2020: эпоха пандемии
В 2020 году клиентский портфель компании Аванпост увеличился на 24%, а совокупная стоимость проектов по внедрению ее продуктов превысила 700 млн. руб. При этом в сегменте аутентификации и управления правами доступа (одно из ключевых направлений развития рынка ИБ в России, оцениваемого аналитиками Аванпост в 3,3 млрд. руб.), к началу 2021 года доля компании составила порядка 22%. Аванпост отмечает, что рост данного сегмента составил более 20%, что стало одним из лучших показателей роста среди всех сегментов российского ИБ-рынка.
Основными драйверами такого роста стали: массовый переход предприятий на удаленный режим работы и вытекающая отсюда необходимость обеспечить более высокий уровень контроля и снизить сопутствующие риски; актуализация новых типов угроз; неизбежный на этом фоне рост активности злоумышленников. Дополнительным стимулом роста спроса на средства многофакторной аутентификации, интегрируемые с различными инфраструктурными решениями, стала необходимость исправлять ошибки, допущенные при «срочном» внедрении в первой половине 2020-го средств удаленного доступа многими ИТ-подразделениями (крупные компании) и сторонними организациями без достаточной квалификации и опыта (поставщики для среднего бизнеса).
Очевидно, что в такой ситуации предприятия были вынуждены перераспределять свои ИТ-бюджеты в пользу построения действительно надежных ИБ-систем, – с целью создания долгосрочных механизмов защиты критически важных корпоративных информационных ресурсов, тем более что любая крупная организация ставит во главу угла только стратегические интересы, направленные на повышение эффективности управления и устойчивое развитие бизнеса.
От продуктов – к экосистеме управления доступом
Ответом на все эти вызовы стал разработанный Аванпост новый план стратегического развития, предусматривающий создание «Единой экосистемы управления доступом». Данная стратегия направлена на быстрое предоставление отечественным предприятиям полного набора корпоративных и облачных решений, закрывающих все потребности организации в средствах аутентификации и управления доступом. Теперь каждый продукт линейки Avanpost позволяет решать четко определенный перечень конкретных непересекающихся задач, а их комплексное внедрение в рамках ИТ-инфраструктуры обеспечивает полностью безопасный пользовательский доступ. По мнению компании, такой подход позволяет, с одной стороны, соответствовать самым строгим требованиям к защите инфраструктуры заказчика, и, одновременно, дает возможность постоянно развивать и совершенствовать процессы и технологии системы информационной безопасности предприятия. Все это делает внедрение еще более комфортным и гарантирует клиентам быстрый и ощутимый результат. В этой связи особо отметим, что продуктовая линейка Avanpost легко интегрируется в любую ИТ-инфраструктуру, поддерживает практически все значимые российские и зарубежные платформы и прикладные системы, что открывает новые пути для масштабирования и позволяет обеспечить управление пользовательским доступом в соответствии с даже самыми сложными моделями и сценариями.
Теперь оптимизированный продуктовый портфель Аванпост включает в себя четыре основных продукта: Avanpost IDM, Avanpost PKI, Avanpost Web SSO и новую систему адаптивной аутентификации сотрудников в корпоративных ресурсах Avanpost FAM, а на конец 2021 и начало 2022 г. намечен вывод на российский рынок еще двух новых продуктов, дополняющих существующую линейку и закрывающих недостающие связанные сегменты рынка IAM.
Новый продукт Avanpost FAM объединяет все существующие на сегодняшний день технологии аутентификации и обеспечивает надежное решение задач для одно- и многофакторной аутентификации, в том числе, для систем удаленного доступа (сейчас это особенно актуально). По итогам 2020 года именно он стал наиболее быстрорастущим в продуктовом портфеле компании. В работе над FAM компания опиралась на свои многолетние разработки в области SSO, объединив лучшие авторские технологии и ресурсы, и, в итоге, создала универсальное решение, ориентированное на корпоративное использование.
В этой связи отметим, что важным шагом стало разделение функций организации доступа клиентов и работников предприятия между двумя решениями – Avanpost Web SSO и Avanpost FAM, что позволило сосредоточиться на реализации необходимых сценариев каждой из целевых групп и развить в Avanpost FAM инструменты аутентификации, применимые и широко востребованные в корпоративных инфраструктурах. Сегодня это особенно важно, поскольку в Avanpost FAM изначально заложена поддержка наиболее важных технологий аутентификации. Во-первых, это Enterprise SSO (ESSO) – метод перехвата окон аутентификации и автоматической подстановки данных пользователя, используемый для десктопных приложений и при входе в операционную систему. Во-вторых, режим IDP (Identity Provider) – используется для web-приложений, поддерживающих стандартизованные протоколы аутентификации (SAML 2.0, OpenID Connect/OpenID, а также другие протоколы на базе OAuth). В-третьих, – технология Reverse Proxy (как и IDP, применяется для web-приложений, но преимущественно для тех, которые не поддерживают протоколы аутентификации OIDC/SAML). Кроме того, в Avanpost FAM сегодня уже реализованы такие возможности, как гибкий выбор методов аутентификации в зависимости от контекста; аутентификация в КИС через мобильное приложение; постоянно появляются новые факторы аутентификации.
Также в прошедшем году Аванпост добавил в свое флагманское решение Avanpost IDM инструменты риск-ориентированного управления доступом IGA (Identity Governance and Administration) – впервые на отечественном рынке. Отметим, что новая модель полностью соответствует быстро становящейся популярной концепции управления доступом на основе оценки рисков, позволяя своевременно выявлять комплексные риски (такие, как компрометация учетной записи или злонамеренное поведение пользователя), оценивать уровень возможного ущерба от действия злоумышленника, получившего неправомерный доступ к одной или нескольким учетным записям, закладывать вариативные сценарии реагирования.
