Fudo Security — мировой лидер в области управления привилегированным доступом (PAM) и безопасного удаленного доступа. Технология компании обеспечивает мониторинг в реальном времени, обнаружение аномалий с помощью искусственного интеллекта, а также поведенческий и биометрический анализ. Компания также широко известна своим опытом в управлении доступом третьих лиц. Fudo Security известна своими инновациями и отмечена многочисленными международными наградами в области кибербезопасности. И даже несмотря на это, Fudo Security продолжает переосмысливать нюансы управления доступом, продолжая завоевывать признание и доверие клиентов во всем мире. О том, как компания строит успешный бизнес в нашем регионе, мы поговорили с директором по продажам Fudo Security в странах Центральной Азии, Кавказа и СНГ Максимом Праховым.

— Как появилась идея разработки решения Fudo PAM?

— История создания Fudo PAM очень интересна как, впрочем, и само название. Fudo — это почитаемый в японской буддисткой традиции бог Фудо-МеО, который призван направить на путь добра тех грешников, которые не внемлют силе слова и проповеди. Именно поэтому статую этого бога изображают в довольно суровом виде — с мечом и в обрамлении языков пламени. Это очень точно передает смысл продукта Fudo PAM. Тем добропорядочным пользователям, которые честно работают, Fudo принесет удобство, автоматизацию и защиту, а для тех, кто задумал недоброе, неизбежно настанет час расплаты.

Внедрение системы класса PAM (Privileged Access Management), в первую очередь, позволяет привнести порядок в получение нужных доступов и организацию работы пользователей с критическими IТ-системами в организации — виртуальными машинами, серверами, коммутаторами, системами хранения. Именно поэтому таких пользователей отделяют от обычных пользователей компьютеров в организации и называют привилегированными пользователями. И этот базовый уровень безопасности становится полезным для всех сторон — как самих привилегированных пользователей (ведь они получают гарантии фиксации всех действий, в том числе их упорной и плодотворной работы/переработки, защиты паролей от критических систем), так и специалистов, отвечающих за кибербезопасность в организации, получающих удобный инструмент не только для быстрого управления доступами, но и для автоматизированных расследований и предотвращения инцидентов информационной безопасности.

История продукта Fudo PAM началась в 2016 году, когда один из основателей компании, Павел Давидек, занимающий позицию CTO с момента основания компании, придумал новую концепцию работы PAM-системы, основанную на передовой и защищенной архитектуре единого виртуального устройства (all-in-one Virtual Appliance) и революционном принципе работы на уровне протоколов рабочих сессий пользователей, таких как RDP, VNC, SSH, VNC, MS SQL и другие, записываемых и контролируемых PAM системой «на лету», без необходимости использования промежуточных серверов (так называемый jump-host — прим. ред.). По совместительству Павел был и продолжает являться одним из ключевых контрибьюторов комьюнити FreeBSD в Польше, что позволило ему применять все преимущества этой защищенной операционной системы и внедрять механизмы отказоустойчивости (нативый active/active кластер — прим. ред.) при создании продукта Fudo PAM.

— Как вы считаете, должен ли такой инструмент, как управление привилегированным доступом, стать частью общей концепции кибербезопасности?

— Да, и это неоспоримый факт. Именно PAM-система при всей простоте внедрения (для запуска Fudo в работу требуется всего 1-2 дня — прим. ред.) обеспечивает базово необходимый уровень защиты организаций, а точнее, их важнейших бизнес-активов в виде критических IТ-систем. Сам принцип работы, ставящий под контроль любые действия с IТ-системами и надежно защищающий пароли доступа к ним, позволяет исключить самые крупные риски, связанные с действиями привилегированных пользователей и крупномасштабными умышленными утечками информации (например, продажа базы данных целиком на darknet — прим. ред.) или незаконной передачей доступов третьим лицам (например, также на darknet популярен сценарий покупки доступа в корпоративную сеть со стороны хакерских группировок — прим. ред.). Ведь применение Fudo PAM позволяет заблокировать кибератаку на каждом из пяти известных этапов, приведенных ниже.

Таким образом, внедрение PAM имеет смысл выполнять на ранней стадии развития организации, сразу после развертывания антивирусов, построения защищенной корпоративной сети и запуска важных IТ-систем в ней.

— Во многих обзорах инструментов для управления привилегированным доступом в качестве альтернативы Fudo PAM приводятся такие решения, как CyberArk Privileged Access Manager, Delinea Secret Server, WALLIX Bastion и другие. В чем заключаются ваши основные преимущества по сравнению с конкурентами?

— Fudo PAM является наиболее эффективным и передовым инструментом, предназначенным для быстрого решения задач, относящихся к управлению привилегированным доступом. Также это продукт, полностью советующий локальным требованиям: работа строго в локальном ЦОД заказчика (on-premise — прим. ред.), отсутствие необходимости применения каких-либо агентов, что является ключевым требованием для надежного контроля пользователей без возможностей обхода контроля и исключает вопросы какой-либо совместимости с различными операционными системами и/или приложениями, ведь работа строится на нативном контроле таких протоколов как RDP, спецификации которых стандартизированы.

