Dimitri Chichlo Implementation of Role-Based Access Control in a Medium-Sized Financial Institution

так я там было несколько лет назад я вступил свою новую позицию в новые новым банки в новое предприятие и я сидя в офисе и стучат по двери 2 аудитора ко мне приходит я понимаю что у меня этот день пройдет как-то необычно и не очень приятно наверное когда аудитория к вам приходят это всегда знать что и они что-то нашли у них есть какие-то вопросы они начинают объяснять что они сравнивали учетной записи в разных системах со списком нынешних и бывших сотрудников которые дали список которые и чарда и они начали они не нашли скажем различие то есть они нашли в системах учетной записи тех людей которые уже в принципе не существует которые выживут есть предприятия они в системы нашли

люди которые в других департаментах работает у которых есть еще учетной записи в старых системах потому что они поменяли должности вот и они ко мне приходят спрашивают ну вы можете нам объяснять почему она потом так происходит вот это это была наша первая проблема это значит что где-то есть проблемы с безопасности во вторых всегда слышно что новые сотрудники недовольны потому что им нужно ждать несколько дней или даже недель чтобы получить доступ к системам и каждый обвиняет друг друга и чар обвиняет такие что они не получают какую-то информацию которая не должны передать эти обвиняйте чар что они не получают информацию которую они должны получать менеджер недовольны потому что их сотрудники не могут работать несколько дней или несколько недель то

есть такая разборка да и а мы здесь и нам задают вопрос а почему и я понял что если есть такая проблема нам нужно ее решить и знаете вот обычно смотрит на кибербезопасность как очень технический департамент дикие которые там с компьютерами постоянно ну там пытается делать какие-то там атаки а мы зашли с другой стороны мы решили решить это вопрос этот вопрос с точки зрения организации и быть точка соединения между бизнеса який вот почему у нас была такая ситуация на самом деле я работал тогда было до 90-х до конце 90-х был банк a bank а продал продался банк b и у этого банка б были две банки были правят банки и к машинке но ну про биг

бен тен делал эти для весь b для q носил банки и практики и однажды банк b решил продать праведники функции но пока банк к машинке получал возможность сделать аутсорсинг не совсем сайте банкс и делал эти для кого нашел деньги то есть у нас были элементы банка банка by providing помешал деньги и потом еще банка c плюс еще к этому добавлялись проблемы как таймаут на логин то есть пользователи далее иногда там до 10 минут пока залогиниться сессии и у них конечно был тайм-аут потому что пошли после десяти минут был таймов то есть именно приходил в том перезагружать компьютер то есть точки зрения эффективности это было собственно не очень эффективно вот и мы начали разговаривать сайте да почему у

вас там такие проблемы покажите нам active directory что там находится что там находится мы приходим к выводу что для 150 пользователей у нас больше 800 этих группах в active directory то что в принципе не очень целесообразно потом мы смотрим скрипты для сорта мы видим что у нас там скрипты которых там больше 15 тысяч линий и там есть элементы старого банк еще банка о которой уже больше 10 лет не существует то есть очень все было очень сложно и к этому еще мы сталкивались проблемы что нам нужно будет перейти с xp на windows 7 то есть это было 2013 начало 2014 года вот и мы решили подходить к этому системно то есть мы решила решили полностью построить новый

active directory на базе мол basic сиз концу основные проблемы с которыми сталкивается сталкивается пользователь и организации это в принципе когда у вас скажем учетной записи которые еще существует допустим вы увольняете одного сотрудника и он скажем не очень довольны с этим фактом да и он в принципе можешь на там плохого творить система удалять скопировать и давайте разбираться с этим на 2 мне очень нравится его это в аналитике и сделала исследование в восемнадцатом году когда ваш начальник айти выступает по телевидению и объясняя почему существовал почему произошло допустим там дай the breach в компании то я помню в пятнадцатом году такой международный французского канал телесных но называется их тогда как аккумулятор на скажем образом и выступаете и которые

объяснять я не понимаю почему у нас такое произошло потому что у нас мы мы мы недавно установили файл почти новый что такое почти новый файл да то есть я его объясняет своими словами проблемой для товарищ да и в принципе понятно что что-то непонятно вот и конечно все учетной записи с с паспортами которые можно найти на торгуем да это именно это скажем наши основные проблемы для кибербезопасности на это скажем когда ваш сотрудник не очень довольны может даже это произойти такое скажем на дата-центре да вот и мы поняли что нужно что нам нужно решить этот этот вопрос и показать что кибербезопасность не только технические люди да а в основном что они могут быть организационное у которых есть скажем стратегический подход то

