Атрибутивная модель управления доступом
Узнать большеЧтобы обеспечить защиту от утечки критически важных сведений и несанкционированного использования корпоративных информационных ресурсов, необходимо применять надежные механизмы контроля доступа. Под ними понимают комплекс практик, позволяющих управлять доступом пользователей, предотвращать злоупотребление полномочиями, обеспечивать соблюдение внутренних регламентов. Рассказываем, какие механизмы целесообразно использовать, как внедрить их в бизнес-процессы.
С какими проблемами многие компании сталкиваются в части доступа
Перечислим самые распространенные угрозы, которые могут возникнуть при отсутствии надежных механизмов контроля доступа:
- Использование чужих учетных записей для входа в информационные системы и доступа к базам данных. Например, УЗ могут остаться активными после увольнения сотрудников из компании или после использования для тестирования нового ПО. Есть риск, что такими учетными записями воспользуются внешние злоумышленники или недобросовестные работники компании.
- Ненадежные пароли для аутентификации учетных записей (в том числе привилегированных). В результате сильно повышаются риски компрометации УЗ, поскольку пароли легко подобрать.
- Накопление излишних полномочий у сотрудников. Это может произойти по нескольким причинам. Типичный пример — при переходе работника на другую должность прежние права остались актуальными, и к ним добавились новые.
Риски значительно повышаются, если компания не выстроила организованную стратегию управления доступом, которая включает контроль полномочий, отслеживание жизненного цикла учетных записей, внедрение грамотной парольной политики.
Основные механизмы контроля доступа
Разберем практики, позволяющие контролировать доступ к информационным системам и данным в компаниях разного масштаба. Это базовый комплекс мер, который может быть расширен по инициативе организации в зависимости от внутренних регламентов и отраслевых требований к ИБ.
Двухфакторная и многофакторная аутентификация, авторизация
После идентификации, предполагающей представление пользователя системе (обычно этот этап подразумевает ввод логина или персонального идентификатора), следует аутентификация. Под этим процессом понимают проверку подлинности пользователя, подтверждение прав на использование учетной записи.
Аутентификация бывает однофакторной, двухфакторной и многофакторной. При однофакторной достаточно одного фактора подтверждения, например, ввода пароля, двухфакторная предполагает предъявление двух доказательств на использование аккаунта (например, пароля и одноразового кода или токена). Многофакторный механизм контроля доступа подразумевает более серьезную проверку, часто с применением биометрических характеристик (изображения лица, отпечатка пальца, голоса и т.д). Например, схема может выглядеть так: пользователь вводит пароль от учетной записи, затем одноразовый код из электронной почты и предъявляет отпечаток пальца. Иногда в качестве третьего фактора система может запросить ответ на секретный вопрос. Такой механизм контроля доступа считается надежным, поскольку пройти все этапы проверки, с большой долей вероятности, сможет только владелец аккаунта.
После аутентификации следует этап авторизации — определения полномочий пользователя в системе. Например, кто-то
может только просматривать файлы, кто-то — вносить изменения.
Установка надежных паролей для учетных записей
Чтобы снизить риски компрометации учетных записей, необходимо использовать сложные пароли, содержащие строчные и заглавные буквы, специальные символы, цифры. Для каждой системы должны быть свои пароли — использование одних и тех же для нескольких УЗ недопустимо в целях безопасности.
Также, согласно требованиям парольной политики, комбинации необходимо периодически менять. Специалисты ИБ рекомендуют делать это не реже одного раза в 2-3 месяца.
Аудит доступа
Этот механизм контроля доступа подразумевает выявление случаев превышения полномочий, назначения конфликтующих прав, попыток несанкционированного входа в системы под чужими УЗ. В рамках аудита исследуется собранная информация обо всех параметрах доступа.
Обновление используемых информационных систем и программного обеспечения
Обновления помогают исправить ошибки и сбои в программном обеспечении, повысить производительность, настроить совместимость с новыми системами или технологиями, внедрить новые функции, которые улучшают работу пользователей и повышают защиту данных.
Но наиболее важным является то, что обновления часто необходимы, чтобы устранить уязвимости, которые могут стать причиной несанкционированного доступа к конфиденциальным ресурсам.
Для обнаружения слабых мест ПО следует периодически проводить тестирования безопасности. Можно использовать инструменты для автоматизированной проверки или прибегнуть к пентестам.
Практически все перечисленные механизмы контроля доступа можно реализовать путем использования инструментов IGA-системы (Identity Governance and Administration). К решениям этого класса относится и наша платформа Solar inRights, позволяющая компаниям разного масштаба прийти к организованному управлению доступом и учетными записями.
Механизмы контроля доступа, реализованные в Solar inRights
Solar inRights — платформа, предоставляющая эффективные инструменты для управления правами доступа пользователей и учетных записей. Какие задачи она выполняет в контексте контроля доступа:
- Управляет жизненным циклом всех учетных записей, позволяет обнаружить активные УЗ, подлежащие блокировке или удалению.
- Предоставляет доступ на базе ролевой модели распределения полномочий, тем самым помогая реализовать принцип наименьших привилегий и избежать избыточности в правах.
- Облегчает проведение аудита прав доступа, предоставляя достоверную информацию об актуальных полномочиях сотрудников и учетных записей.
- Выявляет отклонения от внутренних регламентов, применяет настроенные сценарии реагирования на нарушения.
- Позволяет реализовывать парольные политики как по отдельным системам, так и комплексно для всех подключенных информационных ресурсов.
- Обеспечивает грамотное применение механизмов аутентификации пользователей.
IGA-система позволяет обеспечить прозрачное и безболезненное для бизнес-процессов применение механизмов контроля
доступа. Ее внедрение поможет существенно сократить количество инцидентов, связанных со злоупотреблением
полномочиями и избыточными правами.
Преимущества использования Solar inRights в корпоративной среде
Главным преимуществом можно назвать возможность реализовать исполнение регламентов по управлению доступом за счет автоматизации процессов заказчика, что позволяет в полной мере оправдать ожидания от внедрения. Какие еще сильные стороны продукта стоит отметить:
- Высокая производительность, позволяющая системе охватывать большое количество объектов информационной инфраструктуры.
- Качественная техническая поддержка, позволяющая оперативно решать вопросы, связанные с эксплуатацией IGA-системы.
- Удобный, легкий для понимания пользовательский интерфейс, благодаря которому не возникает проблем в администрировании продукта.
- Быстрая интеграция внутри инфраструктуры, что обеспечивает оперативную подготовку системы к выполнению поставленных перед ней задач.
- Возможность с помощью одного решения реализовывать различные эффективные механизмы контроля доступа, позволяющие обеспечить высокий уровень информационной безопасности.
Внедрение Solar inRights помогает не только минимизировать риски инцидентов ИБ, но и облегчает проведение корпоративных расследований. Система предоставляет достоверные и актуальные данные, которые могут служить доказательной базой в случае нарушений сотрудниками внутренних политик безопасности.