Материалы о Solar inRights

Привилегированный пользователь

Доля инцидентов в сфере информационной безопасности, происходящих по вине привилегированных пользователей (далее — ПП), относительно невысока. Если проанализировать исследования последних нескольких лет, она не превышает 10% (обычно — в районе 3-6%). Но несмотря на такое небольшой количество, этой группе инцидентов следует уделить должное внимание. Ведь ущерб от действий ПП может быть куда серьезнее, чем от непривилегированного.

Кто такой привилегированный пользователь данных

В Методическом документе ФСТЭК от 11 февраля 2014 г привилегированная учетная запись описывается как «учетная запись администратора информационной системы». Это определение можно расширить. Если проанализировать формулировки из разных источников, становится понятным, что привилегированным стоит считать пользователя, который управляет значимыми компонентами информационных систем (далее — ИС). Исходя из этого к данной категории можно отнести внутренних и внешних специалистов (аутсорс персонал, представители IT-интеграторов, разработчиков), наделенных расширенными полномочиями для работы с корпоративными информационными системами (программами, приложениями). Расширенные полномочия включают доступы, необходимые для настройки, установки компонентов, обслуживания, аудита, восстановление после сбоев.

Также к этой категории можно отнести руководителей компаний либо структурных подразделений. Но с некоторой оговоркой. Все зависит от организации. Где-то широкие полномочия таких пользователей распространяются на деятельность организации в целом. Т.е. они принимают управленческие решения. А где-то им еще предоставляются и права суперпользователей в целевых информационных системах, позволяющие влиять на работу этих ИС. В таком случае пользователя можно охарактеризовать как привилегированного.

Таким образом, можно выделить следующие категории ПП, которые встречаются практически в любой компании:

  • Системные администраторы. Отвечают за работоспособность IT-инфраструктуры компании, а также входящих в ее состав компонентов. Как правило, имеют привилегии практически во всех ИС.

  • Администраторы информационных систем (программ). Обеспечивают работу какого-то конкретного ИС или пула из нескольких.

  • Разработчики. Имеют доступ для отладки, тестирования или других целей. Могут влиять на работоспособность ИС.

  • Операторы. Перечень полномочий зависит от специфики программного средства. В некоторых программных обеспечениях сменные операторы наделяются правами ПП.

  • Аудиторы (внутренние и внешние). Для детального эффективного аудита зачастую требуются привилегированные учетные записи.

  • Руководители структурных подразделений и компаний, в перечень полномочий которых входит возможность влиять на работу программного обеспечения и информационных систем.

Угрозы информационной безопасности, связанные с привилегированными пользователями

Самый яркий пример того, к чему может привести недостаточный контроль этой категории сотрудников — Эдвард Сноуден. Работая системным администратором на одной из баз АНБ, под предлогом служебной необходимости он убедил более 20 коллег передать ему логины и пароли от аккаунтов в разных ИС. Результат всем известен — утечка более 1 700 000 файлов и мировой скандал, связанный с ней.

Владельцы привилегированных учетных записей могут становиться виновниками различных инцидентов. Среди них:

  • Утечки. Обусловлены, как неумышленными (незнание / нарушение регламентов, недостаточный уровень подготовки и иные причины), так и умышленными действиями (участие в схемах корпоративного мошенничества, желание отомстить работодатели и так далее).

  • Потеря важной для компании информации. Опять же, умышленно или неумышленно пользователь с повышенным уровнем доступа может удалить какие-то данные.

  • Изменение данных. Наличие привилегий позволяет нечистым на руку сотрудникам манипулировать отчетностью и другой информацией. 

  • Внедрение в IT-инфраструктуру вредоносного программного обеспечения (эксплойтов, backdoor-ов, кейлоггеров, а также других зловредов).

  • Нарушение работы важных для компании ИС / программ. Привилегированный пользователь с широкими полномочиями, с доступом к важным для программного обеспечения функциям легко может нарушить работу программы или ее отдельных модулей.

Ситуация усугубляется тем, что несанкционированные / противоправные действия ПП бывает сложно отличить от повседневной деятельности. В том числе и по этой причине учетные записи таких сотрудников являются объектами пристального внимания хакеров, а также других злоумышленников. Получив к ним доступ, можно реализовывать различные угрозы ИБ компании, маскируя следы такой деятельности, пользуясь правами и привилегиями, доступными для «учеток».

Меры и средства предотвращения угроз ИБ, связанных с привилегированными учетными записями

Обеспечить защиту от инцидентов ИБ, связанных с «учетками» сотрудников с высокими привилегиями поможет эффективное управление пользователями / доступом, мониторинг и контроль. Реализовать это можно с помощью специализированных программных средств. Справится с этими задачами поможет программное обеспечение следующих классов:

  • IdM  (IAG, IAM). Обеспечивают управление жизненным циклом учетных записей с разными привилегиями, их правами, полномочиями, позволяет организовать регулярный аудит прав, оперативное внесение изменений.

  • DLP. Позволяют организовать контроль коммуникаций и действий сотрудников на рабочем месте.

  • SIEM. Обеспечивают мониторинг состояния информационной безопасности в режиме реального времени, а также реакцию на инциденты.

Также при организации управления доступом, мониторинга и контроля можно использовать такие инструменты, как EPM (регулируют механизмы выдачи паролей), межсетевые экраны корпоративного уровня (обеспечивают разграничение доступа к целевым информационным ресурсам), GPM (управление групповыми политиками и полномочиями ПП).

Конечно, внедрять все сразу нет необходимости. Все зависит от масштабов и специфики компании. Принять решение о необходимости того или иного решения поможет аудит информационной безопасности и системы управления доступами.

Если IGA-система - то Solar inRights

Решение класса IGA (Identity Governance and Administration) для компаний, которым уже недостаточно простой автоматизации управления правами доступа как отдельной функции.

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах