Всем привет! Давно у нас не было статей от экспертов по управлению доступом. Но причина уважительная - плотно работали над Solar inRights Origin, который в разы сокращает затраты и сроки внедрения платформы для управления "учетками".
Людмила Севастьянова, менеджер по развитию продуктового портфеля управления доступом ГК «Солар», в новой статье поделилась трендами, которые также легли в основу при разработке нашего продукта.
В условиях стремительной цифровой трансформации и развития информационных технологий управление доступом играет важную роль в защите ресурсов организации. Подходы к управлению учетными данными (Identity and Access Management, IAM) стремительно меняются, и это связано не только с развитием технологий, но и с эволюцией киберугроз. Современные вызовы требуют пересмотра традиционных методов идентификации, аутентификации и управления доступом.
Мировые тренды в этой области формируются под воздействием множества факторов: рост числа киберугроз, изменения нормативной базы, развитие актуальных решений и развитие новых технологий.
В этой статье мы рассмотрим несколько трендов в области IAM, которые выделяют ведущие аналитические агентства, как Gartner и Forrester. Мы сопоставим их с развитием собственных подходов, практик и технологий управления доступом и поделимся рекомендациями по приоритетам на ближайшее время.
Проблемы и вызовы
Одна из главных угроз сегодня — это рост числа целевых атак, в которых злоумышленники фокусируются именно на компрометации учетных данных. Так, по данным Центра исследования киберугроз Solar 4RAYS, больше трети (37%) успешных кибератак на российские компании в 2024 году начинались с компрометации учетных данных сотрудников.
Фишинг и социальная инженерия также становятся все более изощренными, а появление генеративного ИИ позволяет автоматически создавать правдоподобные сообщения, имитирующие корпоративную переписку. В таких условиях обычные меры защиты, вроде двухфакторной аутентификации (2FA), уже не всегда обеспечивают необходимый уровень безопасности.
Расширение периметра сети, удаленный доступ, мультиоблачные инфраструктуры — также усложняют управление цифровыми идентичностями, или аккаунтами пользователей. При этом организации обязаны соблюдать все более жесткие регуляторные требования к защите персональных данных, что также влияет на архитектуру решений в области IdM.
Как следствие, подходы к IAM становятся более динамичными, адаптивными и стратегическими:
● Организации отказываются от точечных решений в пользу комплексного планирования и переходят к разработке дорожных карт внедрения IdM-систем, ориентированных на долгосрочную устойчивость и масштабируемость.
● На смену универсальным сценариям управления приходит контекстная модель, учитывающая факторы местоположения, времени, риски и бизнес-логику.
● Особое внимание уделяется управлению цифровой идентичностью клиентов (CIAM), где важны не только безопасность, но и пользовательский опыт.
● Важным направлением становится защита самих платформ IAM и их глубокая интеграция с другими компонентами корпоративной системы безопасности — от SIEM до DLP.
Обсудим эти тренды подробнее.
Переход к дорожным картам внедрения IAM
Многие компании, которые пытаются решить свои задачи по безопасному и эффективному управлению доступом, часто выбирают разрозненные продукты, полагая, что внедрение средств защиты само по себе может быть панацеей.
На самом деле этого недостаточно. Защита и управление IdM связаны со значительными тратами на технологические решения. Компании необходимо провести аудит инфраструктуры, чтобы обеспечить максимальную эффективность инвестиций на внедрение IdM-платформы и достичь ожидаемых бизнес-результатов. Организовать такую подготовку собственными ресурсами часто оказывается не по силам.
Уже на первом этапе подобного проекта компанию ждет множество сложностей. Одни пользователи могут получить доступ к данным, к которым им не следует иметь доступа. Другие лишаются доступа к необходимой для работы информации. Это приводит к хаосу, замедлению работы и, конечно, к растущим рискам.
Поэтому сегодня компании отходят от разрозненных решений безопасности и все чаще демонстрируют спрос на дорожные карты — целостные системы, включающие разработку методологии, выстраивание бизнес-процессов на стороне клиента и последующую имплементацию технологий управления доступом.