Подчеркнем, что Avanpost FAM и Avanpost IDM являются самостоятельными продуктами, совместно решающими задачу безопасности корпоративных информационных ресурсов, именно поэтому большая часть заказчиков принимает решение об их совместном внедрении.
В этом году Аванпост продолжает развивать и свой продукт для аутентификации и авторизации внешних пользователей (Customer IAM) – Avanpost Web SSO. В результате выделения FAM как отдельного продукта, разработчики Web SSO получили большую свободу действий в интересах целевой аудитории – разработчиков и владельцев систем, взаимодействующих с внешними клиентами разного вида (от покупателей до граждан страны, жителей субъектов и членов клубов). В 2020-м Web SSO приобрел базовые функции провижининга, управления регистрацией, восстановления доступа и прочие функции необходимые решению данного класса. В середине 2021-го планируется выпуск новой мажорной версии, которая объединит в себе все востребованные инструменты управления клиентским доступом.
Также продолжает развиваться Avanpost PKI – система управления PKI-инфраструктурой предприятия. В 2020-м главными изменениями стали: API для доверенных информационных систем, представляющее функции управления сертификатами пользователей; функции управления сертификатами ИС, представленные их администраторам; реализация шаблонов сертификатов с динамическим формированием состава расширений. В 2021 продукт будет развиваться в двух направлениях: развитие функций комплаенса и автоматизация управления сертификатами ИС, включая прозрачный перевыпуск.
«Облака», развитие и прогнозы
Аванпост отмечает, что за последний год значительно увеличилось число компаний, воспринимающих SaaS и другие облачные сервисы как реальную и относительно безопасную альтернативу традиционным архитектурам. Более того, нынешние реалии потребовали и от заказчиков, и от поставщиков решений внедрения надежных технологий обеспечения безопасности корпоративных ресурсов в облаке, причем без урезания функциональных возможностей. Это тем более важно, поскольку такие системы призваны гарантировать защиту корпоративных ресурсов как при доступе из сети компании, так и при удаленной работе.
Опираясь на собственные разработки, связанные с развертыванием максимально защищенной инфраструктуры управления доступом к корпоративным ресурсам в облачной среде (такими исследованиями и созданием соответствующих прототипов компания занимается с 2018 года), Аванпост приступил к созданию полнофункционального облачного решения – платформы «Avanpost Cloud Identity». Дополнительные возможности для развития данного проекта открылись после получения компанией специального гранта Российского фонда развития информационных технологий (РФРИТ). Новая система будет включать в себя глубоко переработанный под требования облачной инфраструктуры комплекс, объединяющий наиболее значимые функции FAM, IDM и PKI. Запустить сервисы в опытную эксплуатацию на тестовой облачной площадке планируется уже к лету текущего года, а полноценный запуск намечен на начало 2022 года. Обращаем особое внимание, что облачная версия будет предоставляться по подписке, при этом пользователь сможет самостоятельно выбирать и компоновать необходимые ему сервисы. Аванпост рассчитывает, что уже через три года на долю облачных сервисов будет приходится не менее половины выручки компании.
Очевидно, что для решения столь комплексной задачи потребуется и новый персонал: в настоящее время планируется увеличить его численность минимум на 50%.
По мнению руководства компании Аванпост, в ближайшие несколько лет российские предприятия придут к пониманию необходимости создания единой экосистемы аутентификации и управления правами доступа, основанной на специализированных решениях. Дело в том, что уже сегодня привычные большинству отечественных организаций технологии LDAP/AD не отвечают современным требованиям обеспечения эффективной работы предприятия: они уязвимы «по сути», поскольку не предполагают многофакторной аутентификации, сложных сценариев (например, при удаленной работе), опираются на избыточное доверие администраторам и разработчикам, не умеют вести правильное журналирование и разрывать сессии при необходимости; поддерживают далеко не все современные технологии. И это не удивительно, ведь изначально LDAP не создавался как специальный протокол аутентификации, а стало быть, соответствующие механизмы в нем просто отсутствуют. Вместе с тем отечественные технологии полностью готовы к тому, чтобы закрыть эту брешь: современные средства аутентификации в сочетании с функционалом IDM способны не только гарантировать надежную аутентификацию без передачи учетных данных (логинов/паролей), но и в долгосрочной перспективе станут фундаментом для обеспечения комплексной информационной безопасности.
Оценка генерального директора
«Прошедший год, несмотря на все его сложности, стал драйвером развития действительно профессионального рынка ИБ: как на уровне поставщиков решений, так и заказчиков любого масштаба, – говорит Андрей Конусов, генеральный директор Аванпост. – Более того, удаленная работа уже стала и будет оставаться неотъемлемой частью нашей жизни. Виртуальное взаимодействие рабочих и проектных групп, необходимость обеспечивать дистанционное сотрудничество большого числа предприятий и организаций заставили рынок в самые короткие сроки переосмыслить свои подходы к обеспечению ИБ, выделить главное, перераспределить приоритеты. Неудивительно, что именно адаптивная аутентификация стала играть столь важную роль в защите корпоративных инфраструктур и, без преувеличения, закрепилась как один из основных компонентов эшелонированной защиты предприятия. Считаю, что это не просто долгосрочный тренд, а безальтернативный вектор обеспечения эффективной и безопасной совместной работы организаций по всей стране».