Защита корпоративных данных
Узнать большеОдна из ключевых практик кибербезопасности — следование принципу наименьших привилегий. Организациям, внедряющим этот метод, удается повысить уровень безопасности и эффективность рабочих процессов, оптимизировать управление доступом к объектам инфраструктуры. Далее в статье осветим цели использования этого принципа, сценарии и способы его реализации. Также расскажем, какую роль в соблюдении принципа играют DAG-системы (Data Access Governance).
Принцип наименьших привилегий: что это такое
Это подход, при котором для выполнения служебных обязанностей пользователю назначаются минимально достаточные полномочия. Например, рядовые сотрудники не должны обладать доступом к административным аккаунтам и данным с высокой степенью критичности. Если такой доступ будет, значительно повысятся риски инцидентов ИБ.
Принцип наименьших привилегий тесно связан с концепцией нулевого доверия Zero Trust, предполагающей ограничение круга информационных ресурсов — источников данных и компьютерных сервисов, к которым могут иметь доступ конкретные пользователи. Модель реализуется с помощью различных средств обеспечения и контроля ИБ: двухфакторной и многофакторной аутентификации, аудита, систем управления учетными записями.
Значение принципа наименьших привилегий для ИБ компании
Актуальность применения такого подхода обусловлена необходимостью решения следующих задач:
- Сокращение рисков ИБ. Подход позволяет минимизировать вероятность намеренного или случайного злоупотребления полномочиями, несанкционированного доступа к ресурсам и чувствительным сведениям, утечки критической информации.
- Уменьшение поверхности кибератак. Ограничение прав пользователей усложнит злоумышленникам задачу по эксплуатации уязвимостей, связанных с привилегиями пользовательских аккаунтов. Даже если атака произойдет, ее последствия могут быть не такими глобальными.
- Локализация инцидентов ИБ. В случае нападения хакеров сотрудникам службы безопасности будет проще оценить масштаб атаки и ее последствий, оперативно отреагировать путем понижения привилегий утекшей учетки.
- Предотвращение атак, связанных с «горизонтальным» перемещением по инфраструктуре. Если пользовательские полномочия будут должным образом разделены, злоумышленник, закрепившийся в корпоративной инфраструктуре, не сможет перемещаться от точки входа к другим объектам в информационных системах.
- Оптимизация бизнес-процессов. Соблюдение принципа наименьших привилегий позволит избежать хаоса, который бывает при подходе «все права для всех».
- Выявление сотрудников, ответственных за нарушения. Минимизация прав существенно облегчит идентификацию виновных во внутренних инцидентах.
- Соответствие отраслевым законодательным требованиям в части защиты данных и разграничения доступа. Минимизация привилегий позволит соблюсти нормы, диктующие порядок работы с критически важными данными и системами.
Сценарии внедрения принципа наименьших привилегий
Назовем три эффективные модели назначения прав доступа:
- УЗ с наименьшими полномочиями. Привилегии назначаются в соответствии с ролями пользователей и строго соответствуют должностным обязанностям сотрудников.
- УЗ с полномочиями, которые ограничены временными периодами. В рамках такого сценария права для конкретных учетных записей назначаются только тогда, когда пользователи запрашивают доступ к ресурсам. После завершения задачи полномочия аннулируются. В некоторых случаях пользователю выдается доступ к одноразовым УЗ с необходимым набором прав.
- Постоянные нулевые полномочия. Такая политика подразумевает отказ от существования постоянных учеток с расширенными привилегиями — дополнительный доступ всегда назначается на один раз. Подход считается недостаточно гибким и удобным, что компенсируется повышенным уровнем информационной безопасности, поскольку у злоумышленников не будет возможности оперировать расширенными полномочиями при компрометации УЗ.
Как внедрить принцип наименьших привилегий
Процесс внедрения может состоять из шести этапов:
- Аудит учетных записей, групп пользователей, используемых компанией информационных систем и директорий. Следует проанализировать не только существующие полномочия в отношении объектов инфраструктуры, но и такие факторы, как время последней авторизации, цели рабочих сессий, сроки действия паролей и т. д.
- Оценка текущих полномочий. В процессе выявляются все актуальные права доступа, привилегированные аккаунты, совместно используемые учетные записи.
- Составление расписания ротации учетных данных, внедрение строгой парольной политики. Для реализации этого подхода компании внедряют специализированные решения для управления привилегированным доступом.
- Контроль использования полномочий. Важно убедиться, что пользователям назначены достаточные права для работы в соответствии с их должностными обязанностями, а расширенные права доступа вовремя отзываются, когда в них пропадает необходимость.
- Отключение встроенных административных прав для информационных систем, директорий, серверов. Важно, чтобы административный доступ осуществлялся только через внедренные механизмы контроля, предусмотренные ИБ-политикой компании. Например, системы Privileged Access Management (PAM).
- Внедрение политик делегирования доступа с указанием уровня полномочий для пользователей и учетных записей. Делегирование подразумевает предоставление доступа к чужим аккаунтам без передачи учетных данных. Чтобы обеспечить соблюдение принципа наименьших привилегий, расширенные права в этом случае следует назначать только отдельным аккаунтам на строго определенное время, по истечении которого они будут автоматически отзываться.
Решения и технологии, позволяющие соблюдать принцип наименьших привилегий
Внедрить подход позволит использование решений класса IdM/IGA (Identity Management / Identity Governance and Administration). В нашем портфеле это продукт Solar inRights, предназначенный для эффективного управления доступом. Он работает на базе ролевого подхода, позволяет в зависимости от должностей и обязанностей сотрудников формировать роли с уже готовыми наборами полномочий. Если для выполнения каких-либо задач нужны дополнительные права, сотрудники могут запросить их по заявкам.
Расширить принцип наименьших привилегий можно путем внедрения PAM-системы, используемой для управления привилегированным доступом. Наш продукт данного класса Solar SafeInspect позволяет на базе внутренних политик ИБ назначать гранулированный доступ к программно-аппаратным средствам, информационным ресурсам. Это значит, что расширенные права будут предоставлены только конкретным сотрудникам на определенный срок. Также Solar SafeInspect может в реальном времени мониторить действия пользователей в течение рабочих сессий.
Применять принцип наименьших привилегий можно с помощью внедрения DAG-системы от Solar, предназначенной для работы с неструктурированными информационными массивами. Благодаря модулям-агентам решение позволяет проанализировать иерархию прав доступа к ИС и данным компании. Таким образом, офицеры службы ИБ будут знать, кто с какой информацией работает, какой уровень доступа у той или иной учетной записи. На основании собранных системой сведений можно при необходимости снижать или расширять полномочия.
Какие еще важные функции выполняет Solar DAG?
- Классификация и анализ неструктурированных информационных массивов, присвоение служебных меток. По результатам процедуры ответственные лица принимают решение о назначении прав доступа к обработанным данным.
- Помощь в проведении оценки текущих прав доступа. Система генерирует подробные двунаправленные отчеты, где представлен перечень УЗ, контактирующих с определенными ресурсами, и перечень ресурсов, доступных для конкретных учетных записей.
- Мониторинг изменений прав доступа. Solar DAG регистрирует все события, связанные с привилегиями пользователей или УЗ. На базе собранной информации формируются детальные отчеты, по которым ответственные лица смогут отследить нарушения в части предоставления полномочий.
- Проведение аудита событий с данными. Система журналирует все операции с указанием дат, временных отрезков, инициаторов действий.