Именно эти отличия и встроенная в продукт передовая функциональность позволили стать абсолютным лидером рынка PAM-систем на Кавказе и в странах Центральной Азии с более чем 130 действующими заказчиками. Если же говорить про более конкретные отличия, то, помимо передовой архитектуры all-in-one, можно выделить три ключевых функциональных преимущества:

1. Функциональность любой PAM-системы непосредственно строится на видеозаписях рабочих сессий привилегированных пользователей. В этом и есть огромное преимущество по отношению к log-файлам, которые малоинформативны и к тому же могут быть с легкостью удалены самими привилегированными пользователями. Однако, мало кто задумывается, как можно использовать эти видеозаписи, например, как найти в десятках тысяч запись интересующего нас момента работы определенного пользователя с определенной информацией. Для этого в Fudo PAM применяется специально встроенным механизм OCR (Optical Character Recognition), предназначенный для распознавания текста в записях сессий и возможности моментального поиска по слову/фразе не только нужной видеозаписи, но соответствующего момента в ней. К примеру, в двух из трех упомянутых устаревших конкурентах механизм поиска OCR полностью отсутствует, а во французском WALLIX же предлагается самостоятельно скачать бесплатный open source OCR-модуль и интегрировать его со всеми вытекающими последствиями по надежности и безопасности такого подхода. Более того, в рамках фокусной работы Fudo в нашем регионе, в феврале этого года, была реализована поддержка в OCR алфавитов национальных языков, в том числе тюркских, включая азербайджанский, киргизский и казахский. Это позволяет выполнять моментальный поиск по записям сессий, например, персональные данные, содержимое документов и т.п., одновременно не только на английском и русском языках, но и родном языке.
2. В Fudo PAM реализован уникальный модуль искусственного интеллекта, который работает автоматически на базе машинного обучения и создает индивидуальную модель поведения каждого пользователя системы. Модель создается на основе «поведенческой биометрии» — анализа индивидуальной манеры перемещения мыши, скорости кликов и скорости набора на клавиатуре. Для командных интерфейсов, например, SSH, выполняется синтаксический анализ текста, то есть, определяется, какие именно команды являются типичными, какие опечатки бывают регулярно и т.п. По тому, как срабатывает поведенческий ИИ-модуль в Fudo, можно настроить не только уведомления для администратора системы и наглядно следить за работой модуля в графическом интерфейсе, но и гибко настроить автоматические блокировки сессий, например, когда удаленные пользователи работают со сверхкритичными системами. Такой подход кардинально отличается от заявляемого конкурентами поведенческого анализа, который имеет гораздо более примитивный принцип работы, основанный лишь на анализе типичного времени сеансов, количества введенных команд и количества запускаемых пользователем сессий. Такой подход не позволяет эффективно использовать данную технологию для предотвращения инцидентов в режиме реального времени, незаконной передачи привилегий и работы нелегальных пользователей, а также предотвращать кибератаки, основанные на похищении учетных записей доступа к PAM-системе.
3. В Fudo разработали специальное мобильное приложение Fudo Officer, доступное для платформ IoS и Android. Причем, это не ставшая обычной практикой двухфакторная авторизация при помощи комбинации цифр мобильного приложения (интеграция с различными 2FA в Fudo PAM, конечно же, реализована — прим. ред.). Это специальное приложение для сотрудников, отвечающих за управление доступами (Security Officer). Необходимость создания такого приложения была вызвана широким внедрением заказчиками Fudo принципов Zero Trust и Zero Standing Privileges, активно рекомендуемых ведущими экспертами информационной безопасности. В разрезе применения PAM-систем эти принципы выражаются в подходе, согласно которому доступы к критическим системам должны появляться у пользователей лишь на время выполнения требуемой задачи, чтобы сократить поверхность атаки с точки зрения возможных временных рамок. И это с легкостью можно реализовать в Fudo PAM — настроить пользователю доступ к определенным системам по расписанию или дать ему возможность самостоятельно запросить доступ из своего рабочего кабинета Fudo. Именно эти запросы на доступ и предоставляет возможность быстро обрабатывать мобильное приложение Fudo Officer — получить push-уведомление, одобрить или отклонить запрос на доступ, выполнить поиск по истории запросов. Применение такого механизма позволяет избежать многочасового ожидания доступов высокооплачиваемыми привилегированными пользователями (исключить потери организации — прим. ред.) и реализовать SLA по обработке запросов с интервалом не более чем 15 минут.

— На какие компании больше всего ориентировано решение Fudo PAM и где у вас больше установок? В сегменте SMB или в корпоративном секторе?

— Благодаря примененной архитектуре и принципам работы Fudo PAM в хорошем смысле является универсальным решением, с низким порогом входа с точки зрения стартовых затрат. Например, минимальный порог лицензирования включает лишь пять целевых систем или трех пользователей, что очень доступно по стоимости. В то же время, благодаря горизонтально масштабируемому кластеру и возможности добавлять виртуальные устройства в active/active режиме, Fudo PAM позволяет балансировать нагрузки и обеспечивать контроль за одновременной работой сотен привилегированных пользователей в высоконагруженных ЦОД заказчиков из крупного корпоративного сегмента.

