Защита корпоративных данных
Узнать большеУправление доступом к объектам информационной инфраструктуры — один из ключевых механизмов обеспечения конфиденциальности данных и защиты внутренних систем. Ключевая цель стратегии управления — назначить сотрудникам полномочия, которых будет достаточно для выполнения обязанностей, и при этом не допустить накопления избыточных прав доступа, значительно увеличивающих вероятность инцидентов ИБ. В статье рассказываем, с помощью каких инструментов упорядочить присвоение привилегий и контролировать события с данными.
Что такое права доступа
Правами доступа называют правила, регламентирующие порядок работы с объектами информационной инфраструктуры компании. Под объектами понимают целевые системы, базы данных, отдельные папки и файлы, оборудование, средства защиты и т. д. Права доступа определяют действия, которые может совершать субъект — обладатель полномочий.
Базовые виды прав доступа:
- Чтение. Права на просмотр документов и папок с отсутствием возможности вносить изменения.
- Запись. Права на редактирование файлов — изменение и дополнение содержимого, удаление некоторых позиций.
- Выполнение. Полномочия на запуск определенных скриптов.
Права на чтение и просмотр ресурсов — наименьшие привилегии, которые могут быть назначены «рядовым» сотрудникам. Они не несут серьезных рисков, даже если учетные записи (УЗ) пользователей будут скомпрометированы. Также существуют полномочия на выполнение, которые позволяют совершать «важные» действия в информационных системах. Если такие права доступа будут избыточными, может произойти инцидент ИБ. Пример избыточности полномочий на выполнение — чтение и запись бухгалтерских документов секретарем департамента логистики.
Кроме того, существует понятие привилегированного доступа. Некоторым пользователям и учетным записям назначаются права более высокого ранга, позволяющие работать с сетевой инфраструктурой, базами данных, СЗИ и т. д. Разумеется, избыточные привилегии могут нести для компании критически высокие риски.
Риски избыточных прав доступа
Об избыточных правах доступа можно говорить, если сотрудникам назначают больше полномочий, чем им необходимо для выполнения служебных обязанностей. Чем это грозит:
- Случайные утечки конфиденциальной и критически важной информации компании.
- Внесение несанкционированных изменений в документы и базы данных.
- Внутреннее мошенничество.
Если пользователи получают избыточные права доступа, их действия могут привести, например, к несанкционированному отключению средств защиты, изменению настроек оборудования, ограничению функциональности бизнес-приложений и т. д. и тем самым создать угрозу ИБ.
Распространенные причины появления избыточных прав доступа:
- Отсутствие организованного подхода к разграничению доступа и контролю соблюдения пользовательских полномочий. Например, в компании может действовать принцип «всё для всех», когда весь или почти весь персонал может работать с любыми информационными объектами. Или вариант, при котором разграничение полномочий по факту существует, но организация пренебрегает пересмотром назначенных привилегий при изменении бизнес-процессов.
- Оставление прежнего набора прав после перевода сотрудника на другую должность. Например, он переходит в другой отдел, ему назначают новые привилегии, но старые при этом не отзывают. Такой подход чаще всего приводит к накоплению избыточных прав доступа.
- Компрометация учетных записей. Пример реализации такого сценария: один сотрудник завладел паролем от аккаунта своего коллеги, вошел в систему и воспользовался полученными привилегиями.
Полностью избежать избыточности в правах очень сложно даже при грамотно организованном управлении доступом. Но риски можно минимизировать, выбрав оптимальную модель назначения привилегий и периодически проводя ресертификацию доступа — подтверждение предоставленных полномочий.
Как бороться с рисками избыточных прав доступа
В первую очередь необходимо выработать особый подход к управлению доступом. Это можно сделать путем внедрения IGA-платформы (Identity Governance and Administration) Solar inRights. Она позволяет назначать полномочия на базе ролевой модели и присваивать сотрудникам определенные роли с уже готовыми наборами привилегий согласно должностям и выполняемым задачам. Недостающие права можно дополнительно запрашивать по заявкам.
Контроль соблюдения полномочий привилегированными пользователями эффективно осуществляется с помощью платформы класса PAM (Privileged Access Management) Solar SafeInspect. Она позволяет обнаружить все учетные записи с расширенными правами, в реальном времени мониторить и фиксировать действия привилегированных пользователей в процессе рабочих сеансов.
Также в борьбе с избыточными правами доступа поможет платформа DAG (Data Access Governance) от ГК «Солар». Решение ориентировано на работу с неструктурированными данными, которые есть в любой компании и несут в себе определенные риски — они неорганизованно хранятся в файловых системах, поэтому их сложно контролировать и защищать. Чтобы назначить сотрудникам полномочия для работы такой информацией, необходимо сначала ее обнаружить и классифицировать согласно уровню конфиденциальности. Решение этих задач возможно благодаря функциональности Solar DAG.
Как Solar DAG помогает бороться с избыточными правами доступа
Функции платформы в части контроля пользовательских полномочий в отношении конфиденциальных данных:
- Подготовка срезов для проведения аудита прав доступа и аудита событий. Система создает двунаправленные отчеты, где указаны права доступа УЗ к конкретным ресурсам и права доступа конкретных УЗ к объектам информационной инфраструктуры. Также Solar DAG позволяет обнаружить избыточные права доступа, так как предоставляет детальную информацию обо всех событиях с данными.
- Мониторинг изменения полномочий УЗ и пользователей. Система регистрирует все события, связанные с правами доступа и формирует отчеты для изучения ответственными лицами.
- Оперативное реагирование на нежелательные события в части изменений прав доступа. В случае нарушений со стороны сотрудников Solar DAG может по настроенным правилам отправлять ответственным лицам оповещения.
DAG-платформа позволяет контролировать права доступа к неструктурированным информационным массивам и помогает реализовать принцип наименьших привилегий. За счет включенных в состав решения агентов происходит регулярное сканирование иерархии полномочий УЗ и пользователей. Благодаря этой функции ответственные лица всегда в курсе, кто и какие действия совершает с теми или иными данными. Также все выявленные платформой события учитываются при формировании внутренних политик доступа.
Solar DAG не только помогает бороться с избыточными правами доступа, но и значительно упрощает проведение расследований инцидентов, связанных с превышением полномочий. Платформа предоставляет отчеты, из которых видно, кто и в какой период работал с данными, куда их перемещал.
Преимущества Solar DAG в части предотвращения рисков избыточных прав доступа
Внедрение нашей платформы позволит:
- Классифицировать неструктурированные данные для распределения по релевантным хранилищам, назначения полномочий для работы с ними, надежной защиты.
- Отследить маршруты предоставления доступа к конкретным информационным активам.
- Выявить избыточные права и понять, почему они появились. Это возможно благодаря регистрации всех событий, происходящих с данными.
- Повысить общий уровень безопасности информационных массивов, сфокусировать внимание на критически важных данных.
- Облегчить проведение аудита прав доступа, ускорить расследование инцидентов, произошедших из-за превышения полномочий.
- Обеспечить соблюдение нормативных требований, касающихся контроля использования информации, защиты данных.
Solar DAG расшифровывает и контролирует процессы появления любых полномочий — наследованных, запретительных и разрешительных, групповых и индивидуальных — и представляет информацию в виде наглядных, подробных и удобных для изучения отчетов. Таким образом, решение позволяет предупредить угрозы, связанные со злоупотреблением избыточными правами доступа.
