Управление привилегированным доступом

По данным исследования ГК «Солар», в компаниях из разных отраслей до 58 раз в течение года возникают проблемы, связанные с привилегированным доступом к ИТ-ресурсам. Их источником в первую очередь становится использование ненадежных паролей от учетных записей (УЗ), отсутствие контроля действий привилегированных пользователей, сложные схемы назначения полномочий для удаленных сотрудников и подрядчиков, что в результате повышает риски информационной безопасности. Чтобы усилить защиту, необходимо выстроить четкую стратегию управления привилегированным доступом. В статье расскажем, какие аспекты при этом нужно учитывать.

Что такое управление привилегированным доступом (PAM)

Управление привилегированным доступом PAM (Privileged Access Management) — одно из приоритетных направлений общей стратегии управления доступом, основная цель которого заключается в контроле использования привилегированных учетных записей. На самом же деле задач, которые можно решить с помощью специализированных PAM-систем, гораздо больше. Они позволяют отслеживать и фиксировать действия пользователей с расширенными полномочиями, обнаруживать нарушения внутренних политик ИБ и инциденты с использованием привилегированных УЗ для атак на компанию. В целом стратегия управления привилегированным доступом определяет, какие сотрудники и службы могут получить доступ к привилегированным учетным записям, что разрешено делать после входа в корпоративные системы.

PAM-система — важный инструмент в ИБ-контуре. Помимо управления привилегированными учетными записями и детального контроля действий привилегированных пользователей она помогает соблюдать требования парольных политик. Это одна из ключевых задач по обеспечению информационной безопасности, поскольку, по данным исследования ГК «Солар», более 70% уязвимостей в ИТ-инфраструктуре компаний возникают именно из-за слабых паролей. PAM-система хранит пароли, выполняет ротацию по заданному расписанию, автоматически подставляет учетные данные при входе в системы.

Различия между стандартными и привилегированными учетными записями

Стандартные учетные записи в корпоративной ИТ-инфраструктуре, как правило, принадлежат рядовым сотрудникам. Для таких УЗ права доступа назначаются по принципу минимальных привилегий — полномочий должно быть ровно столько, сколько необходимо для выполнения служебных обязанностей в рамках занимаемых должностей. Чтобы защитить конфиденциальную информацию от несанкционированного использования компании ограничивают круг прав доступа к ней, наделяя отдельных сотрудников особыми «привилегиями».

Привилегированные учетные записи могут быть связаны не только с людьми, но и с определенными процессами, техническими службами. Такие УЗ позволяют получать особый или административный доступ к корпоративным системам, конфиденциальным данным, СЗИ, бизнес-приложениям и другим важным объектам ИТ-инфраструктуры.

Отличаются привилегированные учетные записи от типовых еще и тем, что с ними связаны высокие и критические риски ИБ. Если к УЗ получат доступ посторонние лица или сотрудники воспользуются расширенными полномочиями в злоумышленных целях, для компании это может иметь серьезные негативные последствия. Чтобы отслеживать нарушения политик ИБ и предотвращать инциденты, целесообразно внедрить систему управления привилегированным доступом.

Какими бывают привилегированные учетные записи

Основные типы привилегированных УЗ, использование которых контролируется системой управления привилегированным доступом:

• УЗ системных администраторов.
• УЗ администраторов доменов, позволяющие управлять ресурсами Active Directory.
• Административные УЗ для управления серверами.
• Привилегированные УЗ для управления платформами Unix/Linux.
• УЗ для управления службами и приложениями Windows.
• УЗ сетевого оборудования, позволяющие предоставлять доступ к коммутаторам, маршрутизаторам и межсетевым экранам.

При выстраивании стратегии управления привилегированным доступом важно учитывать, что привилегированные учетные записи могут быть закреплены не только за штатными сотрудниками и корпоративными службами, но и за внештатными работниками (поставщиками ИТ-услуг, подрядчиками, удаленным персоналом и др.), действия которых тоже необходимо контролировать.

Технические учетные записи и связанные с ними риски ИБ

В отдельную категорию можно выделить привилегированные УЗ технических служб. Такие учетные записи необходимы для выполнения различных задач в бизнес-приложениях, файловых системах и сетях баз данных. Также они используются некоторыми службами для запуска важных ИТ-процессов. Техническим привилегированным учетным записям назначается высокий уровень доступа, с чем связаны критические риски ИБ — они возникают из-за того, что УЗ не привязаны к конкретным владельцам, поэтому их использование слабо контролируется или не контролируется совсем, а их пароли не меняются. Зачастую про такие учетные записи просто забывают и после выполнения отдельных задач не выводят из эксплуатации. Этим упущением могут воспользоваться злоумышленники.

Управление привилегированным доступом предполагает поиск всех технических УЗ в ИТ-инфраструктуре компании и контроль их использования. Если учетные записи уже неактуальны, их деактивируют.

Система управления привилегированным доступом Solar SafeInspect, ее задачи и польза для компаний

Solar SafeInspect — решение, которое можно кастомизировать под актуальные нужды компании, для того чтобы они смогли в полном объеме выполнять задачи в части управления привилегированным доступом.

Ключевые функции PAM-системы:

• Поиск в ИТ-инфраструктуре всех УЗ с расширенными полномочиями.
• Обеспечение доступа к корпоративным системам и чувствительным данным только после надежной аутентификации пользователей.
• Проксирование рабочих сессий сотрудников с расширенными правами доступа.
• Мониторинг привилегированных сеансов в режиме реального времени с возможностью автоматического обрыва сессии в случае нарушения политик ИБ.
• Запись и хранение записей рабочих сеансов привилегированных пользователей с целью их использования для последующего анализа.
• Организация гранулированного доступа для отдельных сотрудников под конкретные задачи по определенному расписанию.
• Подстановка учетных данных в рамках привилегированных сессий, надежное хранение и ротация паролей.
• Интеграция с другими решениями для управления доступом и защиты данных (IdM, DLP и др.).

Внедрение Solar SafeInspect для управления привилегированным доступом позволяет взять под контроль действия пользователей с расширенными полномочиями, защитить учетные данные, снизить риски неправомерного доступа в ИТ-инфраструктуру и утечек чувствительной информации.

Практическое применение Solar SafeInspect для управления привилегированным доступом

Перед внедрением PAM-системы следует позаботиться о подготовке ИТ-инфраструктуры: изучить существующие процессы назначения полномочий, проанализировать эффективность используемых инструментов управления доступом, выявить уязвимости, связанные с паролями. Также необходимо сформировать требования к решению, выделить первоочередные задачи и определиться с форматом использования. Для Solar SafeInspect возможны три сценария работы: прозрачные режимы «Сетевой мост» и «Маршрутизатор», а также «Бастион» с явной авторизацией пользователей. Вне зависимости от выбранного сценария все подключения привилегированных пользователей будут происходить через PAM-систему. Такой подход позволяет контролировать действия как штатных, так и удаленных сотрудников, снижать риски утечки данных.

Чтобы решение для управления привилегированным доступом корректно работало, важно правильно его настроить с учетом особенностей ИТ-инфраструктуры и актуальных задач компании. Перед полноценным развертыванием можно запустить пилотный проект по внедрению при поддержке экспертов «Солара».