Получить консультацию по Solar SafeInspect

Доля инцидентов в сфере информационной безопасности по вине привилегированных пользователей не превышает 10% от общего количества нежелательных случаев. Но несмотря на такую невысокую цифру, их предотвращению нужно уделять большое внимание. Учитывая уровень важности информации, к которой могут иметь доступ владельцы привилегированных учетных записей, а также степень их влияния на информационные системы (далее – ИС) компании, ущерб для бизнеса от инцидентов по их вине может значительно превосходить потери от действий обычных пользователей.

Управление привилегированными пользователями организуется по тем же принципам, что и обычными. Но есть несколько особенностей при работе с такими «учетками». Их стоит учитывать.

Какие учетные записи относятся к привилегированным и какие опасности могут исходить от них

Владельцы таких «учеток», как правило, работают непосредственно с критическими для компании данными и инфраструктурой. Типичные пользователи подобных учетных записей: сисадмины, администраторы баз данных, сетевые инженеры, специалисты службы безопасности, руководители разных уровней. Если компания пользуется услугами аутсорсеров, для них часто также предусматривается привилегированная идентификация. И аккаунты таких специалистов относятся к рассматриваемой категории. Высокими (или неограниченными) полномочиями и привилегиями могут наделяться различные типы учетных записей:

  • Личные, которые постоянно используются пользователем для работы с информационными системами.

  • Административные. Создаются в каждой целевой информационной системе (как правило автоматически), используются для обеспечения ее работоспособности, настойки.

  • Служебные. Такие «учетки» используются для организации взаимодействия разных ИС между собой.

  • Аварийные. Применяются при возникновении проблем в информационных системах для восстановления их работоспособности.

  • Также учетные записи с привилегированным доступом различаются между собой областью применения. Это:

  • «Учетки» приложений. Действуют в рамках целевого приложения или ИС).

  • Локальные. Применяются в рамках одной рабочей станции или сервера. Могут использоваться при работе с несколькими целевыми ИС.

  • Доменные. Их действие распространяется на компьютеры, серверы, приложения и другие составляющие IT-инфраструктуры в рамках одного домена.

Потенциальные опасности и угрозы от аккаунтов с привилегиями

Вред, который могут нанести пользователи таких «учеток», зависит от возможностей, которые даются им вместе с неограниченным (почти неограниченным) доступом. Это может быть:

  • Несанкционированное распространение важных корпоративных данных.

  • Умышленное изменение или уничтожение информации. Как вариант – для сокрытия следов противоправных действий.

  • Установка вредоносных скриптов, бэкдоров, эксплойтов.

  • Изменение настроек целевой информационной системы, нарушение ее работоспособности.

Угрозы могут быть реализованы, как владельцами аккаунтов с привилегированным доступом, так и третьими лицами, завладевшими данными для доступа к ним.

Способы и инструменты управления привилегированным доступом

Одна из главных целей управления привилегированными учетными записями – организация процессов в компании таким образом, чтобы всегда было известно, кто из сотрудников и какие имеет привилегии. Организовать все можно двумя способами: административным или автоматизированным.

Административный применяют многие компании. Он подразумевает использование «учеток» с привилегиями несколькими сотрудниками. Каждому из них на время выполнения работ выдается пароль. После окончания работ он меняется. «Заведует» этим специальный человек – хранитель паролей. В принципе, схема жизнеспособная и довольно эффективная при условии соблюдения всех требований политики безопасности. Но подходит далеко не всем. Чем больше в компании сотрудников, которым нужны привилегированные учетные записи, и чем больше целевых ИС, в которых они применяются, тем сложнее управлять всем этим.

При автоматизированном управлении привилегированным доступом роль хранителя паролей выполняет специализированное ПО. С такими задачами отлично справляются решения класса IdM/IGA. Это ПО позволяет отказаться от аккаунтов «общего пользования». Сотрудники, работающие с учетными записями с высокими привилегиями, могут запрашивать необходимые им доступы для личного аккаунта в целевой информационной системе через веб-интерфейс. Выдача и отзыв полномочий при помощи таких решений происходят быстро, практически мгновенно. Кроме того, эти системы:

  • Выполняют аудит и ресертификацию прав доступа контролируемых аккаунтов. Можно инициировать этот процесс в любое удобное время или настроить его запуск по расписанию.

  • Автоматически строят отчеты. Специалист по информационной безопасности в любой момент времени владеет полной картиной, касающейся привилегированной идентификации пользователей в разных информационных системах.

  • Предотвращают SOD-конфликты и другие инциденты, связанные с правами доступа. При обнаружении каких-либо отклонений от заданных правил и политик система информирует специалиста по ИБ о вероятной проблеме.

  • Контролируют операции и приостанавливают их. Современные IdM/IGA могут не только формировать оповещения при подозрении на нарушения. При необходимости они блокируют аккаунты, которые могут быть скомпрометированы, и действия с них.

С помощью IdM/IGA-систем можно управлять привилегированными пользователями в любых целевых ИС. Такие решения взаимодействуют с СУБД, офисными программами, веб-приложениями, системами удаленных рабочих программ и так далее. Обмен данными с ними происходит при помощи коннекторов. При необходимости разработчики решений IdM/IGA могут модифицировать уже имеющиеся коннекторы или создавать новые для взаимодействия с каким-то специфичным ПО, использующимся в компании.

Стоит заметить, что многие автоматизированные системы управления и контроля учетными записями взаимодействуют другу с другом, расширяют возможности друг друга. Эксперты все чаще говорят об интеграции разных инструментов в единый комплекс для повышения синергетического эффекта. Например, PAM- и IdM/IGA-системы вроде Solar SafeInspect и Solar inRights во многом схожи: управляют и контролируют учетные записи, права доступа и действия пользователей. Разница только в целях и принципах работы. Объединение различного функционала в единое целое поможет улучшить защиту от киберинцидентов, добиться прозрачности и гибкости управленческих процессов. Интеграция будет способствовать созданию единого центра управления учетными записями всех типов, позволит использовать общую политику безопасности, оперативно реагировать на инциденты, блокировать нежелательные процессы и проводить их своевременное расследование. Также единое интегрированное решение существенно снизит расходы на обслуживание системы управления доступом.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Использование привилегированных учетных записей при проведении атак на инфраструктуру

Использование привилегированных учетных записей при проведении атак на инфраструктуру

Узнать больше
Управление доступом к критичным ресурсам компании

Управление доступом к критичным ресурсам компании

Узнать больше
Обеспечение отказоустойчивости PAM-систем в распределенной инфраструктуре

Обеспечение отказоустойчивости PAM-систем в распределенной инфраструктуре

Узнать больше
Контроль работы удаленных сотрудников с помощью PAM-системы

Контроль работы удаленных сотрудников с помощью PAM-системы

Узнать больше
Интеграция PAM-системы с другими системами управления доступом

Интеграция PAM-системы с другими системами управления доступом

Узнать больше