Управление паролями в компании: как снизить риски и упростить контроль доступа
Узнать большеМногие компании контролируют только учетные записи пользователей, а сервисные и другие технические оставляют без внимания. Из-за отсутствия должного контроля такие аккаунты могут стать источником внутренних проблем и точкой входа для злоумышленников. Рассказываем, какие слабые места безопасности связаны с сервисными учетными записями и как их закрыть благодаря IdM-системе.
Что такое сервисные учетные записи
Выполнение задач без человеческого участия
Сервисные учетные записи — технические аккаунты (ТУЗ), к которым не привязаны профили конкретных людей. Они применяются там, где нужны регулярные процессы, не требующие постоянного участия человека.
Команда Solar inRights
Сервисные учетные записи (service accounts) — это специальные технические аккаунты, которые используются машинами и службами. Например, веб-серверами, системами мониторинга, приложениями, службой каталогов Active Directory, облачными сервисами. Некоторые задачи таких учетных записей:
- Автоматический запуск процессов. Например, фоновых задач, синхронизации, обработки данных, создания отчетов. Сервисные аккаунты позволяют поддерживать непрерывность работы компонентов инфраструктуры без человеческих участия.
- Поддержка интеграции между системами. Сервисная учетная запись помогает одной системе взаимодействовать с другой, приложениям обмениваться данными через API.
- Обеспечение доступа к данным. Через сервисные аккаунты программы могут подключаться к хранилищам, базам данных и другим источникам информации.
- Резервное копирование. ТУЗ можно использовать для регулярного создания бэкапов данных по заданному расписанию.
Сервисные учетные записи могут иметь как базовые, так и расширенные полномочия. Например, для управления настройками систем, создания ресурсов, выполнения административных операций. В этом случае аккаунты считаются привилегированными и требуют усиленного контроля.
Риски, связанные с сервисными учетными записями
Несмотря на то что под сервисными учетными записями не работают люди, определенные риски ИБ с ними все же связаны. Например:
- Избыточные права доступа. Если назначить больше полномочий, чем нужно для выполнения задач, ущерб при компрометации аккаунта будет серьезнее.
- Забытые аккаунты. Задачи и процессы уже неактуальны, либо владелец ТУЗ уволился, но учетки при этом остаются в системе. За ними никто не следит, поэтому компрометация и дальнейшие несанкционированные действия могут остаться незамеченными.
- Слабые или старые пароли. Если не разработаны или не выполняются парольные политики, пароли могут годами не меняться, из-за чего растут риски компрометации.
- Сложности при проведении аудита. Иногда нужно понять, какие машины или службы выполняли то или иное действие. Если совсем не следить за сервисными учетными записями, восстановить картину событий и инцидентов будет сложно.
По данным отчета экспертов «Солара», больше 30% компаний не ведут реестр технических учетных записей и ответственных за каждую ТУЗ. Сервисные учетные записи могут использоваться злоумышленниками для получения доступа к внутренним процессам и данным либо для подготовки атак на компанию. Нужно оценить потенциальные риски и выстроить грамотное управление техническими аккаунтами.
Управление сервисными учетными записями
Идея управления заключается в том, что оно позволяет отделить работу машин и служб от работы людей, своевременно и корректно распределять полномочия. Поскольку машины используют только те права, которые им назначены и не могут их превышать, подключаться к сессиям и контролировать все действия под сервисными учетными записями не нужно. Главное — знать, какие ТУЗ зарегистрированы, кто владелец, какие полномочия учетной записи присвоены.
Для управления сервисными учетными записями можно использовать IdM-систему (Identity Management)IdM-система (Identity Management) — решение для автоматизации управления учетными записями и доступом., например Solar inRights. Основные задачи, которые решаются с ее помощью:
- Организация реестра технических учетных записей, в том числе сервисных. В нем будут указаны все ТУЗ и их владельцы. Это позволит избежать забытых и бесхозных аккаунтов, делать ротацию паролей при смене ответственных лиц.
- Автоматизация процессов согласования при создании и изменении ТУЗ. Solar inRights позволяет настраивать маршруты согласования. Благодаря этому назначение новых владельцев для сервисных учетных записей, процессы выдачи и изменения прав доступа становятся прозрачными.
- Контроль полномочий и выявление неактуальных/избыточных. Система позволит обнаружить нарушения политик доступа, скорректировать набор прав и соблюсти принцип наименьших привилегий.
В целом IdM-система позволяет управлять жизненным циклом сервисных и других технических учетных записей, отслеживать права доступа и владельцев, своевременно блокировать неиспользуемые аккаунты. Она поможет компаниям устранить хаос в организационных процессах и снизить риски информационной безопасности.
