Использование привилегированных учетных записей при проведении атак на инфраструктуру
Узнать большеКаждая компания выстраивает систему безопасности, чтобы защититься от утечки данных и угроз со стороны злоумышленников. При этом многие забывают, что опасность может исходить изнутри, то есть от сотрудников. В частности, от администраторов информационных систем — специалистов, которые имеют расширенные права доступа и участвуют в важных процессах в периметре компании. Угрозы безопасности могут возникнуть из-за компрометации привилегированных учетных записей, ошибочных действий или злого умысла, который проще реализовать благодаря расширенным полномочиям. Поэтому контроль администраторов информационных систем — обязательная мера для организаций любого масштаба. Обсудим, в чем он заключается и с помощью каких средств реализуется.
Кто такие администраторы информационных систем
Администратор информационных систем — сотрудник, в обязанности которого входит оптимизация и обслуживание IT-инфраструктуры компании. Специалисты такого плана занимаются созданием информационных систем предприятия, обеспечивают их эффективную эксплуатацию и высокую производительность. Также зачастую на администраторов ИС могут быть возложены задачи по контролю безопасности информационного периметра организации.
В обязанности сотрудников могут входить:
-
Организация и обслуживание информационных систем компании.
-
Решение вопросов, касающихся аппаратно-программной части ИС.
-
Развитие информационной системы, внедрение дополнительных решений для повышения эффективности бизнес-процессов.
-
Консультирование по вопросам эксплуатации компонентов ИС.
-
Выявление и устранение ошибок в работе аппаратных, системных, прикладных элементов ИС.
-
Управление доступом к ИС, мониторинг.
Также администратор обязан постоянно совершенствовать свои навыки, изучать новые технологии в сфере развития и безопасности информационных систем, принимать непосредственное участие во внедрении новых инструментов. Чем выше квалификация специалиста, тем меньше риск, что он будет допускать критические ошибки в работе.
Зачем нужен контроль администраторов информационных систем
Администратор информационных систем — обладатель привилегированных учетных записей. Это значит, что он наделен расширенным набором полномочий, необходимых ему для выполнения задач. От грамотных действий администратора напрямую зависят корректность работы информационной системы и доступность всех ресурсов. Каждая ошибка специалиста может поставить бизнес под удар, например привести к репутационным и финансовым потерям. Чем позже удастся обнаружить признаки невнимательности или злого умысла сотрудника, тем серьезнее будут последствия.
Ситуация сложится еще критичнее, если учетные данные таких сотрудников попадут к злоумышленникам. Подобное нередко происходит из-за отсутствия должного контроля и надежной системы аутентификации привилегированных пользователей, при использовании общих паролей. В таких случаях у киберпреступников появляется возможность войти в информационную систему под видом администратора и полностью захватить управление IT-инфраструктурой.
Иногда сотрудники организаций намеренно помогают организовывать атаки на компанию с целью извлечения прибыли, а также по личным неблаговидным мотивам. Также имеет место несанкционированное скачивание конфиденциальных сведений, изменение конфигурации ИС и другие инциденты, связанные с привилегированным доступом. Постоянный мониторинг администраторов информационных систем поможет предотвратить угрозы и при необходимости провести детальное расследование.
Вывод. Целенаправленный контроль помогает обнаруживать ошибочные или злонамеренные действия администратора, фиксировать слабые стороны его работы, распознавать потенциальные угрозы. Также он в целом повышает уровень организованности персонала и положительно влияет на общую безопасность в периметре компании.
Как контролировать работу администраторов ИС
Что подразумевается под контролем:
-
Управление паролями (периодическая смена, усложнение, надежное хранение).
-
Управление процедурами аутентификации и авторизации.
-
Фиксирование всех действий сотрудника.
-
Запись рабочих сессий.
Использование разрозненных инструментов мониторинга и ручные проверки сопряжены с большими затратами времени и ресурсов. Найти информацию в журнале действий проблематично из-за отсутствия меток и ограничения времени хранения. Тем более недобросовестные администраторы практикуют удаление записей для сокрытия собственных неправомерных действий. Из-за этого выявить проблемы и найти их первопричины становится весьма затруднительно, а иногда невозможно. Чтобы с высокой вероятностью обнаружить и предотвратить возможные угрозы, целесообразно внедрить специализированное решение для управления привилегированным доступом — PAM (Privileged Access Management).
PAM-системы для контроля администраторов информационных систем
Решение PAM — не просто инструмент управления учетными записями, а важная часть стратегии кибербезопасности организаций. Это многофункциональное решение, позволяющее осуществлять контроль доступа привилегированных пользователей, отслеживать действия в рамках сессий, а также автоматизировать соблюдение политик и регламентов ИБ.
Ключевые функции Privileged Access Management:
-
Настройка процессов идентификации, аутентификации и авторизации сотрудников, наделенных расширенным набором полномочий.
-
Создание защищенного хранилища для привилегированных учетных записей.
-
Осуществление доступа через единую точку входа.
-
Выявление фактов нарушения политик безопасности.
-
Обнаружение аномального поведения администраторов.
-
Минимизация злоупотребления привилегиями.
-
Проксирование привилегированных сессий.
-
Осуществление мониторинга администраторов информационных систем в режиме реального времени.
-
Сбор статистики действий пользователей.
-
Настройка правил разграничения доступа.
-
Сокрытие учетных записей.
Система проверяет легитимность доступа и действий пользователей с расширенными полномочиями в системе. Можно использовать готовые шаблоны прав доступа или настроить решение вручную. Практически все процессы автоматизированы, поэтому сотрудники службы безопасности будут избавлены от многочисленных рутинных задач.
Преимущества PAM от Solar
Чтобы эффективно осуществлять контроль администраторов информационных систем без усложнения рабочих процессов, нужно правильно выбрать инструмент. Он должен без проблем интегрироваться с другими средствами защиты (например, SIEM, IdM/IGA), легко внедряться и масштабироваться, выполнять все заявленные задачи и своевременно обновляться с учетом новых технологий. Всеми этими преимуществами обладает решение Solar SafeInspect.
Полнофункциональная платформа обеспечивает гибкое управление привилегированным доступом и настраивается под любые сценарии, в том числе нетиповые. Она подходит не только для крупных компаний с большим штатом сотрудников, но и организаций малого и среднего бизнеса, нацеленных на полноценный контроль ИБ.
Платформа PAM Solar SafeInspect помогает оперативно выявить ключевые риски, связанные с ошибочными или заведомо неправомерными действиями администраторов. Она включает высокотехнологичные инструменты для сбора информации и создания подробной отчетности. С помощью такого решения гораздо проще сформировать объективную картину функционирования привилегированных пользователей и своевременно принять меры для устранения потенциальных угроз безопасности.
Заключение
Большая часть угроз информационной безопасности организаций связана с использованием привилегированных учетных записей, а иногда и участием их обладателей, в частности администраторов информационных систем. Причем сотрудники далеко не всегда имеют злой умысел против компании-работодателя — часто инциденты происходят из-за невнимательности или ошибочных действий. Также бывают ситуации, когда злоумышленники перехватывают учетные записи и действуют в системе от имени администратора.
Чтобы минимизировать вероятность угроз, следует внедрить эффективное PAM-решение для осуществления контроля администраторов информационных систем. Пример инструмента — Solar SafeInspect. Он снижает риски использования привилегированных учетных записей, обеспечивает детализированный доступ на базе политик безопасности, помогает выявлять пользователей с расширенными полномочиями и фиксировать их действия в системе. Такая платформа поможет максимально обезопасить компанию как от вторжений извне, так и от угроз внутри информационного периметра.