SSH и RDP: распространенные протоколы подключения
Узнать большеК сожалению, ни одна компания не застрахована от внутренних угроз безопасности. Чаще всего они напрямую связаны с действиями штатных специалистов, которые имеют непосредственное отношение к информационным системам (ИС) и являются обладателями привилегированных учетных записей, а именно администраторов ИС. Угрозы могут быть намеренными – в случае, если сотрудник целенаправленно вредит информационной инфраструктуре или сливает конфиденциальные данные злоумышленникам. Однако большей частью инциденты происходят из-за ошибок в работе, банальной невнимательности или компрометации учетных записей. В последнем случае злоумышленники перехватывают доступ и действуют в системе от имени специалиста. Чтобы выстроить надежную защиту от всех перечисленных угроз, важно как можно оперативнее обнаружить их предпосылки и принять все необходимые меры. Разберемся, как в этом поможет аудит работы администраторов информационных систем и какие инструменты позволят грамотно его провести.
Кто такие администраторы информационных систем
Администратор информационной системы – специалист широкого профиля, главной обязанностью которого является обеспечение стабильной работы информационной инфраструктуры организации. В задачи такого сотрудника входит:
- Установка и обслуживание аппаратного-программного обеспечения, необходимого для выполнения рабочих задач внутри компании.
- Поиск и исправление ошибок в работе компонентов информационных систем.
- Участие во внедрении и развертывании новых решений.
- Консультирование персонала по вопросам эксплуатации компонентов информационных систем.
- Организация механизмов защиты информационной инфраструктуры компании.
- Контроль доступа к ИС.
- Управление базами данных.
- Мониторинг и ведение документации.
Администратор информационной системы – обладатель привилегированных учетных записей. Это значит, что для выполнения рабочих задач ему предоставляется расширенный набор полномочий. Например, он может менять настройки и конфигурацию ИС, создавать и управлять базами данных и т. д. Отсюда вытекают риски преднамеренного или случайного злоупотребления привилегированным доступом. Если специалист совершит ошибку или по какой-то причине решит навредить компании, ее ожидают серьезные негативные последствия. Чтобы избежать подобного исхода, организациям следует уделять пристальное внимание контролю за привилегированными пользователями.
Зачем нужен аудит работы администраторов информационных систем
Одна из мер контроля – аудит. Это проверка работы администратора, в ходе которой оценивается эффективность его деятельности, выявляются его слабые стороны как специалиста и связанные с его действиями потенциальные угрозы для компании. Аудит можно проводить планово через определенные временные периоды или по необходимости, например, при подозрении на ненадлежащее выполнение администратором своих обязанностей.
Проверка осуществляется силами компании или с привлечением независимых экспертов. Первый вариант будет целесообразным, если организация располагает необходимыми специалистами и инструментами для подготовки отчетности о работе администратора.
Базовый сценарий аудита:
- Определение целей проверки. Если администраторов несколько, можно прописать задачи аудита для них в целом или в отношении работы каждого конкретного специалиста.
- Создание комиссии из числа штатных сотрудников. Этот пункт можно пропустить, если компания приглашает независимых экспертов.
- Определение сроков проведения аудита.
- Подготовка перечня документации, которая потребуется для анализа (отчеты, записи рабочих сессий, журнальные записи, скриншоты рабочих столов и т. д).
- Проверка компонентов информационной сети, анализ предоставленной документации.
- Опрос прочих специалистов компании с целью выяснить, были ли перебои в работе системы и насколько оперативно администратор устранял недочеты.
- Обработка результатов проверки и формулирование на их основе выводов, подготовка практических рекомендаций.
В ходе аудита следует оценить риски использования привилегированных учетных записей и проверить, не были ли данные скомпрометированы. Нередко в процессе обнаруживаются неиспользуемые тестовые или забытые учетки (например, уже уволившегося сотрудника). Их нужно обязательно отключать.
Также проверяется работоспособность физического оборудования и программных компонентов, с которыми специалист имеет дело. Лучшее доказательство грамотной деятельности администратора – бесперебойная и высокопроизводительная работа системы.
Как PAM-системы помогут в проведении аудита работы администраторов информационных систем
В ходе аудита не обойтись без специальных инструментов, с помощью которых можно отслеживать действия сотрудников в системе и формировать отчетность. Например, решения PAM (Privileged Access Management) предназначены для контроля учеток привилегированных пользователей и управления доступом. Такие системы значительно облегчат проведение аудита благодаря нескольким важным функциям:
- Фиксации результатов проделанной администратором работы в полном объеме.
- Сбору статистики пользовательских действий.
- Возможности мониторинга действий администратора информационных систем в реальном времени.
- Записи рабочих сессий привилегированных пользователей.
- Формированию детальной отчетности, с помощью которой будет проще составить общую картину работы специалиста.
Системы PAM помогут собрать все необходимые данные для анализа и оценки действий сотрудника. Благодаря автоматизации большинства процессов, можно провести аудит работы администраторов информационных систем в сжатые сроки без потери ее эффективности. В противном случае мониторинг с помощью разрозненных инструментов, ручной поиск записей в журнале займет гораздо больше времени и увеличит риск ошибок.
Без инструментов Privileged Access Management, скорее всего, не обойтись, если компания большая и в ее штате не один администратор. Чтобы проанализировать работу каждого сотрудника и подготовить детальную отчетность, потребуется достаточно много времени. К тому же есть большая вероятность, что без специализированной системы не удастся быстро обнаружить источник и первопричину ошибочных действий и, соответственно, предотвратить инцидент в сфере информационной безопасности.
Системы PAM комплексно обеспечивают безопасное использование привилегированных учетных записей. Например, такой инструмент может фиксировать подозрительные действия администратора, ограничивать доступ и отправлять уведомления ответственным лицам.
Преимущества PAM-решения
На рынке появились отечественные PAM-системы , которые с успехом заменяют импортные решения и обладают широким набором функций. Например, Solar SafeInspect . Преимущества этого инструмента:
- Быстрое внедрение без необходимости приостановки рабочих процессов.
- Бесшовная интеграция с другими средствами обеспечения защиты в сфере информационной безопасности.
- Хранение данных привилегированных пользователей в зашифрованном виде.
- Запись рабочих сеансов пользователей.
- Мониторинг действий администраторов в реальном времени.
- Разрыв сессии при возникновении угрозы безопасности.
Также в систему включены инструменты для обнаружения рисков и детального анализа информации.
Заключение
Администратор ИС – важный персонаж в любой компании с развитой информационной инфраструктурой. Этот сотрудник выполняет широкий спектр задач и является обладателем привилегированной учетной записи. От правильности его действий напрямую зависит работа информационной системы и безопасность в периметре и за его пределами. Чтобы предотвратить потенциальные угрозы, связанные с действиями такого сотрудника и его учетными записями, необходимо периодически проводить аудит работы администраторов информационных систем.
Провести проверку помогут специализированные PAM-решения благодаря возможности в реальном времени отслеживать работу администраторов и записывать их рабочие сессии. Такие инструменты сделают аудит более эффективным и минимизируют риск намеренного сокрытия неправомерных действий (например, удаления журнальных записей). Системы формируют подробные отчеты о деятельности администраторов, на основании которых можно сделать обоснованные практические выводы. Пример отечественного решения такого касса – Solar SafeInspect. Это многофункциональный и удобный в эксплуатации инструмент, который поможет распознать потенциальные угрозы для компании и выстроить стратегию работы с привилегированными учетными записями.
