Маршрут согласования
Узнать большеНесанкционированный доступ к административным учетным записям может привести к разрушительным для информационной системы последствиям. Прежде всего потому, что у таких «учеток» практически неограниченные полномочия, поскольку через них происходит управление ИС, настройка, восстановление работоспособности при сбоях.
Полностью отказаться от административных учетных записей для безопасности ИС нельзя, но защититься от инцидентов, связанных с такими «учетками», можно – при помощи грамотно выстроенной системы управления и контроля.
Риски, связанные с административными учетными записями
Угрозы информационной безопасности корпоративных информационных систем могут возникнуть из-за компрометации учетных данных или вследствие заражения рабочих станций администраторов.
Компрометация
Административная «учетка» может быть скомпрометирована разными способами. Например, намеренным разглашением сведений для доступа, использованием вредоносных программ (таких, как кейлогеры), кражей физических носителей с паролями и т. д.
Заражение рабочей станции администратора вредоносами
Во многих компаниях администраторы используют свои учетные записи (в основном это касается «учеток» в операционных системах) не только для решения конкретных задач по обслуживанию или настройке ИС. Под этими же аккаунтами они нередко серфят в интернете, ведут переписку (рабочую и не только), что повышает вероятность заражения компьютеров вредоносными программами (скриптами).
Последствия подобных действий:
-
Запуск вредоносных программ и скриптов от имени администратора ИС или домена.
-
Кража важной информации, к которой дают доступ административные учетные записи. Данные могут подвергаться модификации либо удаляться.
-
Нарушение работы информационных систем в результате намеренного изменения конфигурации либо удаления важных компонентов, без которых ИС не может функционировать.
-
Блокировка/удаление «учеток» обычных пользователей, из-за чего парализуется работа компании.
Меры и средства предотвращения инцидентов ИБ через административные учетные записи
Реализовать управление «учетками» этого типа, а также их контроль помогут решения класса Identity Management (IdM-системы). Благодаря им в компании создается единый актуальный каталог персональной информации о сотрудниках (в том числе об администраторах доменов и ИС), который является основой для организации и развития процессов управления учетными записями.
С помощью IdM-систем реализуются меры по предотвращению инцидентов, связанных с учетными записями администраторов.
Максимальное ограничение административных привилегий
Это одна из основных и довольно эффективных – мер по предотвращению угроз информационной безопасности, осуществляемых через рассматриваемый тип «учеток». Она включает:
-
Использование 2FA (двухфакторной аутентификации) для доступа администраторов к аккаунтам. Реализуется при помощи штатных возможностей информационных систем или сторонних решений (приложений класса Authenticator).
-
Отказ от использования обезличенных аккаунтов «общего пользования» для администраторов. Каждому сотруднику с административными полномочиями создается персонифицированная учетная запись. Сделать этот процесс быстрым и прозрачным помогут IdM-решения.
-
Выдача привилегий при необходимости. Даже администраторы не должны обладать безграничными правами, поэтому есть смысл выделить определенный набор критически важных прав для бизнес-процессов компании, а также выдавать их на время, а затем отзывать. Не тратить на это много времени позволят IdM-системы, в которых такие процессы можно организовать в несколько кликов.
-
Разграничение личных учетных записей администраторов и административных. Последние не должны использоваться постоянно, а только для выполнения работ по обслуживанию, настройке целевых систем и устранению проблем в них.
Регулярный аудит
Решения класса Identity Management помогут организовать регулярный автоматизированный аудит учетных записей пользователей корпоративных систем (в том числе аккаунтов администраторов), в ходе которого проверяется соответствие действующих прав доступа пользователей принятым в компании политикам. Регулярный аудит данных о полномочиях сотрудников позволит иметь самые актуальные сведения об их доступах в разных информационных системах. Кроме того, за счет постоянного мониторинга исключается появление бесхозных аккаунтов с правами администратора, которые могут стать источником инцидентов в сфере информационной безопасности.
Запрет использования сотрудниками прав локальных администраторов
Иногда с целью сэкономить время на назначение пользователям определенных полномочий, необходимых для выполнения каких-то действий, им создают аккаунты с правами локальных администраторов, после чего они довольно часто остаются в постоянном пользовании. Это – серьезная брешь в информационной безопасности компании. Стоит отказаться от такой практики, и выдавать только необходимые права (никакой избыточности), чтобы обычные пользователи не становились администраторами, способными влиять на целевые ИС. Сделать эти процессы проще и быстрее помогут IdM-системы, в которых назначение/отзыв прав происходит в несколько кликов.
Управление административными учетными записями осуществляется в основном по тем же принципам, что и обычными «учетками» (со определенными нюансами, конечно). Поэтому для его организации нет смысла внедрять дополнительные специализированные средства. С этой задачей легко справится IdM-система, которая покроет все типы «учеток», обеспечив эффективное управление ими, регулярный аудит и своевременное реагирование на изменения.
PAM- и IdM/IGA-системы показали, что они отлично взаимодействуют друг с другом, пересекаются в работе, и такой синергизм несет много плюсов. Например, Solar SafeInspect и Solar inRights во многом используются в одной и той же нише – для контроля и управления учетными записями пользователей. Посредством этих инструментов обозначают и назначают права доступа к информации, устанавливают разрешенные действия. Различия этих инструментов сводятся к разграничению их функционала и целей использования. Интеграция PAM и IdM/IGA систем – огромный шаг на пути к предотвращению киберинцидентов, повышению гибкости и прозрачности управленческих решений. Создание единого комплекса ИБ упростит работу с учетными записями, позволит применять единые и понятные политики безопасности, ускорит ответ на инцидент, поможет проводить расследование глубоко и детально. Переход компании на интегрированное решение в области ИБ – это очевидная экономия средств без потери защиты.