Для малого бизнеса
+7 (499) 673-37-62

09.09.2024

Соблюдение принципа наименьших привилегий в ИБ

Соблюдение принципа наименьших привилегий в ИБ

Получить консультацию по Solar DAG

Одна из ключевых практик кибербезопасности — следование принципу наименьших привилегий. Организациям, внедряющим этот метод, удается повысить уровень безопасности и эффективность рабочих процессов, оптимизировать управление доступом к объектам инфраструктуры. Далее в статье осветим цели использования этого принципа, сценарии и способы его реализации. Также расскажем, какую роль в соблюдении принципа играют DAG-системы (Data Access Governance). 

Принцип наименьших привилегий: что это такое

Это подход, при котором для выполнения служебных обязанностей пользователю назначаются минимально достаточные полномочия. Например, рядовые сотрудники не должны обладать доступом к административным аккаунтам и данным с высокой степенью критичности. Если такой доступ будет, значительно повысятся риски инцидентов ИБ.

Принцип наименьших привилегий тесно связан с концепцией нулевого доверия Zero Trust, предполагающей ограничение круга информационных ресурсов — источников данных и компьютерных сервисов, к которым могут иметь доступ конкретные пользователи. Модель реализуется с помощью различных средств обеспечения и контроля ИБ: двухфакторной и многофакторной аутентификации, аудита, систем управления учетными записями.

соблюдения принципа наименьших привилегий

Значение принципа наименьших привилегий для ИБ компании

Актуальность применения такого подхода обусловлена необходимостью решения следующих задач:

  • Сокращение рисков ИБ. Подход позволяет минимизировать вероятность намеренного или случайного злоупотребления полномочиями, несанкционированного доступа к ресурсам и чувствительным сведениям, утечки критической информации.
  • Уменьшение поверхности кибератак. Ограничение прав пользователей усложнит злоумышленникам задачу по эксплуатации уязвимостей, связанных с привилегиями пользовательских аккаунтов. Даже если атака произойдет, ее последствия могут быть не такими глобальными.
  • Локализация инцидентов ИБ. В случае нападения хакеров сотрудникам службы безопасности будет проще оценить масштаб атаки и ее последствий, оперативно отреагировать путем понижения привилегий утекшей учетки.
  • Предотвращение атак, связанных с «горизонтальным» перемещением по инфраструктуре. Если пользовательские полномочия будут должным образом разделены, злоумышленник, закрепившийся в корпоративной инфраструктуре, не сможет перемещаться от точки входа к другим объектам в информационных системах.
  • Оптимизация бизнес-процессов. Соблюдение принципа наименьших привилегий позволит избежать хаоса, который бывает при подходе «все права для всех».
  • Выявление сотрудников, ответственных за нарушения. Минимизация прав существенно облегчит идентификацию виновных во внутренних инцидентах.
  • Соответствие отраслевым законодательным требованиям в части защиты данных и разграничения доступа. Минимизация привилегий позволит соблюсти нормы, диктующие порядок работы с критически важными данными и системами.

Сценарии внедрения принципа наименьших привилегий

Назовем три эффективные модели назначения прав доступа:

  • УЗ с наименьшими полномочиями. Привилегии назначаются в соответствии с ролями пользователей и строго соответствуют должностным обязанностям сотрудников.
  • УЗ с полномочиями, которые ограничены временными периодами. В рамках такого сценария права для конкретных учетных записей назначаются только тогда, когда пользователи запрашивают доступ к ресурсам. После завершения задачи полномочия аннулируются. В некоторых случаях пользователю выдается доступ к одноразовым УЗ с необходимым набором прав.
  • Постоянные нулевые полномочия. Такая политика подразумевает отказ от существования постоянных учеток с расширенными привилегиями — дополнительный доступ всегда назначается на один раз. Подход считается недостаточно гибким и удобным, что компенсируется повышенным уровнем информационной безопасности, поскольку у злоумышленников не будет возможности оперировать расширенными полномочиями при компрометации УЗ.
как внедрить принцип наименьших привилегий

Как внедрить принцип наименьших привилегий

Процесс внедрения может состоять из шести этапов:

