Безопасность корпоративной учетной записи
Узнать большеКомпании используют различные информационные системы (ИС), программы и сервисы, для доступа к которым нужны учетные записи (УЗ) с различными наборами полномочий. Чем больше объектов, тем масштабнее количество учеток и сложнее контроль соблюдения назначенных пользователям прав. Отдельно стоит отметить риски и неудобства, которые возникают при массовой регистрации учетных записей. В статье рассказываем, как упростить этот процесс и выстроить риск-ориентированную модель управления УЗ с помощью специализированных решений.
Учетная запись: что это и зачем она нужна
Зарегистрированные в используемых компанией ИС учетные записи можно условно разделить на три группы:
- Встроенные, то есть по умолчанию присутствующие во всех используемых информационных системах. Учетные записи этой группы могут принадлежать администраторам или гостям, то есть «рядовым» пользователям. Аккаунты администраторов позволяют управлять всеми ресурсами внутри ИС, а учетки пользователей дают временные привилегии и в большинстве случаев активируются только при необходимости.
- Глобальные. Регистрация таких учетных записей происходит на доменах. Созданные аккаунты дают всем пользователям одинаковые привилегии в отношении используемых ресурсов того домена, где они зарегистрированы.
- Локальные. Это учетки, привязанные к конкретным пользователям и их рабочим местам.
Также учетные записи можно разделить на обычные и привилегированные. Аккаунтам первого типа присваиваются минимально достаточные для работы в целевых ИС права. Привилегированные учетные записи наделяются расширенными полномочиями, позволяющими настраивать оборудование и средства защиты, управлять информационными системами, серверами, приложениям и т.д. Такие аккаунты могут быть привязаны как к людям, так и к техническим службам.
Понятие регистрации учетных записей, отличие регистрации от идентификации, аутентификации и авторизации
Под регистрацией понимают создание учетной записи в ИС или сервисах. Процесс подразумевает внесение данных о пользователе, отправку этих сведений в систему, подтверждение и активацию аккаунта, осуществление необходимых настроек согласно внутренним политикам.
Регистрация является первой ступенью работы пользователя в ИС, поскольку без нее не будет учетной записи, соответственно, и полномочий. Чтобы войти в систему под учетной записью, нужно пройти идентификацию — ввести логин. Затем следует процедура аутентификации, то есть подтверждения личности пользователя в системе. Она предполагает ввод пароля (или его аналога) от учетной записи, а в случае многофакторной аутентификации нужно будет предоставить дополнительные сведения, например, разовый код с телефона или из электронной почты, специальный цифровой ключ или биометрическую характеристику. Затем наступает процесс авторизации — проверки разрешенных привилегий в отношении запрашиваемых ресурсов. Если все этапы завершаются успешно, начинается сеанс работы в ИС.
Зачем нужна быстрая регистрация учетных записей и как ее реализовать с помощью специальных средств
С ростом бизнеса растет число пользователей информационных систем внутри компаний, с чем связана потребность в быстрой регистрации учетных записей. Процесс создания учетки кажется несложным и недолгим, если нужно зарегистрировать один аккаунт, но если их будут десятки, потребуется много усилий и времени. К тому же, при регистрации вручную есть риски некорректно ввести данные пользователей или допустить неточности в настройках.
Создание большого количества УЗ требует соблюдения баланса между удобством и безопасностью. Обеспечить его помогут автоматизированные платформы управления доступом — IdM (Identity Management). Такие решения управляют учетными записями на основе сведений о пользователях и организационно-штатной структуре, получаемых из доверенных кадровых источников. С целевыми ИС платформы имеют двустороннюю интеграцию благодаря специальным коннекторам, поэтому могут оперативно выполнять все требуемые операции.
IdM-решения позволяют не только массово регистрировать учетки, но и осуществлять следующие настройки:
- Устанавливать для учетных записей права доступа к ресурсам согласно ролевой модели выдачи полномочий. Не нужно будет вручную назначать привилегии для каждой УЗ — необходимые наборы прав будут автоматически присвоены всем сотрудникам одной роли.
- Управлять атрибутами учетных записей и их синхронизацией в подключенных системах.
- Настраивать политики безопасности и процедуры безопасного входа в целевые ИС.
IdM-платформы используются организациями из разных сфер деятельности в качестве инструмента централизованного управления пользовательскими привилегиями и учетными записями в корпоративных средах. Их усовершенствованная версия — IGA-системы (Identity Governance and Administration) с более полными функциональными возможностями предоставляют расширенные преимущества по контролю доступа за счет глубокой аналитики и риск-ориентированного подхода. Иногда для обозначения платформ применяется двойная аббревиатура IdM/IGA, поскольку не все предприятия отошли от использования старого названия. Такие решения позволяют внедрять ролевую модель управления доступом, проводить скоринг рисков ИБ, гибко осуществлять администрирование, эффективно управлять учетными записями в почтовых системах, системах управления базами данных и электронного документооборота, программах для организации кадрового учета и в других используемых компанией ресурсах.
Важность безопасности учетных записей в условиях увеличения числа регистраций
Какие ошибки компании часто допускают в работе с учетками, если осуществляют создание аккаунтов и назначение полномочий вручную:
- Использование настроек, предложенных по умолчанию. Из-за этого возникают уязвимости, которые могут быть проэксплуатированы злоумышленниками, желающими получить доступ к пользовательским аккаунтам.
- Отсутствие разделения привилегий, что приводит к конфликту полномочий и усложняет контроль использования информационных систем и отдельных ресурсов.
- Установка слабых паролей или одинаковых комбинаций логинов и паролей для разных учетных записей. В таких случаях злоумышленникам не составляет труда подобрать атрибуты учеток и использовать чужие аккаунты.
IdM/IGA-решения помогают минимизировать риски ИБ за счет разграничения прав доступа пользователей на основании ролевой модели, исполнения утвержденных политик и процедур управления учетными записями, отслеживания конфликтов полномочий, применения риск-ориентированного подхода к управлению доступом, автоматизации рутинных операций в рамках работы с учетными записями.
Применение IdM/IGA-системы Solar inRights для оптимизации процесса регистрации учетных записей и обеспечения безопасного использования пользовательских аккаунтов
IdM/IGA-платформа Solar inRights позволяет управлять полным циклом жизни УЗ — от регистрации до блокировки или удаления, применять отдельные правила и процедуры управления техническими учетными записями. С ее помощью можно автоматически или в ручном режиме создавать любые учетки согласно внутренним правилам компании. Также наше решение позволит управлять паролями: генерировать сложные комбинации, устанавливать параметры паролей в соответствии с положениями парольной политики, применять парольные политики как одновременно для всех используемых организацией информационных систем, так и для конкретных ресурсов и учетных записей.
Какие еще задачи в отношении УЗ решает Solar inRights:
- Аннулирование доступа для учетной записи при увольнении работника или переходе на другую штатную позицию.
- Аудит всех операций, связанных с учетками пользователей ИС для проверки на соответствие положениям внутренних политик безопасности.
- Блокировка и разблокировка УЗ.
- Назначение дополнительных полномочий по заявкам пользователей.
Процессы, связанные с регистрацией учетных записей и другими операциями, касающимися предоставления доступа, могут исполняться автоматически или требовать согласования ответственных лиц. Однако даже при втором сценарии трудозатраты будут намного меньше, чем при создании аккаунтов и назначении прав вручную.