Наведите порядок в учетных записях
Возьмите сервисные учетные записи и их полномочия под контроль с помощью Solar inRights
Действия с сервисными аккаунтами в IdM‑системе
IdM‑система Solar inRights позволяет создавать сервисные учетные записи прямо из интерфейса, смотреть список ТУЗ, редактировать данные о владельцах, отслеживать полномочия, назначать и отзывать роли. Краткое описание каждого процесса:
|
Функция |
Краткое описание |
|---|---|
|
Создание учетной записи из интерфейса |
Настройка технической учетной записи через специальный мастер создания ТУЗ. Можно создать ее сразу либо через процесс согласования. Нужно выбрать конечную информационную систему и указать тип аккаунта, его описание и сведения о владельце. Дальше настраиваются параметры в ИС, при необходимости сразу выбираются роли с наборами полномочий. |
|
Просмотр перечня ТУЗ и управление |
Просмотр всех технических учетных записей в отдельном интерфейсе, где для удобства предусмотрена фильтрация. Можно выполнять различные действия, такие как сброс и смена пароля, блокировка и разблокировка ТУЗ. |
|
Просмотр и редактирование сведений о сервисных учетных записях |
Работа с карточками ТУЗ, где отображаются основные параметры учетных записей, роли и полномочия, история изменения ролей ТУЗ. Данные можно редактировать напрямую или запустить процесс согласования с другими ответственными лицами. |
|
Присвоение и отзыв ролей |
Управление доступами сервисных учетных записей через заявки на присвоение и изменение ролей. Для формирования заявок в системе есть отдельный мастер. |
|
Контроль за полномочиями сервисных учетных записей |
Выявление расхождений с политиками доступа для технических учетных записей, их отображение в общем списке нарушений и возможность реагирования. |
|
Автоматизация контроля за владением сервисными аккаунтами и паролями |
Отслеживание списка владельцев технических аккаунтов, уведомления об увольнении владельца и возможность автоматической передачи владения, автоматический сброс паролей и создание заявок на отправку нового пароля другим владельцам ТУЗ. Список необходимых действий можно задать в настройках IdM‑системы. |
Преимущества Solar inRights для управления сервисными учетными записями
Систему внедряют, чтобы обеспечить прозрачность управления, снизить вероятность компрометации аккаунтов и инцидентов ИБ. Почему выбирают Solar inRights:
- Отдельный модуль управления ТУЗ. Поскольку за такими аккаунтами не стоят люди, они не могут автоматически создаваться на основании кадровых данных. Отдельный модуль позволяет настроить все необходимые процессы работы с ТУЗ.
- Централизованное управление доступом. Система позволит видеть перечень всех учетных записей, управлять жизненным циклом и привилегиями.
- Кастомизация работы с сервисными учетными записями. Можно автоматизировать процессы создания аккаунтов и назначения прав доступа, создавать заявки на согласование, передавать роли владельцев.
- Удобная эксплуатация. Работу с платформой облегчает визуально понятный интерфейс, который отображается на любых устройствах.
- Помощь в проведении аудита. Solar inRights хранит полные и достоверные данные о технических учетных записях, доступах, владельцах.
- Гибкая система построения отчетов. Можно просматривать срезы прямо в интерфейсе либо загружать на свои устройства в удобном формате.
Solar inRights подойдет для компаний, которые стремятся использовать локальные программные продукты. Система работает на импортонезависимых компонентах, присутствует в реестре отечественного ПО и сертифицирована ФСТЭК России, что подтверждает практическую реализацию заявленного функционала.
Узнайте больше о функциях Solar inRights для управления ТУЗ и протестируйте платформу на своих задачах
Сервисные учетные записи под контролем
Сервисные и другие технические аккаунты позволяют поддерживать стабильную работу инфраструктуры и выполнять важные процессы без участия человека. Однако без централизованного управления они могут стать слабым местом информационной безопасности. Нужно знать, какие ТУЗ есть в компании, кто ими владеет, какие права доступа выданы. Ответить на эти вопросы поможет IdM‑система Solar inRights.
Скачать материал
Спасибо!
Если файл не скачался, перейдите по ссылке
Файл не найден
ДРУГИЕ СТАТЬИ ПРОДУКТА
Еще больше о наших возможностях
Аутентификация и авторизация: как устроен контроль доступа в корпоративных системах
Узнать больше
Identity Security в организациях: контроль доступа как основа кибербезопасности
Узнать больше
Нарушения полномочий
Узнать больше
Категории пользователей: как распределять права доступа и снижать риски ИБ
Узнать больше
Создание учетных записей: как избежать ошибок и рисков
Узнать больше
Центр управления доступом
Узнать больше
Выбор и внедрение IdM/IGA-системы
Узнать больше
Какие права доступа могут быть назначены для учетных записей и как ими управлять
Узнать больше
Двухфакторная аутентификация
Узнать большеСамые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Запросить консультацию