Маршрут согласования
Узнать большеОколо 30% инцидентов в сфере информационной безопасности, связанных с проникновением в корпоративную сеть организации или предприятия, случается с использованием чужих данных для аутентификации.
Напомним, что аутентификация – это процесс проверки подлинности пользователя путем сравнения указанных им сведений (например, пароля) с хранящимися в целевой системе / базе данных. Она производится после идентификации (например, после получения от пользователя логина) и предшествует авторизации – предоставлению пользователю прав на запрошенные действия (например, вход в какую-то корпоративную систему).
Ежедневно в корпоративных информационных системах происходит огромное количество фактов авторизации. Если все это пустить на самотек, можно столкнуться с серьезными инцидентами в сфере информационной безопасности. Чтобы не допустить этого, нужна надежная и управляемая корпоративная система аутентификации.
Как организуется аутентификация в корпоративных информационных системах
Существует несколько уровней (методов) аутентификации, которые могут использоваться в корпоративных сетях. Это:
-
Многоразовый пароль. Довольно распространенный способ проверки подлинности пользователя. Встречается он практически повсеместно. Причем далеко не всегда использование такого метода гарантирует безопасность. Специалисты Solar InRights рекомендуют применять его при предоставлении доступа к информации, утечка которой не несет значимых потерь (ущерба) для владельца. Этот вариант приемлем, например, для «гостевых» аккаунтов, организации входа в личный кабинет клиента (в зависимости от сферы и типа информационной системы, конечно же), для рядовых сотрудников, которые не могут оказывать на важную информацию существенного влияния.
-
Многофакторная аутентификация. Одним паролем в этом случае все не ограничивается. Для определения подлинности пользователя требуется дополнительная проверка. Для этого могут использоваться SMS-сообщения, содержащие одноразовый пароль, специальные приложения-идентификаторы, аппаратные токены, обновляемые ключи (выдаются списком, по мере расходования дается новый). Такая более строгая аутентификация может использоваться в корпоративных информационных системах (далее – ИС) однократно (при входе в аккаунт, например) или для подтверждения каждого важного действия, которое может повлиять на целостность и сохранность важной для компании информации. Этот вариант наши специалисты рекомендуют применять для обеспечения доступа к данным, раскрытие или утрата которых могут привести к существенному для компании ущербу.
-
Взаимная аутентификация. В этом случае стороны аутентифицируют друг друга. Корпоративная система убеждается в подлинности пользователя. А с его стороны также происходит проверка подлинности системы, к которой он обращается. Вариант обеспечивает высочайший уровень защиты важных данных. Он подходит для сетей нулевого доверия. Но использовать его повсеместно нет смысла. Взаимная аутентификация в корпоративных ИС сложна и дорога в реализации. Внедрять ее стоит, если в этом действительно есть необходимость. Можно подумать о таком варианте, например, при организации удаленной работы с большим количеством сотрудников. Взаимная аутентификация в корпоративных ИС поможет в таком случае избежать кражи аутентификационных данных в случае перенаправления пользователей на поддельный ресурс, созданный специально для сбора таких сведений и в других ситуациях.
Как управлять аутентификацией и не допустить инцидентов в сфере информационной безопасности
Практически в любой корпоративной ИС реализован функционал для аутентификации. Довольно часто в целях обеспечения безопасности, оптимизации управления этими процессами и для удобства пользователей компании, использующих в своей работе одновременно несколько приложений (программы, веб-сервисы, CRM и проч.), прибегают к технологии единого входа (Single Sign-On, SSO) или применяют специальные средства корпоративной аутентификации, такие как смарт-карты или биометрия, которые позволяют совсем отказаться от паролей.
ИС для решения различных задач в компании может быть несколько. И во всех требуется создавать, удалять, настраивать аккаунты, менять их статусы и проводить другие манипуляции. Если делать все вручную, на это уходит огромное количество времени системных администраторов или других специалистов, на которых возлагаются такие задачи.
Естественно, это может повлиять на уровень информационной безопасности компании. Ведь могут оставаться «бесхозные» аккаунты, которые используются для входа в корпоративные ИС третьими лицами. Такой подход тормозит рабочие процессы: на регистрацию/редактирование аккаунтов в информационных системах организации/предприятия уходит немало времени, в течение которого сотрудники и бизнес-процессы фактически простаивают.
Повысить эффективность корпоративной системы аутентификации, вовремя вносить необходимые изменения и реагировать на происходящие события поможет IGA-система (Identity Governance and Administration, управление учетными записями и правами доступа). Такое решение позволит организовать централизованное управление корпоративной системой аутентификации пользователей. С его помощью:
-
создаются и удаляются аккаунты в ИС, применяющихся компанией в работе;
-
изменяются статусы аккаунтов;
-
отслеживаются и контролируются права доступа и аутентификационных данные пользователей;
-
реализуется ролевая модель управления доступом;
-
снижаются траты при использовании модели оплаты за каждую учетную запись (т. к. неактивные оперативно блокируются);
-
обеспечивается уход от деперсонализированных учетных записей, использование которых негативно сказывается на уровне информационной безопасности компании;
-
обеспечивается выполнение требований регуляторов в области управления учетными данными и правами (ГОСТ 57580.1, СТО БР ИББС, ГОСТ Р ИСО/МЭК 27002, PCI DSS, 187-ФЗ (меры к приказам № 17, 21, 31, 239)), а также рекомендаций ведущих стандартов и руководств в области управления ИТ, аудита ИТ-безопасности: ITIL, COBIT.
С помощью IGA-системы также собираются сведения для отчетности и база для расследования инцидентов. Такое решение может быть внедрено в компании любого размера. Оно легко интегрируется практическими с любыми информационными системами и базами данных: CRM, BPM и другими решениями.
А в комплексе со смежными решениями по безопасности, например SSO, SIEM, DCAP и другими, позволяет реализовать дополнительные сценарии автоматизации работы с учетными данными, контроля доступа пользователей и расследования инцидентов.