Маршрут согласования
Узнать большеСтремясь обезопасить конфиденциальные данные от утечки, кражи и несанкционированного использования, компании часто направляют фокус внимания на внешних злоумышленников, но опасность может исходить и изнутри — от сотрудников и подрядчиков. Предотвратить внутренние инциденты помогает мониторинг активности пользователей, который можно осуществлять с помощью специализированной системы — Privilege Access Management (далее — PAM). А если смотреть шире и обеспечить комплексный подход, включающий не только мониторинг работы пользователей, но и контроль доступа к ресурсам, выявление отклонений и нарушений доступа, то дополнительное использование решения IdM/IGA обеспечит всестороннюю видимость и прозрачность в процессах предоставления полномочий и проактивный подход к снижению рисков, связанных с использованием несанкционированных прав. В статье рассказываем, как контроль за персоналом снижает риски ИБ, каким образом работают инструменты мониторинга и защиты.
Мониторинг активности пользователей и контроль доступа к ресурсам: цели и преимущества
Мониторинг — наблюдение за пользователями, предполагающее фиксацию их взаимодействий с важными объектами инфраструктуры — информационными системами и конфиденциальными данными. Цель — отследить несанкционированные операции и предотвратить внутренние нарушения, например:
- Намеренную или случайную утечку чувствительных данных.
- Несанкционированное изменение или удаление файлов.
- Попытки несанкционированного доступа к объектам инфраструктуры.
- Создание условий для утечки данных и кибератак.
Мониторинг доступа к данным и активности пользователей также нужен для сбора доказательной базы, которая поможет установить внутренних нарушителей. Если несанкционированные действия сотрудников будут зафиксированы, офицеры службы ИБ смогут быстрее и эффективнее проводить расследования инцидентов.
Какие еще цели мониторинга можно выделить:
- Раннее обнаружение угроз. С помощью мониторинга выявляется недобросовестное выполнение служебных обязанностей, что часто становится причиной инцидентов ИБ.
- Проверка соблюдения регламентов работы с конфиденциальными данными и информационными системами. Это особенно актуально для крупного бизнеса с многотысячным штатом персонала, где сложно контролировать каждого сотрудника.
- Соблюдение законодательных и отраслевых требований в части защиты данных. Мониторинг активности пользователей позволит обеспечить высокий уровень информационной безопасности за счет постоянного контроля работы пользователей и использования ресурсов компании.
Некоторые небольшие компании пренебрегают мониторингом, считая, что он необходим только крупному бизнесу. Но это не так — утечка или несанкционированное изменение данных могут произойти в любой организации, независимо от масштаба и отрасли деятельности.
Основные методы контроля активности пользователей
Четыре ключевых метода защиты данных от несанкционированного доступа:
- Логирование событий в используемых компанией системах и сервисах — сбор и сохранения сведений обо всех событиях, происходящих с объектами инфраструктуры. Это могут быть системные ошибки, предупреждения, сводки о действиях пользователей, сообщения о работе систем.
- Мониторинг активности пользователей в рамках текущих рабочих сессий — отслеживание и фиксация всех действий, совершаемых сотрудниками.
- Анализ пользовательского поведения — исследование действий сотрудников на предмет соответствия политикам безопасности компании, выявление нетипичной активности, профилирование персонала на основе различных паттернов поведения.
- Контроль полномочий — отслеживание процессов назначения прав доступа к системам, ресурсам и конфиденциальным данным, предотвращение попыток злоупотребления привилегиями.
PAM-система Solar SafeInspect для мониторинга активности привилегированных пользователей
Система Solar SafeInspect предназначена для контроля привилегированного доступа и может в реальном времени осуществлять мониторинг активности пользователей. Она записывает сессии с участием сотрудников, которым назначены расширенные полномочия, сохраняет собранную информацию для проведения аудита и расследований.
В процессе мониторинга с помощью Solar SafeInspect могут быть обнаружены несанкционированные действия привилегированных пользователей, неудачные попытки доступа к критически важным системам и информационным активам, нарушение внутренних политик безопасности и регламентов работы с данными. С использованием этих данных можно оперативно принимать решения по ограничению или отзыву доступа для предотвращения инцидентов ИБ.
Основные методы контроля доступа к данным
Мониторинг активности пользователей целесообразно совмещать с контролем доступа — совокупность этих мероприятий позволяет достичь высокого уровня информационной безопасности компании.
Как и с помощью каких инструментов контролировать полномочия:
- Автоматизировать процессы предоставления и изменения прав доступа. Это можно сделать путем внедрения IGA-платформы Solar inRights, которая позволяет назначать полномочия в рамках ролевой модели. В системе формируются роли — готовые наборы привилегий в зависимости от должностей и обязанностей сотрудников. Одна роль может быть назначена нескольким пользователям, выполняющим одинаковые задачи. При необходимости расширить или сузить набор привилегий не нужно назначать права каждому сотруднику отдельно — достаточно внести изменения в роль.
- Предоставление дополнительных полномочий по заявкам. Процессы создания и рассмотрения заявок можно оптимизировать с помощью отдельного модуля в системе Solar inRights. Пользовательские заявки направляются по заранее настроенным маршрутам, включающим необходимые шаги согласования.
- Аудит прав доступа и своевременное выявление нарушений. В проведении аудита помогут отчеты, сформированные по результатам мониторинга активности пользователей с помощью систем Solar SafeInspect и Solar inRights.
- Сертификация и ресертификации доступа. Сертификацией называют процесс подтверждения текущих прав, ресертификацией — пересмотр и актуализацию привилегий в случае изменений или плановых проверок. Эти мероприятия можно оперативно провести благодаря инструментам IGA-платформы Solar inRights.
Эти меры также помогут реализовать принцип наименьших привилегий — выдачу только тех прав, которые нужны пользователям для выполнения служебных обязанностей. Такой подход позволяет сократить риски ИБ, уменьшить поверхность кибератак в случае попыток злоумышленников получить несанкционированный доступ к внутренним ресурсам, упростить проведение расследований инцидентов.
Мониторинг изменений прав доступа пользователей с помощью IGA-платформы Solar inRights
Система Solar inRights предназначена для управления правами доступа. Она оптимизирует процесс назначения полномочий, используя ролевую модель. Также система будет полезна в части мониторинга — с ее помощью можно отслеживать нарушения регламентов назначения прав доступа. Solar inRights фиксирует случаи превышения полномочий, попытки назначать права доступа в обход IGA-решения.
Наша платформа с помощью коннекторов получает из целевых систем актуальные данные о текущих привилегиях пользователей и в реальном времени осуществляет мониторинг доступа, сверяясь с действующей ролевой моделью и внутренними регламентами организации. Она регистрирует любые изменения в правах доступа — от назначения новых полномочий до отзыва текущих. Solar inRights обнаруживает отклонения и нарушения, формирует детализированные выборки, на основании которых администраторы и сотрудники службы ИБ принимают решения, как реагировать на инциденты. Также в настройках платформы можно задать автоматические сценарии реагирования на события, связанные с доступом к информационным системам и данным.
Для более эффективного мониторинга активности пользователей с целью предотвращения попыток превышения полномочий интеграция Solar inRights с PAM-системой Solar SafeInspect принесет неоспоримые преимущества для защиты ресурсов компании и обеспечения эффективной работы пользователей. Благодаря совместной работе двух платформ удается снизить риски несанкционированного взаимодействия с информационными активами компании.