Создание дорожной карты начинается с тщательного анализа ситуации. Компания должна получить полное представление о текущих системах и процессах, связанных с управлением доступом, выявить существующие уязвимости и проблемы. Следующий этап — формирование стратегии, которая будет направлена на достижение поставленных бизнес-целей.
На этом этапе важно взаимодействие со всеми заинтересованными сторонами, чтобы учесть их мнения и потребности. Каждое подразделение может иметь собственные требования к процессам управления доступом, которые не видны на поверхности.
На основе разработанной стратегии компания может переходить к созданию новых бизнес-процессов и оптимизации уже существующих. Необходимо четко определить, как пользователи будут взаимодействовать с системой, какие правила доступа будут действовать в разных ситуациях: при приеме, переводе и увольнении сотрудников, при изменении данных и т. п. Важно правильно выстроить все эти процессы, чтобы избежать путаницы и конфликтов. Только после этого можно переходить автоматизации процессов.
В практике ГК «Солар» для упрощения этого процесса сформировался набор инструментов, который базируется на практике внедрения IdM-платформы в отраслевых компаниях. Мы используем комплексную методологию процессов IAM, организуем подготовку инфраструктурных компонентов и бизнес-процессов в для бесшовного внедрения системы в соответствии с требованиями. Также используем предустановленную конфигурацию и реализуем интеграцию управления доступом в существующую IT-инфраструктуру клиента. Все это дает возможность внедрить новое решение с минимальными затратами по времени, снизить риски в процессе интеграции и создать безопасную и гибкую рабочую среду.
Распространение контекстных моделей управления доступом
Еще недавно ролевая модель была самой распространенной в концепции управления доступом. Например, в банковских системах создаются роли для определенных должностей с набором заданных прав. В каждом офисе есть сотрудники с типовыми задачами, однако кассир во Владивостоке должен работать со счетами только Дальневосточного региона, кассир в Москве — со счетами Московской области и т.д.
В результате компания вынуждена создавать дублирующие роли с фактически одними и теми же опциями — свои для каждого региона. Теперь представим крупную банковскую сеть, у которой в каждом подразделении десяток специалистов: кассир, старший кассир, контролер, менеджер, кредитный эксперт, консультант, управляющий и т.п. Количество ролей в системе увеличивается пропорционально количеству регионов, и сопровождать такую инфраструктуру становится очень не просто.
Именно здесь на помощь приходит контекстная модель, которая учитывает особенности работы каждого пользователя. Такая система учитывает местоположение, устройство, а также дополнительные контексты для принятия решения о доступе к тому или иному объекту данных.
Компания может создать одну роль для кассира и добавить региональный контекст. Такой подход существенно повышает уровень безопасности. Система IAM анализирует не только сам запрос, но и его «окружающую среду». Контекстная модель позволяет быстрее адаптироваться к изменениям организационной структуры, функций сотрудников, периметра их работы и т. п.
Так, в решении Solar inRights контексты загружаются из информационных систем в отдельный справочник и отображаются на различных формах системы, связанных с ролями: в карточке пользователя, где указаны доступные роли, отчетах, истории изменения ролей. Пользователь может выбрать не только роль для запроса, но и необходимые для назначения контексты. Такой подход поднимает управление доступом на качественно новый уровень.
Особое внимание к клиентским данным
В финансовых организациях и в ритейле основное взаимодействие с клиентами происходит через веб- и мобильные приложения. При этом клиентские учетные данные подвержены массовым атакам, фишингу, захвату сессий и подмене токенов. Злоумышленники часто эксплуатируют слабые или повторно используемые пароли, а также уязвимости в мобильных приложениях и веб-интерфейсах. Именно поэтому в последние годы управление клиентскими данными выделяют в собственную категорию IAM — Customer Identity and Access Management (CIAM). Здесь пересекаются задачи кибербезопасности, маркетинга, пользовательской аналитики и цифрового взаимодействия.
