Получить консультацию по Solar inRights

Вступление в силу с июля 2017 года 187-ФЗ поставило перед многими компаниями вопрос о необходимости обеспечения повышенной защиты критической информационной инфраструктуры (КИИ), к которой должно иметь доступ ограниченное число лиц. Число инцидентов по утечке данных, где фигурирует привилегированная идентификация растет год от года. Защита и контроль доступа к чувствительной информации особенно важны, если под угрозой оказываются данные, принадлежащие категориям государственной, коммерческой или служебных тайн.

Что такое привилегированная учетная запись, в чем заключается опасность при ее использовании?

К этой категории относят учетные записи пользователей, обладающих расширенными правами и полномочиями. Такой доступ могут иметь ИТ-администраторы руководители или ответственные сотрудники, чьи должностные обязанности требуют повышенного уровня полномочий. Обычно такие учетные записи встречаются у пользователей с правами root, admin, administrator, хотя не исключен вариант, когда привилегированные права предоставляются обычному пользователю на короткий срок для выполнения отдельной задачи.

Наличие расширенных полномочий позволяет использовать привилегированные учётные записи не только для выполнения поставленных функциональных задач работников, но также они могут быть использованы для несанкционированного доступа к объектам КИИ. В такой ситуации главную проблему для безопасности информационной системы представляет сложность выявления попыток несанкционированного доступа и использования информации. Утечка или неправомерные действия могут быть обнаружены спустя продолжительное время после инцидента, что не позволяет вовремя среагировать. Подобная ситуация чревата критическими последствиями.

Особенности привилегированного доступа

В случае присутствия в системе пользователей с привилегированными полномочиями особое значение приобретает логирование действий всех пользователей подобного уровня. Если речь идет о крупной компании, то таких лиц может быть несколько десятков человек. При этом высока вероятность, что часть их них могут использовать общие учётные записи, передавая друг другу пароли от них. В таком случае возникает определенный риск, потому что нельзя с точностью быть уверенным, кто из числа сотрудников в конкретный момент времени работает с той или иной привилегированной учётной записью.

Наиболее безопасным решением здесь станет выдача на ограниченный срок времени разового персонального пароля, который будет использовать строго определённый сотрудник. После истечения срока действия пароля он меняется на новый, никому не известный, что не позволяет получить несанкционированный доступ даже теоретически.

Реализовать подобную модель управления с учётом парольной политики для привилегированного доступа на практике возможно с помощью двух способов:

  1. Административный. Заключается в установке административных регламентов. Для этого в организации назначают лицо, которое занимается хранением паролей. Это может быть реализовано посредством выдачи одноразовых паролей сотрудникам по времени с записью в журнале. После выполнения работы пароль аннулируют, создают новый и прячут в надежном месте до следующего раза. Такой способ показывает высокую надежность, но не подходит для частых обращений и критических случаев, поэтому оправдан в малых организациях или для редкого использования. В текущий реалиях — это устаревшая модель контроля, которая практически не используется ввиду присутствия более надежных и удобных вариантов.

  2. Автоматизированный. Для выдачи временного пароля задействуют автоматизированные системы управления доступом. При таком подходе пароли хранятся в специально защищенной БД. Привилегированный пользователь подает запрос на получение пароля через web-интерфейс, предварительно авторизовавшись в ученой записи и пройдя аутентификацию. После выполнения задач или по истечению определенного времени пароль аннулируется, ему присваивается новое значение, происходит запись в БД, где он остается до следующего использования. Автоматизированное управление снижает роль человеческого фактора, позволяет вести детальный мониторинг безопасности, помогает быстро провести аудиторскую проверку.

Способы минимизации рисков безопасности при выполнении привилегированной идентификации

Контроль и мониторинг – обязательные моменты при работе с привилегированными учетными записями. Для этого рекомендуется выполнять следующие мероприятия:

  1. Вести учет всех привилегированных пользователей в компании. Число подобных персон невелико, относительно общего количества пользователей ИТ-ресурсов поэтому достаточно выстроить автоматизированную систему мониторинга сотрудников и назначать ответственных лиц за контроль этого пула привилегированных пользователей.

  2. Собирать и хранить информацию о деятельности привилегированных учетных записей. Это поможет быть в курсе происходящей ситуации, заметить подозрительную активность, выявить инсайдерские угрозы.

  3. Управлять контролем доступа. С помощью автоматизированных инструментов возможно грамотно управлять паролями, аутентификацией, контролировать доступ к информации, защищать данные от несанкционированного доступа и использования.

Эффективным инструментом для управления привилегированными пользователями является специализированное решение PAM (Privilege Access Management), а в комплексе с системой класса IGM/IGA, как, например, Solar inRights, запросы на получение привилегированных прав могут обрабатываться в рамках общей концепции управления доступом всей организации и находиться в единой цепочке контроля. Таким образом можно получить детальную картину о деятельности работников и предотвратить инциденты безопасности.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Сервис управления доступом к информационным системам

Сервис управления доступом к информационным системам

Узнать больше
Слияния и поглощения. Как IdM/IGA-система упрощает организацию доступов и снижает риски несанкционированного использования прав

Слияния и поглощения. Как IdM/IGA-система упрощает организацию доступов и снижает риски несанкционированного использования прав

Узнать больше
Как создать модель управления доступом, которая соответствует требованиям безопасности и нуждам бизнеса?

Как создать модель управления доступом, которая соответствует требованиям безопасности и нуждам бизнеса?

Узнать больше
Как обеспечить безопасность паролей и как часто нужно их менять?

Как обеспечить безопасность паролей и как часто нужно их менять?

Узнать больше
Регламент предоставления доступа к информационным ресурсам

Регламент предоставления доступа к информационным ресурсам

Узнать больше