— Можете более подробно рассказать о нюансах лицензирования вашего продукта?

— Гибкость лицензирования — это еще одно преимущество Fudo PAM, не менее важное, чем технические характеристики. Так, согласно все еще распространенной в регионе финансовой модели CAPEX, доступна закупка Fudo не только в виде подписок, но и в виде бессрочной (perpetual) лицензии. Это позволяет использовать Fudo PAM с уверенностью, что его работа не будет остановлена из-за возможных проблем с закупками. Необходимо лишь периодически продлевать техническую поддержку, которая является опциональной и дает доступ к обновлениям и к саппорту вендора. Также можно выбрать и основную метрику лицензирования — по количеству привилегированных пользователей или по количеству целевых систем (по IP-адресам считаются виртуальные машины, коммутаторы и т.п. — прим. ред.). Второй подход наиболее востребован нашими заказчиками, так как предлагает поддержку неограниченного количества пользователей. Ведь именно возможность добавлять пользователей в PAM-систему и оставлять их аккаунты для управления доступами позволяет добиваться максимальной эффективности, избавляя от необходимости регулярного удаления и повторного добавления этих же пользователей из-за существования лицензионных лимитов по их количеству.

— Насколько глубоко в Fudo PAM интегрированы инструменты машинного обучения и искусственного интеллекта? И как реализуется эта интеграция — локально или в облаке?

— Принцип работы ИИ-модуля в Fudo PAM описан ранее. Можно лишь добавить, что вся функциональность Fudo работает локально, без необходимости подключения к интернету, и она включается в базовую лицензию поставки продукта. ИИ-модуль, мобильное приложение и OCR не требуют отдельных затрат.

— Насколько полезной оказывается для отделов информационной безопасности возможность отслеживания поведенческих моделей пользователей?

— Реализованная в Fudo PAM технология непрерывного контроля поведенческой биометрии пользователей позволяет как блокировать кибератаки, так и бороться с нарушением правил выдачи индивидуального привилегированного доступа. В частности, мы неоднократно наблюдали в действующих инсталляциях Fudo срабатывание поведенческого модуля при работе внешних подрядчиков — IT-аутсорсинг компаний или вендоров-поставщиков решений. Это говорит о том, что, несмотря на строгие правила предоставления доступов, удаленные пользователи позволяют себе их нарушать и передают свои доступы коллегам по команде, например, во время отпусков или по другим причинам отсутствия на рабочем месте. Эффективное использование Fudo PAM позволяет моментально выявить такие нарушения и вынести предупреждение, а при следующем нарушении уже настроить блокировку соответствующей удаленной сессии.

— С момента создания компании она занималась развитием лишь одного продукта — Fudo PAM, но в этом году было представлено решение Fudo Share Access. Каким функционалом оно обладает и насколько тесно связано с вашим основным предложением?

— Создание и выпуск Fudo Share Access является ответом на многочисленные запросы действующих заказчиков, стремящихся организовать безопасный доступ для удаленных привилегированных пользователей. До выхода Fudo Share Access мы предлагали применять сторонние VPN-каналы для работы удаленных пользователей. Но этот способ имеет ряд недостатков. Например, необходимость в настройке и поддержании VPN-клиента на каждом удаленном компьютере, возможность проникновения с удаленного компьютера вирусов и других зловредных программ, слабые возможности ограничения злоупотреблениями корпоративными ресурсами со стороны удаленных пользователей. Fudo Share Access — это платформа управления доступом, при помощи которой удаленные пользователи могут моментально запустить удаленные рабочие сессии через любой браузер, авторизовавшись на портале Fudo (https://shareaccess.com). При этом все данные продолжают храниться в локальной инсталляции Fudo PAM, а настройка удаленных доступов выполняется из советующего меню административной консоли Fudo. Благодаря этому появляется возможность четко разграничить доступы и обеспечить контроль из единой точки — какие подключения будут иметься у пользователя при работе внутри корпоративной сети, какие при удаленной работе.

— Расскажите, пожалуйста, о партнерских программах, которые Fudo Security реализует в регионе?

Мы активно развиваем в регионе локальный канал поставок, опирающийся на местных экспертных дистрибьюторов, в числе которых я бы отдельно выделил компанию Techpro DC, и реселлер-партнеров, позволяющих выполнять внедрения Fudo PAM не только силами сертифицированных по Fudo специалистов, но и применять лучшие практики. Именно большой опыт реализации проектов и понимание потребностей заказчиков позволяет нам предлагать актуальный продукт и развивать его на основании запросов, поступающих от рынка. Например, только за 2024 год из региона стран Кавказа и Центральной Азии было получено 9 запросов на новую функциональность (feature request — прим. ред.), три из которых уже реализованы в текущей версии продукта, еще четыре должны быть реализованы до конца текущего года.

Дополнительную информацию о решениях Fudo Security вы можете получить на сайте официального дистрибьютора Fudo Security в Азербайджане — компании Techpro DC
https://techprodc.com