Понятие CIAM объединяет управление цифровыми идентичностями внешних пользователей: клиентов, партнеров, поставщиков. В отличие от традиционного IdM, ориентированного на сотрудников и внутренние ресурсы, CIAM фокусируется на безопасном и удобном доступе к клиентским сервисам. Основная задача — не просто защитить учетные записи, но обеспечить положительный пользовательский опыт: быструю регистрацию, единый вход (SSO), поддержку социальных логинов, управление согласиями и соблюдение требований к персональным данным.
IAM-платформы, которые обеспечивают взаимодействие в формате B2B&B2C, позволяют быстро проводить миграцию политик аутентификации/авторизации и процессов. Компании могут вести учет клиентских прав, управлять ими и поддерживать в актуальном состоянии, работать с техническими учетными записями, использующимися для сервисных целей и взаимодействия IT-систем.
CIAM-системы обрабатывают огромные объемы данных, часто с высокой степенью чувствительности. Эти решения должны масштабироваться под миллионы пользователей, обеспечивать быструю и гибкую аутентификацию для множества приложений со множества устройств и авторизацию к необходимым ресурсам.
Защита платформ IAM и интеграция с корпоративной инфраструктурой безопасности
Последний тренд в нашем списке связан с запросом на формирование единой безопасной цифровой среды, в которой IAM-платформы тесно интегрируются с другими инструментами кибербезопасности, создавая устойчивую и управляемую систему защиты на всех уровнях взаимодействия с информационными ресурсами.
Такая экосистема позволяет не просто закрыть отдельные задачи, а выстроить сквозную защиту, адаптированную к бизнес-процессам и современным угрозам. В центре этого подхода — взаимодействие систем, отвечающих за управление идентификацией и доступом, мониторинг, предотвращение и реагирование на инциденты.
Одним из базовых элементов выступает многофакторная аутентификация, обеспечивающая устойчивость к компрометации паролей и другим попыткам несанкционированного доступа. Поверх этого слоя работают решения класса IdM/IGA, автоматизирующие создание, изменение и удаление учетных записей, а также управление правами доступа на основе политик и ролей.
Для повышения прозрачности и безопасности работы с данными, особенно неструктурированными (например, документами, выгрузками и презентациями), внедряются системы Data Access Governance, позволяющие выявлять чувствительные данные и контролировать предоставление доступа к ним. Параллельно с этим применяются решения для управления привилегированными пользователями (Privileged Access Management, PAM), которые дают возможность детально отслеживать и контролировать действия администраторов и других пользователей с расширенными правами.
Дополняют картину средства ITDR (Identity Threat Detection and Response), фокусирующиеся на обнаружении аномалий и потенциально вредоносной активности, связанной с цифровыми идентичностями. Эти решения позволяют оперативно выявлять признаки взлома, утечек или попыток злоупотребления доступом, минимизируя ущерб и сокращая время реагирования на инциденты.
Заключение
Отмеченные тренды отражают ключевые векторы развития систем управления цифровыми идентичностями в сегодняшних условиях. Переход к стратегическому планированию внедрения IdM, распространение контекстных моделей управления, усиление фокуса на клиентские идентичности (CIAM) и углубленная интеграция IAM-платформ с корпоративной инфраструктурой безопасности — все это не просто модные направления, а ответ на реальные и нарастающие угрозы.
Очевидно, что в ближайшие годы риск, связанный с компрометацией учетных данных, будет только усиливаться. Злоумышленники совершенствуют инструменты атак, активно используют автоматизацию, искусственный интеллект и все чаще фокусируются именно на идентичностях как на наиболее уязвимом элементе цифровой среды. В таких условиях надежная система IAM становится не просто частью ИТ-инфраструктуры, а стратегическим активом компании.
Разработчики решений в области управления доступом должны постоянно отслеживать динамику киберугроз, обновлять архитектуру продуктов и внедрять новые функции, соответствующие актуальным вызовам. Только так можно обеспечить гибкость, масштабируемость и безопасность IAM-платформ — и, как следствие, сохранить доверие пользователей, устойчивость бизнеса и соответствие регуляторным требованиям в цифровую эпоху.