есть ati не может нормально с бизнесом общаться нет никаких кайдан это чтобы объяснять вот когда приходит сотрудник что с ним делать какие системы каким системы мы должны получать доступ кто делать запрос что в запросе должно стоять как они формате кто-то кто передает информацию проблема открытым привели часто есть сотрудник перешел с одного новые другом департаменты просто она у него остались старые учетной записи и в принципе он может творить и в старых системах из новых системах которые могут быть который противоречит сигнаги членов гитис или там files and да конечно аудиторы были очень довольны потому что им чем скажем найти и на котором они могли ставить какой-то акции и мы решили скажем решить эту проблем да это в

принципе когда у вас когда вы получаете звонок этого человека у вас нет ни большого выбора вы должны брать трубку или брату и вот как это получилось то есть я сегодня объясню как мы каким образом мы им примонтировали средние предприятия то есть это было где-то 150 человек я понимаю что в больших очень организациях это может быть то что то что я объясняю как как мы это делаем это может быть чуть чуть сложнее потому что это будет довольно мутная работа и сегодня на базы а тысячи лента режим съесть системы которые могут это делать тем не менее эти системы они конечно дорогостоящи до средних предприятиях и в принципе большинство предприятиях в мире они маленький или средний то есть этот

скажем процесс он в принципе адаптирован для большинство предприятий что такое волга волга sexy скажу то есть это возможность это когда у сюжета есть это может быть человек это может быть система есть возможность получать доступ к кому-то объекту соответствии с роли в предприятие или с функцией обычно как это все выглядит то есть если ресурсы есть пользователи и у каждого пользователя есть доступ какую-то ресурсы и туз каждый раз когда мы хотим создавать доступ какую-то ресурсы нужно это вручную это делать накажи лесу то есть у нас у нас здесь алиса у нас богу коровой дэйв и у каждого есть разные доступ и в разных системах и то есть когда один пользователь уходит нужно в каждом скажи система делать только гагикович свой

бизнес камшота чуть чуть иначе мы просто создаем разные это пример в в active directory мы создаем security group и у каждого security group есть я доступ к разных системах и когда мы хотим давать доступ к этим всем систему новому сотруднику мы знаем что отец сотрудник что алиса пришел и она будет работать в бухгалтерии как передовой сотру и у него будет доступ к этими системами через подключение к security group of active directory тут же самое то же самое для блок для короллой до дыр и скажем 100 завтра дэйв уходит из предприятий до вместо в каждой системы то все уничтожать нужно просто убрать доступ дэйв к этому секрете гу и он автоматически и получай ну автоматически лишается все доступы к

другим и к ко всем системам да не скажем что бог переходит с одного департамента в другом не постаменты мы просто создаем новый то есть мы ему даем доступ к новым и security group мы уничтожаем моего увальню пера им со старого security group и таким образом у него есть новые ролики все проводов то есть это намного проще и это намного быстрее потому что одно дело пойти вручную да и не забыть что он у него доступ в разных разных систем и другое дело когда мы знаем что сотрудников этого сотрудника больше нет мы его убираем secure групп и закрылся закрылся вот и как я объяснял изначально смотрит очень часто на кибербезопасность как у тихий очень технический департамент на самом деле мы знаем что

технологии играют роль в десяти процентах случаев в первое в первую очередь играет большинство роль это играет процесса и люди да и вы знаете я что есть такой закон который заказ порой кас пару слов ну в закон правило что слабый юным как слабый человек и система плюс очень хороший процесс всегда будет более эффективной чем очень силен человек система и слабые процессы слабый процесс он не дам он не даст нам возможность скажем контролировать с точки а до точки z всю эту цепочку вот то есть в первую очередь мы решили вовлекать людей и переделать все наши процесс то есть мы взяли густую бумагу и вы мы в первую очередь начали рисовать процессы как происходит он бардин одного сотрудника как происходит

скажем перевод перевод с одного в другом департаменты и как происходит увольнении или там то есть когда увольнении сотрудника да и мы просто это нарисовали просто с нуля и мы для этого начали разговаривать со всеми ки со всеми стих ударами то есть и чар айти манагеры администрации секретари и так далее все люди которые могут быть вовлечены в этом процесс вот и мы это нарисовали снаряд чтобы быть уверен и и мы убедились в том что все понимали какая у них роль вот и таким образом что мы еще сделали то есть мы включали туда не только учетной записи а допустим убеждались в том что когда сотруднику приходит у него есть рабочий стол у него есть визитки когда нужны у

