8 (800) 302-85-23

02.09.2021

Привилегированный пользователь

Привилегированный пользователь

Получить консультацию по Solar SafeInspect

Доля инцидентов в сфере информационной безопасности, происходящих по вине привилегированных пользователей (далее — ПП), относительно невысока. Если проанализировать исследования последних нескольких лет, она не превышает 10% (обычно — в районе 3-6%). Но несмотря на такое небольшой количество, этой группе инцидентов следует уделить должное внимание. Ведь ущерб от действий ПП может быть куда серьезнее, чем от непривилегированного.

Кто такой привилегированный пользователь данных

В Методическом документе ФСТЭК от 11 февраля 2014 г. привилегированная учетная запись описывается как «учетная запись администратора информационной системы». Это определение можно расширить. Если проанализировать формулировки из разных источников, становится понятным, что привилегированным стоит считать пользователя, который управляет значимыми компонентами информационных систем (далее — ИС). Исходя из этого к данной категории можно отнести внутренних и внешних специалистов (аутсорс персонал, представители IT-интеграторов, разработчиков), наделенных расширенными полномочиями для работы с корпоративными информационными системами (программами, приложениями). Расширенные полномочия включают доступы, необходимые для настройки, установки компонентов, обслуживания, аудита, восстановление после сбоев.

Также к этой категории можно отнести руководителей компаний либо структурных подразделений. Но с некоторой оговоркой. Все зависит от организации. Где-то широкие полномочия таких пользователей распространяются на деятельность организации в целом. Т. е. они принимают управленческие решения. А где-то им еще предоставляются и права суперпользователей в целевых информационных системах, позволяющие влиять на работу этих ИС. В таком случае пользователя можно охарактеризовать как привилегированного.

Таким образом, можно выделить следующие категории ПП, которые встречаются практически в любой компании:

  • Системные администраторы. Отвечают за работоспособность IT-инфраструктуры компании, а также входящих в ее состав компонентов. Как правило, имеют привилегии практически во всех ИС.

  • Администраторы информационных систем (программ). Обеспечивают работу какого-то конкретного ИС или пула из нескольких.

  • Разработчики. Имеют доступ для отладки, тестирования или других целей. Могут влиять на работоспособность ИС.

  • Операторы. Перечень полномочий зависит от специфики программного средства. В некоторых программных обеспечениях сменные операторы наделяются правами ПП.

  • Аудиторы (внутренние и внешние). Для детального эффективного аудита зачастую требуются привилегированные учетные записи.

  • Руководители структурных подразделений и компаний, в перечень полномочий которых входит возможность влиять на работу программного обеспечения и информационных систем.

Угрозы информационной безопасности, связанные с привилегированными пользователями

Самый яркий пример того, к чему может привести недостаточный контроль этой категории сотрудников – Эдвард Сноуден. Работая системным администратором на одной из баз АНБ, под предлогом служебной необходимости он убедил более 20 коллег передать ему логины и пароли от аккаунтов в разных ИС. Результат всем известен — утечка более 1 700 000 файлов и мировой скандал, связанный с ней.

Владельцы привилегированных учетных записей могут становиться виновниками различных инцидентов. Среди них:

  • Утечки. Обусловлены, как неумышленными (незнание/нарушение регламентов, недостаточный уровень подготовки и иные причины), так и умышленными действиями (участие в схемах корпоративного мошенничества, желание отомстить работодатели и так далее).

  • Потеря важной для компании информации. Опять же, умышленно или неумышленно пользователь с повышенным уровнем доступа может удалить какие-то данные.

  • Изменение данных. Наличие привилегий позволяет нечистым на руку сотрудникам манипулировать отчетностью и другой информацией. 

  • Внедрение в IT-инфраструктуру вредоносного программного обеспечения (эксплойтов, backdoor′ов, кейлогеров, а также других зловредов).

  • Нарушение работы важных для компании ИС/программ. Привилегированный пользователь с широкими полномочиями, с доступом к важным для программного обеспечения функциям легко может нарушить работу программы или ее отдельных модулей.

Ситуация усугубляется тем, что несанкционированные/противоправные действия ПП бывает сложно отличить от повседневной деятельности. В том числе и по этой причине учетные записи таких сотрудников являются объектами пристального внимания хакеров, а также других злоумышленников. Получив к ним доступ, можно реализовывать различные угрозы ИБ компании, маскируя следы такой деятельности, пользуясь правами и привилегиями, доступными для «учеток».

Меры и средства предотвращения угроз ИБ, связанных с привилегированными учетными записями

Обеспечить защиту от инцидентов ИБ, связанных с «учетками» сотрудников с высокими привилегиями поможет эффективное управление пользователями/доступом, мониторинг и контроль. Реализовать это можно с помощью специализированных программных средств. Справится с этими задачами поможет программное обеспечение следующих классов:

  • IdM (IAG, IAM). Обеспечивают управление жизненным циклом учетных записей с разными привилегиями, их правами, полномочиями, позволяет организовать регулярный аудит прав, оперативное внесение изменений.

  • DLP. Позволяют организовать контроль коммуникаций и действий сотрудников на рабочем месте.

  • SIEM. Обеспечивают мониторинг состояния информационной безопасности в режиме реального времени, а также реакцию на инциденты.

Также при организации управления доступом, мониторинга и контроля можно использовать такие инструменты, как EPM (регулируют механизмы выдачи паролей), межсетевые экраны корпоративного уровня (обеспечивают разграничение доступа к целевым информационным ресурсам), GPM (управление групповыми политиками и полномочиями ПП).

Конечно, внедрять все сразу нет необходимости. Все зависит от масштабов и специфики компании. Принять решение о необходимости того или иного решения поможет аудит информационной безопасности и системы управления доступами.

Вполне очевидно, что подавляющее число известных автоматизированных систем для контроля и управления учетными записями вступают во взаимодействие друг с другом. Тем самым они взаимно дополняют и расширяют свой функционал. Наглядный тому пример – PAM- и IdM/IGA-системы в лице Solar SafeInspect и Solar inRights. Они предназначены для выполнения множества схожих задач: управление и контроль учетных записей, назначение прав и действий пользователей. Их различия сводятся к целевому подходу и специфике использования. Если объединить воедино функционал двух подобных инструментов, то станет возможным усиление защиты от инцидентов безопасности, приведение управленческих процессов к единому и прозрачному алгоритму. Интеграция – путь к созданию общего центра по управлению учетными записями и возможность перехода к единой для всех политике безопасности. Также интеграция – это снижение финансовых расходов на обслуживание двух инструментов, а значит, дополнительная выгода для заказчика.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Аудит действий привилегированных пользователей: как оценить эффективность контроля?

Аудит действий привилегированных пользователей: как оценить эффективность контроля?

Узнать больше
Управление привилегированными учетными записями

Управление привилегированными учетными записями

Узнать больше
Прозрачные режимы работы PAM-системы: что это и для чего нужны

Прозрачные режимы работы PAM-системы: что это и для чего нужны

Узнать больше
Управление привилегированным доступом — PIM/PAM/PUM

Управление привилегированным доступом — PIM/PAM/PUM

Узнать больше
Какие задачи решаются при использовании PAM систем?

Какие задачи решаются при использовании PAM систем?

Узнать больше
Контроль администраторов информационных систем — как осуществлять и зачем?

Контроль администраторов информационных систем — как осуществлять и зачем?

Узнать больше
Аудит работы администраторов информационных систем: как и зачем?

Аудит работы администраторов информационных систем: как и зачем?

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.