  • Аудит учетных записей, групп пользователей, используемых компанией информационных систем и директорий. Следует проанализировать не только существующие полномочия в отношении объектов инфраструктуры, но и такие факторы, как время последней авторизации, цели рабочих сессий, сроки действия паролей и т. д.
  • Оценка текущих полномочий. В процессе выявляются все актуальные права доступа, привилегированные аккаунты, совместно используемые учетные записи.
  • Составление расписания ротации учетных данных, внедрение строгой парольной политики. Для реализации этого подхода компании внедряют специализированные решения для управления привилегированным доступом.
  • Контроль использования полномочий. Важно убедиться, что пользователям назначены достаточные права для работы в соответствии с их должностными обязанностями, а расширенные права доступа вовремя отзываются, когда в них пропадает необходимость.
  • Отключение встроенных административных прав для информационных систем, директорий, серверов. Важно, чтобы административный доступ осуществлялся только через внедренные механизмы контроля, предусмотренные ИБ-политикой компании. Например, системы Privileged Access Management (PAM).
  • Внедрение политик делегирования доступа с указанием уровня полномочий для пользователей и учетных записей. Делегирование подразумевает предоставление доступа к чужим аккаунтам без передачи учетных данных. Чтобы обеспечить соблюдение принципа наименьших привилегий, расширенные права в этом случае следует назначать только отдельным аккаунтам на строго определенное время, по истечении которого они будут автоматически отзываться.

Решения и технологии, позволяющие соблюдать принцип наименьших привилегий

Внедрить подход позволит использование решений класса IdM/IGA (Identity Management / Identity Governance and Administration). В нашем портфеле это продукт Solar inRights, предназначенный для эффективного управления доступом. Он работает на базе ролевого подхода, позволяет в зависимости от должностей и обязанностей сотрудников формировать роли с уже готовыми наборами полномочий. Если для выполнения каких-либо задач нужны дополнительные права, сотрудники могут запросить их по заявкам.

Расширить принцип наименьших привилегий можно путем внедрения PAM-системы, используемой для управления привилегированным доступом. Наш продукт данного класса Solar SafeInspect позволяет на базе внутренних политик ИБ назначать гранулированный доступ к программно-аппаратным средствам, информационным ресурсам. Это значит, что расширенные права будут предоставлены только конкретным сотрудникам на определенный срок. Также Solar SafeInspect может в реальном времени мониторить действия пользователей в течение рабочих сессий.

Применять принцип наименьших привилегий можно с помощью внедрения DAG-системы от Solar, предназначенной для работы с неструктурированными информационными массивами. Благодаря модулям-агентам решение позволяет проанализировать иерархию прав доступа к ИС и данным компании. Таким образом, офицеры службы ИБ будут знать, кто с какой информацией работает, какой уровень доступа у той или иной учетной записи. На основании собранных системой сведений можно при необходимости снижать или расширять полномочия.

функции наименьших привилегий

Какие еще важные функции выполняет Solar DAG?

  • Классификация и анализ неструктурированных информационных массивов, присвоение служебных меток. По результатам процедуры ответственные лица принимают решение о назначении прав доступа к обработанным данным.
  • Помощь в проведении оценки текущих прав доступа. Система генерирует подробные двунаправленные отчеты, где представлен перечень УЗ, контактирующих с определенными ресурсами, и перечень ресурсов, доступных для конкретных учетных записей.
  • Мониторинг изменений прав доступа. Solar DAG регистрирует все события, связанные с привилегиями пользователей или УЗ. На базе собранной информации формируются детальные отчеты, по которым ответственные лица смогут отследить нарушения в части предоставления полномочий.
  • Проведение аудита событий с данными. Система журналирует все операции с указанием дат, временных отрезков, инициаторов действий.

ЗАКЛЮЧЕНИЕ

Соблюдение принципа наименьших привилегий играет одну из ключевых ролей в ИБ-стратегии компании. Такой подход позволяет прийти к эффективному управлению ресурсами, снижает риски ошибок при назначении полномочий, помогает минимизировать ущерб от кибератак на организацию. Реализовать этот принцип поможет наше удобное в использовании решение Solar DAG. Система отличается высокой производительностью, обеспечивает достоверную аналитику для принятия решений в части предоставления доступа к данным, имеет простой, интуитивно понятный интерфейс. Чтобы понять принципы работы платформы и оценить функциональность, можно бесплатно протестировать продукт в рабочей среде.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

DLP и DAG: могут ли эти системы заменять друг друга, в чем схожесть и различия технологий

DLP и DAG: могут ли эти системы заменять друг друга, в чем схожесть и различия технологий

Узнать больше
Групповые политики: реализация с помощью DAG-систем

Групповые политики: реализация с помощью DAG-систем

Узнать больше
Цифровые активы в современном бизнесе: риски и контроль

Цифровые активы в современном бизнесе: риски и контроль

Узнать больше
Стандарт по обеспечению ИБ Банков России (СТО БР ИББС)

Стандарт по обеспечению ИБ Банков России (СТО БР ИББС)

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.