него есть скажем канцелярия его ждут и то есть с того момента как он сел перед компьютером перед рабочим столом он может начинать там с первой минуты и не нужно где-то еще что-то искать сделали какие-то запросы в администрации чтобы какие-то там материала заказать и так далее то есть мы не только скажем мне решали только вопросы эти безопасности а мы общие вопросы эффективность на предприятии решили вот и для этого мы выходили комана жирами и объясняю что мы хотим решить их проблему то есть они на нас смотрели не просто как люди которые знаете вот как полицейский которые приходят и говорят глаз нет а там где не делайте так мы вам запрещаем таким образом работать а мы просто приходим гарант как и у вас

проблем как мы можем вам помочь их решить и сразу подход к кибербезопасность ну то есть взгляд на теперь безопасности на предприятии начал менять то есть для этого если мы хотим в том числе переубеждать я руководство что тот проект который мы делаем что он эффективный и что нужен для предприятия нужно каким-то образом показать что он будет приносить какой-то профицит на что это не просто касты это не просто люди которые будет надо там работать это всем будет в пользу и в том числе для предприятий да то есть мы знаем что это еще 1 1 середине и исследование аналитики что от 40 44 процентов к организации нужно из несколько дней до несколько недель что получать доступ систем понимаете что

когда сотрудник приходит и он должен ждать несколько недель что получая доступ в системы работать это можно просто взять цифра сказать что этот сотрудник там где 20 процентов работать в этой системы там несколько недель у него нет доступа то есть предприятие теряется только денег это довольно легко это показать просто нужно эту работу делать потому что руководство верят во первых в цифры если кибербезопасность приходит всегда с техническими проблемами всегда с запретами это будет ну скажем люди не совсем ну как в какой-то момент они уже устали от слышать всегда одни и те же самые темы мы вам запрещаем есть какая-то там штука который не хватает для для этого нужно деньги там нам нужно деньги что приобрети приобрести какой-то

системы чтобы решить вопрос на самом деле если вы приходите сити вербай запасы в приходе какой мы решаем эти вопросы и для предприятия это увеличения эффективность и мы вам помогаем не терять столько денег сразу люди уже понимают что делает кибербезопасность то же самое что 32 процентов до для организации до 32 процентов нужно несколько недель или месяцев перед тем как удалять в учетной записи а я помню что он свои свой собственный пример я когда начал свою карьеру еще давно ушел с предприятие и через год я решил просто проверить если у меня еще есть доступ в их не системы я захожу я вижу что я ничего там не изменился то есть все мы ищем учетной записи остались я могу увидеть эти самые богу

бухгалтерские учеты и консолидированные так далее я позвонил на предприятии сказал слушай ты можешь мне удалить потому что она мне как то не комфортно я ищу там существует а вдруг что-то произойдет но я не хочу чтобы мне то есть самому мне пришлось это делать работают прошло больше года вот и потом чтобы делать следующий шаг для airbag мы взяли еще раз взяли экселевский щит и начали делать в полностью не винта лизации всех ресурсов которые есть предприятий таким образом мы начали помогать айки строить всем тебе no configuration management эта вещь потому что оказалось что у них не было у них не была какая-то база данных где в которой можно найти с я тебе все ресурсы для этого мы реально

пришлись то есть всякие мы реально прошлись с каждым пользователем и есть мана жирами которые создавали рабочие группы департаментах и мы сделали полностью инфанта ре зация всех ресурсах которые нужно для пользователей на то есть софт и сервера базы данных принтеры и сканеры

почтовые ящики абсолютно все что все что им нужно и мы начали рисовать мать матрицу мы хотели потом мы начали разговаривать с каждым манагерам с рабочими группами что вам нужно дать их системы обычно знаете как то происходит приходит новый сотрудник говорят давайте дать ему права доступа как у меня или как у него а что вам ну вот доступ к чему а нам нужно ко всему вот чтобы не было там проблемы там понятно да но на самом деле вам не нужно доступ и возможности но его нужно доступ ко всем вам нужно просто доступ по princeton сагре гатчина в детей и [музыка]

вспомнить то есть мы строили роль то есть рядовой сотрудник бухгалтерии там начальник поля тьерри в бэк-офис то же самое там начальник группы sdk офис начальника баков леса заместитель баков из то есть мы начали строить эти профили и к нему к ними мы просто определяли точно что должен сотрудник делать в каждой системе то есть каким системам он должен иметь доступ и в этой системе что он должен делать какие возможности он должен получать вот и таким образом до изначально это все так такое не очень определенно в какой то момент мы приходим к консолидированной картинку для каждого департамент то есть мы убираем здесь мы чуть-чуть добавляемый по на нем мы и стандартизирован в полностью скажем профиль для каждого

