Атрибутивная модель управления доступом
Узнать большеРазграничение доступа к корпоративным информационным ресурсам — необходимая мера обеспечения безопасности конфиденциальных данных. Пользователям и учетным записям (УЗ), существующим в инфраструктуре, назначается круг полномочий в соответствии с должностными обязанностями и выполняемыми задачами. В статье рассказываем, какие права доступа могут быть выданы, каким образом контролируется их соблюдение.
Права доступа: что это, какие бывают
Правом доступа называют разрешение совершать те или иные действия с определенными объектами информационной инфраструктуры. Права назначаются пользователям в соответствии с их рабочими обязанностями, должностями, внутренними регламентами. Путем разграничения доступа компании защищают информационные активы от использования теми лицами, для кого они не предназначены.
Основные виды прав доступа:
- Чтение файлов, папок, каталогов. Минимальные привилегии, разрешающие только просмотр объектов.
- Запись — полномочия, которые позволяют редактировать и дополнять существующие файлы.
- Права на выполнение файлов (запуск скриптов).
- Административные права доступа, подразумевающие широкий круг разрешенных действий. Администраторы могут управлять устройствами, пользователями и группами пользователей, менять настройки оборудования и средств защиты.
Обладатели административных полномочий считаются привилегированными пользователями и нуждаются в особом контроле. Для управления привилегированным доступом целесообразно внедрить платформу класса PAM (Privileged Access Management). В портфеле ГК «Солар» такое решение представлено продуктом Solar SafeInspect. Система регулирует доступ привилегированных пользователей в компании: проксирует рабочие сеансы с участием таких сотрудников, осуществляет мониторинг действий, записывает сессии и сохраняет сведения для проведения аудита, расследований.
Зачем нужны права доступа к информационным ресурсам
Права доступа позволяют очертить круг возможных действий, которые тот или иной пользователь может совершать внутри информационной инфраструктуры. Если разграничения доступа не будет, каждый сотрудник сможет просматривать любые объекты и файлы, выполнять операции без каких-либо ограничений, что существенно повышает риски ИБ.
Грамотное разграничение доступа позволяет закрыть две ключевые задачи:
- Защитить данные от несанкционированного использования, минимизировать риски потери и утечки.
- Упростить управление доступом, поскольку будет проще контролировать соблюдение полномочий.
Приведем пример, доказывающий необходимость разграничения прав доступа. Компания располагает строго конфиденциальными данными, утечка которых неминуемо приведет не только к финансовому и репутационному ущербу для организации, но и к проблемам с законом. Если не ограничить круг лиц, взаимодействующих с такой информацией, риски утечки сильно возрастут.
Для распределения привилегий часто используются IGA-платформы (Identity Governance and Administration) — ключевой инструмент защиты от несанкционированного доступа к конфиденциальной информации. Пример такого решения — Solar inRights. Система позволяет автоматизировать процессы назначения и контроля прав доступа, отслеживать жизненный цикл корпоративных УЗ.
Представим, что компания не использует такую систему и вручную управляет доступом. Ответственным лицам приходится регистрировать новые учетные записи и блокировать ненужные, просматривать списки сотрудников и их полномочий с целью убедиться, что все права актуальны и лишних привилегий нет. Скорее всего, в небольшой компании не возникнет сложностей, в отличие от средних и крупных организаций, где сотни и даже тысячи сотрудников, учетных записей. В таких компаниях вручную назначать привилегии и отслеживать изменения доступа не получится, поскольку придется обрабатывать колоссальные объемы информации. В результате могут накопиться незаблокированные учетные записи, ошибки при распределении прав доступа, неотозванные полномочия и т.д. Чтобы минимизировать подобные риски, среднему и крупному бизнесу необходимо внедрить IGA-платформу для решения актуальных задач управления доступом.
Проблемы, связанные с отсутствием грамотного распределения прав и контроля доступа
При отсутствии эффективной стратегии управления доступом компании могут столкнуться со следующими угрозами:
- Накопление излишних полномочий. Ими могут воспользоваться не только сотрудники, но и внешние злоумышленники в случае компрометации учетных записей. Избыточность возникает чаще всего из-за того, что вовремя не отзываются уже не актуальные привилегии, которые назначались сотруднику на прошлой должности или временно для выполнения конкретных задач.
- Незаблокированные учетные записи, которые по факту уже не используются. Например, тестовые или УЗ уволенных сотрудников. Ими могут воспользоваться как внешние злоумышленники, так и сотрудники, желающие из любопытства проверить полномочия учетной записи или намеренно навредить.
- Права доступа, оставленные бывшим сотрудникам. Согласно политикам безопасности, такие полномочия должны отзываться сразу после увольнения, но некоторые организации пренебрегают правилом. Если человек, покинувший штат, решить навредить, он может получить доступ к информационным ресурсам или передать учетные данные хакерам.
- Слабые пароли от учетных записей. Даже если права доступа к информационным ресурсам распределены грамотно, ненадежные пароли сведут на нет все усилия по защите данных. Злоумышленники смогут подобрать комбинации и получить доступ к конфиденциальным ресурсам. Если УЗ привилегированные, риски серьезных последствий будут выше.
Чтобы минимизировать риски и угрозы, необходимо взять фокус не только на разграничение доступа, но и на контроль использования полномочий, соблюдения парольной политики. Также следует периодически пересматривать назначенные привилегии, чтобы убедиться в их целесообразности и избежать избыточности. Первоначальное утверждение прав доступа, например, для определенных должностей или подразделений обычно называют сертификацией. Если проверка полномочий происходит после смены каких-либо условий (например, изменения политик ИБ или бизнес-процессов), то это уже ресертификация. Эти процессы удобно осуществлять с помощью инструментов IGA-платформы.
Как Solar inRights обеспечивает надежный доступ и контроль соблюдения полномочий
Solar inRights позволяет оптимизировать процессы назначения прав доступа к информационным ресурсам, автоматизировать рутинные операции и высвободить человеческие ресурсы. Система управляет жизненным циклом УЗ, распределяет полномочия, основываясь на ролевой модели, подразумевающей выдачу привилегий группам пользователей, объединенных общими ролями. Под ролями понимают готовые наборы прав, которых будет достаточно для выполнения рабочих задач в рамках должностей. Примеры ролей: «бухгалтеры», «сотрудники кадрового отдела», «менеджеры по работе с клиентами» и т.д. Менеджеры и кадровики могут работать с персональными данными, персонал из отдела бухгалтерии — с финансовой информацией. Если полномочий, включенных в роль, будет недостаточно, можно запросить дополнительные права доступа по заявкам. В Solar inRights реализован модуль работы с заявками, позволяющий оптимизировать и ускорить процесс рассмотрения запросов.
С помощью Solar inRights можно контролировать SOD-конфликты — назначение одному сотруднику несовместимых полномочий, совместное использование которых может привести к нарушениям безопасности или мошенничеству. Полностью исключить такие ситуации не всегда получается, но важно контролировать, чтобы работники не злоупотребляли полученными правами доступа.
Solar inRights упрощает проведение аудита доступа, выявляя нарушения политик безопасности, случаи злоупотребления полномочиями. Собранная системой информация предстает в виде наглядных удобных для изучения отчетов. Данные будут полезны и для осуществления сертификации и ресертификации доступа.
Также с помощью функциональности Solar inRights можно избежать несанкционированного доступа к корпоративным информационным активам. Система обеспечивает реализацию механизмов аутентификации (в том числе двухфакторной, многофакторной), исполнение парольных политик как для всех используемых компанией систем, так и для конкретных.