, до 6 трлн руб. На диаграмме отображены наиболее часто атакуемые сферы, под наибольшим ударом находятся госучреждения и промышленность, 19% и 12% соответственно.
Весомую роль в повышении уязвимости IT-систем играет слабая защищенность ключевой и парольной информации. При этом угрозы могут исходить как от внешнего, так и от внутреннего нарушителя. Нередки случаи утечек из-за пренебрежения политиками ИБ и неправомерного использования сотрудниками самих пострадавших организаций.
В условиях массовой удаленной работы, постоянного повышения скорости и сложности разработки, внедрения микросервисных архитектур, повсеместного применения CI/CD растет количество секретной информации, участников ее обмена и хранения, усложняется администрирование парольной информации и, как следствие, снижается защищенность, возрастает стоимость разработки.
Повседневно встречаются следующие сценарии и риски утечки секретной информации:
- Передача паролей в чатах и почте
- Хранение паролей в репозиториях и коде
- Случайная публикация паролей во время сборки проекта
- Реверс-инжиниринг собранных проектов
- Сотрудники с доступом к хранилищу, в том числе новички, имеют доступ ко всем паролям
- Пароли хранятся в незащищенных базах
- Слабые и повторяющиеся пароли
- Несменяемость паролей при увольнении сотрудников
- Социальный инжиниринг и кража паролей
- Отсутствие журналирования обращений к секретам
Для решения таких проблем существуют менеджеры паролей – системы, которые хранят, предоставляют пароли, управляют ими, а также учетными данными, сертификатами, ключами и токенами инфраструктуры. Менеджеры паролей призваны не только повышать защищенность АС, но также снижать стоимость разработки за счет автоматизации процессов управления секретной информацией и предоставления удобного централизованного интерфейса. Для достижения этих целей ПО должно обладать рядом характеристик:
- Гарантированное хранение паролей
- Безопасность паролей
- Регулирование жизненного цикла паролей
- Легкость управления паролями
- Масштабирование и высокая доступность
- Легкость интеграции и масштабирования
Существующие решения можно выделить в несколько групп: открытое ПО, зарубежные энтерпрайз-решения, отечественные энтерпрайз-решения. При этом разделение энтерпрайз-систем на зарубежные и отечественные обусловлено требованиями региональных регуляторов в области импортозамещения.
Преимущества открытого ПО очевидны: открытый исходный код и бесплатность использования. В недостатки можно записать скудность возможностей. Также возникают регуляторные издержки, не позволяющие некоторым компаниям использовать эти решения в своей деятельности.
Зарубежные энтерпрайз-системы обладают множеством функциональных возможностей, но их исходный код закрыт, а стоимость лицензирования часто превышает выгоду от использования. И они тоже имеют проблемы с региональным регулятором.
Отечественные решения одобряются региональным регулятором и полностью соответствуют политике импортозамещения. Однако стоимость таких решений высока из-за необходимости сертификации и нишевости некоторых игроков. При этом функциональность часто не соответствует бизнес-потребностям компаний.
Очевидно, что на российским рынке есть спрос на адекватный по совокупности функциональности, стоимости и одобрения регулятором менеджер паролей. В 2021 году компания AT Consulting (входит в Лигу Цифровой Экономики) приняла решение доработать концепцию своего ПО «Центр управления пользователями», развив его до комплексного средства управления учетными записями пользователей, рабочими станциями, доступом и паролями. Таким образом, Лига Цифровой Экономики презентует решение «Центр управления пользователями v2.0. Менеджер паролей». Система входит в реестр отечественного ПО: № 5757 от 20.09.2019 г.
ЦУП 2.0 основан на открытых решениях с отечественными разработками и предназначен для организаций, которые в соответствии с требованиями законодательства в части импортозамещения или в связи с желанием снизить стоимость владения переходят на использование ОС российской разработки или ОС с открытым кодом на базе Unix/Linux-решений.
Ориентирами для нашего продукта являются признанные профессиональным сообществом высококлассные решения, такие как HashiCorp Vault; мы стремимся предоставить заказчикам функциональность уровня зарубежных энтерпрайз-систем. Следуя современным трендам, мы разработали наш менеджер паролей на golang и ansible, с использованием микросервисной архитектуры, в соответствии с CI/CD.
ЦУП 2.0 позволяет безопасно управлять паролями, показателями и конфигурационной информацией, успешно предупреждает риски хранения и распространения паролей. Решение повышает защищенность систем, удобство их разработки и эксплуатации для организации.
Система позволяет хранить любые пароли и аутентификационные данные: логины и пароли, ключи сервисов Kubernetes, ключи непрерывной интеграции CI/CD, ключи сертификатов, общие конфиденциальные данные команд. Решение консолидирует процессы управления паролями, повышает надежность хранения и доставки паролей, оптимизирует технологические процессы разработки АС, повышает уровень контроля ИБ.
ЦУП 2.0 предлагает конкурентные преимущества:
- Безопасное хранение паролей
- Разграничение доступа к паролям
- Безопасная доставка паролей на ресурсы без необходимости прерывания сервисов
- Безопасное создание паролей
- Безопасная передача паролей на запросы систем
- Отзыв (удаление) и ротация паролей
- Интеграция с субъектами аутентификации (для передачи им паролей) и механизмами аутентификации (для ротации паролей)
- Функционирование в высоконагруженном режиме с возможностью вертикального и горизонтального масштабирования
- Отказоустойчивое и катастрофоустойчивое исполнение
- Взаимодействие всех типов приложений, от классических до микросервисных, в контейнерах и оркестраторах
- Централизация управления системой снижает сложность и ресурсоемкость процессов поддержки
- Система плагинов позволяет осуществлять безболезненное расширение функций системы в больших пределах
Дополнительно стоит выделить политику Лиги Цифровой Экономики по взаимодействию с партнерами. Наша команда постоянно развивает продукт в соответствии с потребностями заказчика, а также предоставляет поддержку уровня mission critical, что позволяет снизить операционные издержки и риски пользователя системы.
ЦУП 2.0 уже внедрен в одном из крупнейших банков России, в настоящее время ведется подготовка типового решения для среднего и малого бизнеса.