департамент нужно иметь ввиду что предприятие меняется то есть в какой-то момент может быть реорганизация то есть какая-то группа или департамента разделяем пополам одна часть идет в другом департаменты или там наоборот там шляйся разные департаменту то есть когда мы строили эти профили мы имели в виду что и это очень важно когда делается что компаниям ну то есть скажем организация компания может меняться вот да то есть мы строили на базы нитью не пиаф и настроили на базе сыграть еще то есть допустим один сотрудник должен иметь возможность вбивать счет бухгалтерских систем и для оплаты и поставить 1 подпись но не имею не должен иметь право поставить 2 подпись это для этого допустим есть там начали начальник группы или начальник

партии и таким образом мы знаем что оплата ну то есть мы избежать мошенничества вот то есть лишь проявили чинитель vasya гладящим of duty это основные принципы по которым мы работали и все должны работать и потом мы построили матрицу то есть еще раз взяли экселевский файл мы не покупали какой-то там нога дорогостоящей системы мы просто взяли экселевский файл и построили нарисовали эту матрицу и это матисса это была база для айти чтобы строить допустим группы security кнут в active directory и мы тоже для этого ну как позировали но как использовать эту матрицу чтобы строить скажим темплейты в системах то есть потому что в active directory и вам тай дай доступ в этом систему а а в системе а есть уже разные роли то

есть допустим у нас был template бак офис приходит новый сотрудник мы просто копируем этот template мы меняем имя template на имя сотрудника и таким образом он получается рожы доступ но пусть он получает те права которые нужно получать вот для этого то есть и когда приходит новый сотрудник просто и чар говорит такие вот приходит петров он будет работает как рядовой сотрудник бухгалтерии такие берет матрицу он видит что там рядовой сотрудник он должен иметь там мы его ставим в такую группу там у него будет такой темплейт копируем переименуем вопрос закрыт то есть это занимает очень короткое время вот и как я говорил мы базе ресницы мы строили воровству и для этого мы просто использовались тоже технологии dot net

мы не покупали какие-то системы просто использовали то что у нас был окей нарисовали нарисовала то есть изначально даже все это делали в этом в acrobat мы строили формы там были меню люди выбирали какой сотрудник там имя фамилия заполняли потом как и профилем и это отправляем потом это строили через dotnet но мы изначально взяли очень простую технологии по то му что если вы покупаете так дорогостоящая технология но вы на самом деле еще не знаете что вам нужно вы просто теряете времена то есть она у вас есть мы пока вы его не монтируете может там год прошло там полгода год то есть все это время вы заплатили деньги которые вам не нужны и может через год вы понимаете что

на самом деле это технологий вам не нужно было и это происходит довольно часто то есть мы не можем решить эти проблемы просто this technology вот то есть мы создавали группы в active directory мы создавали тимплей системы и мы начали делать deployments с ключевыми сотрудники в разных в разных департаментах все это мы почистили и потихоньку мы перевели люди в разных группах перевели их со старого active directory новым active directory полностью как я говорил убери старого построен новый и таким образом это пошло довольно плавно вот конечно когда вы это все сделали вопрос всегда такой а что будет через полгода или год то есть меняется организация люди приходят люди уходят здесь очень важно регулярно запланировать скажем как resale с

манерами то есть развод мы к ними подходили и спрашивали задавали вопрос если все что мы строили год назад еще существует это еще актуально или это уже не актуально что там нужно менять да вот и очень просто тоже мы регулярно там каждые три месяца мы просто брали списке это еще российских системах и мы сравнивали таким образом когда приходили аудиторы всегда все было чисто аудитором не было чем кормить скажем то есть что что мы поняли когда мы установили рыбак в банке и ключевые моменты то есть три ключевых моментах 1 всегда с процессами начинать потому что когда мы начинаем с процессами мы видим всю цепочку мы видим кто вовлечен какие системы величины и мы в принципе и так и

могу никого не забываем но ничего не забываем и мы решаем проблему эти безопасности не системами а с процессами в первую очередь во вторых вовлекать бизнес и support вам шанс не только один то есть проблема найти безопасность это в конечном итоге проблема 1 если уйти от бизнеса не как ей никакой информации не получает она не может решить проблема я тебе запасных в том числе и так и мог прийти учи вой момент мы позиционеры кибербезопасность как департамент как который решает вопросы которые решают проблемы кадр который создает добавлены добавленной стоимости на предприятии чтобы кибербезопасности имела скажем репутация департамента который умеет общаться с бизнесом и сайте я думаю что здесь это очень ключевой момент то есть во многих организациях

аки слабо общается с бизнеса и бизнес очень слабо общайся сайте и здесь кибербезопасность может быть это . как знать его интерфейс который умеет разговаривать с бизнесом и сайте перевести эти там языке которые могут быть сложны для бизнеса и длительно и именно быть такой точки которые создают добавленная стоимость на предприятии