8 (800) 302-85-23

07.09.2021

Управление привилегированным доступом

Управление привилегированным доступом

Получить консультацию по Solar SafeInspect

Доля инцидентов в сфере информационной безопасности по вине привилегированных пользователей не превышает 10% от общего количества нежелательных случаев. Но несмотря на такую невысокую цифру, их предотвращению нужно уделять большое внимание. Учитывая уровень важности информации, к которой могут иметь доступ владельцы привилегированных учетных записей, а также степень их влияния на информационные системы (далее – ИС) компании, ущерб для бизнеса от инцидентов по их вине может значительно превосходить потери от действий обычных пользователей.

Управление привилегированными пользователями организуется по тем же принципам, что и обычными. Но есть несколько особенностей при работе с такими «учетками». Их стоит учитывать.

Какие учетные записи относятся к привилегированным и какие опасности могут исходить от них

Владельцы таких «учеток», как правило, работают непосредственно с критическими для компании данными и инфраструктурой. Типичные пользователи подобных учетных записей: сисадмины, администраторы баз данных, сетевые инженеры, специалисты службы безопасности, руководители разных уровней. Если компания пользуется услугами аутсорсеров, для них часто также предусматривается привилегированная идентификация. И аккаунты таких специалистов относятся к рассматриваемой категории. Высокими (или неограниченными) полномочиями и привилегиями могут наделяться различные типы учетных записей:

  • Личные, которые постоянно используются пользователем для работы с информационными системами.

  • Административные. Создаются в каждой целевой информационной системе (как правило автоматически), используются для обеспечения ее работоспособности, настойки.

  • Служебные. Такие «учетки» используются для организации взаимодействия разных ИС между собой.

  • Аварийные. Применяются при возникновении проблем в информационных системах для восстановления их работоспособности.

  • Также учетные записи с привилегированным доступом различаются между собой областью применения. Это:

  • «Учетки» приложений. Действуют в рамках целевого приложения или ИС).

  • Локальные. Применяются в рамках одной рабочей станции или сервера. Могут использоваться при работе с несколькими целевыми ИС.

  • Доменные. Их действие распространяется на компьютеры, серверы, приложения и другие составляющие IT-инфраструктуры в рамках одного домена.

Потенциальные опасности и угрозы от аккаунтов с привилегиями

Вред, который могут нанести пользователи таких «учеток», зависит от возможностей, которые даются им вместе с неограниченным (почти неограниченным) доступом. Это может быть:

  • Несанкционированное распространение важных корпоративных данных.

  • Умышленное изменение или уничтожение информации. Как вариант – для сокрытия следов противоправных действий.

  • Установка вредоносных скриптов, бэкдоров, эксплойтов.

  • Изменение настроек целевой информационной системы, нарушение ее работоспособности.

Угрозы могут быть реализованы, как владельцами аккаунтов с привилегированным доступом, так и третьими лицами, завладевшими данными для доступа к ним.

Способы и инструменты управления привилегированным доступом

Одна из главных целей управления привилегированными учетными записями – организация процессов в компании таким образом, чтобы всегда было известно, кто из сотрудников и какие имеет привилегии. Организовать все можно двумя способами: административным или автоматизированным.

Административный применяют многие компании. Он подразумевает использование «учеток» с привилегиями несколькими сотрудниками. Каждому из них на время выполнения работ выдается пароль. После окончания работ он меняется. «Заведует» этим специальный человек – хранитель паролей. В принципе, схема жизнеспособная и довольно эффективная при условии соблюдения всех требований политики безопасности. Но подходит далеко не всем. Чем больше в компании сотрудников, которым нужны привилегированные учетные записи, и чем больше целевых ИС, в которых они применяются, тем сложнее управлять всем этим.

При автоматизированном управлении привилегированным доступом роль хранителя паролей выполняет специализированное ПО. С такими задачами отлично справляются решения класса IdM/IGA. Это ПО позволяет отказаться от аккаунтов «общего пользования». Сотрудники, работающие с учетными записями с высокими привилегиями, могут запрашивать необходимые им доступы для личного аккаунта в целевой информационной системе через веб-интерфейс. Выдача и отзыв полномочий при помощи таких решений происходят быстро, практически мгновенно. Кроме того, эти системы:

  • Выполняют аудит и ресертификацию прав доступа контролируемых аккаунтов. Можно инициировать этот процесс в любое удобное время или настроить его запуск по расписанию.

  • Автоматически строят отчеты. Специалист по информационной безопасности в любой момент времени владеет полной картиной, касающейся привилегированной идентификации пользователей в разных информационных системах.

  • Предотвращают SOD-конфликты и другие инциденты, связанные с правами доступа. При обнаружении каких-либо отклонений от заданных правил и политик система информирует специалиста по ИБ о вероятной проблеме.

  • Контролируют операции и приостанавливают их. Современные IdM/IGA могут не только формировать оповещения при подозрении на нарушения. При необходимости они блокируют аккаунты, которые могут быть скомпрометированы, и действия с них.

С помощью IdM/IGA-систем можно управлять привилегированными пользователями в любых целевых ИС. Такие решения взаимодействуют с СУБД, офисными программами, веб-приложениями, системами удаленных рабочих программ и так далее. Обмен данными с ними происходит при помощи коннекторов. При необходимости разработчики решений IdM/IGA могут модифицировать уже имеющиеся коннекторы или создавать новые для взаимодействия с каким-то специфичным ПО, использующимся в компании.

Стоит заметить, что многие автоматизированные системы управления и контроля учетными записями взаимодействуют другу с другом, расширяют возможности друг друга. Эксперты все чаще говорят об интеграции разных инструментов в единый комплекс для повышения синергетического эффекта. Например, PAM- и IdM/IGA-системы вроде Solar SafeInspect и Solar inRights во многом схожи: управляют и контролируют учетные записи, права доступа и действия пользователей. Разница только в целях и принципах работы. Объединение различного функционала в единое целое поможет улучшить защиту от киберинцидентов, добиться прозрачности и гибкости управленческих процессов. Интеграция будет способствовать созданию единого центра управления учетными записями всех типов, позволит использовать общую политику безопасности, оперативно реагировать на инциденты, блокировать нежелательные процессы и проводить их своевременное расследование. Также единое интегрированное решение существенно снизит расходы на обслуживание системы управления доступом.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Подготовка инфраструктуры компании к внедрению PAM-системы

Подготовка инфраструктуры компании к внедрению PAM-системы

Узнать больше
Использование PAM-системы в территориально распределенной инфраструктуре

Использование PAM-системы в территориально распределенной инфраструктуре

Узнать больше
Система управления привилегированным доступом

Система управления привилегированным доступом

Узнать больше
Privileged Access Management (PAM): что это такое, как работает и где применяется

Privileged Access Management (PAM): что это такое, как работает и где применяется

Узнать больше
Работа PAM-системы: как отслеживать попытки несанкционированного доступа?

Работа PAM-системы: как отслеживать попытки несанкционированного доступа?

Узнать больше
Контроль доступа привилегированных пользователей

Контроль доступа привилегированных пользователей

Узнать больше
Управление привилегированными учетными записями

Управление привилегированными учетными записями

Узнать больше
Аудит действий привилегированных пользователей: как оценить эффективность контроля?

Аудит действий привилегированных пользователей: как оценить эффективность контроля?

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.