Использование привилегированных учетных записей при проведении атак на инфраструктуру
Узнать большеДалеко не все инциденты в области информационной безопасности связаны с действиями привилегированных пользователей. Однако доступ к важной информации сопряжен с высокими рисками и иногда оборачивается уроном для компаний, поскольку привилегированные пользователи могут намеренно или случайно допустить утечку данных.
Сегодня нельзя обойтись без внешних и внутренних учетных записей с расширенным кругом полномочий. Поэтому любой организации необходимо решить вопросы, связанные с эффективным контролем привилегированных пользователей.
Кто такие привилегированные пользователи
Владельцы привилегированных учетных записей работают с информационной инфраструктурой и критическими данными компании. Как правило, это такие пользователи, как системные администраторы, администраторы сетей и баз данных, инженеры по обслуживанию сетей, специалисты службы безопасности, а иногда и сотрудники на аутсорсе.
Расширенные права могут быть у следующих типов учетных записей:
- Личная. Создается для конкретных пользователей с целью выполнения рабочих задач.
- Административная. Как правило, генерируется в информационной системе автоматически и необходима для обеспечения работоспособности информационной системы (ИС), выполнения настроек.
- Служебная. Предназначена для сообщения разных ИС, передачи данных и отчетности, настройки системных обновлений.
- Аварийная. Используется для восстановления работоспособности инфраструктуры ИС после сбоев.
Расширенный доступ может быть у локальных учеток, созданных при установке системы, учетных записей в доменных сетях и учетных записей, необходимых для входа в используемые для работы приложения.
Что такое контроль привилегированных пользователей
Управление привилегированным доступом можно организовать с помощью программных инструментов, способных решать следующие задачи следующего:
- Защита идентификации и аутентификации привилегированных пользователей с помощью специального шлюза.
- Отслеживание действий владельцев административных, служебных, личных и аварийных аккаунтов.
- Сбор статистики и фиксация работы привилегированных пользователей в специальном журнале.
- Анализ вредоносной активности и выявление опасных действий.
- Использование хранилища учетных записей, возможность подстановки учетных данных при входе.
- Своевременная смена паролей от учетных записей в целевых системах в соответствии с политиками безопасности, принятыми в компании.
Класс таких решений называют PAM (Privileged Access Management). Это программно-аппаратные комплексы, направленные на контроль привилегированных пользователей и управление привилегированными учетными записями.
РАМ-решения регистрируют действия с использованием учетных записей с расширенными правами. Ответственные лица оперативно получают уведомления о подозрительных действиях в системе и могут принять меры по предотвращению инцидентов ИБ.
Зачем нужен контроль привилегированных пользователей
Степень вероятного ущерба от инцидента ИБ зависит от полномочий в рамках предоставленного доступа. Злоупотребляя высокими или неограниченными полномочиями, сотрудники могут специально, по невнимательности или халатности допустить:
- Утечку конфиденциальной информации.
- Изменение или уничтожение важных данных.
- Установку вредоносных скриптов и ПО.
- Изменение настроек и нарушение работоспособности ИС.
В результате повышаются риски репутационного и финансового ущерба для компании. Угрозы могут исходить как от владельцев аккаунтов с расширенными правами доступа, так и от третьих лиц, которые могут завладеть данными для входа в ИС. Отсюда вывод – базовой защиты в виде паролей и периодической проверки несанкционированных действий недостаточно. Нужно комплексное решение, которое обеспечит всесторонний контроль привилегированных пользователей, позволит эффективно расследовать инциденты и предотвращать их в будущем.
Как организовать контроль
Управление учетными записями с расширенными правами необходимо для отслеживания аккаунтов с предоставленными привилегиями. Возможные варианты реализации этого процесса:
- Администрирование. Привилегированная учетная запись используется несколькими сотрудниками. На время выполнения задач персонал получает пароли, которые после окончания работы меняются. Подобная схема будет эффективной при соблюдении всех требований политики безопасности, но подойдет только компании с небольшой численностью сотрудников и информационных систем.
- Автоматизация. Ответственность за хранение и смену паролей переходит от человека к специализированному ПО.
Автоматизированное управление привилегированным доступом позволяет сформировать более эффективный процесс по сравнению с ручным контролем.
Выдача прав и их прекращение происходят практически мгновенно. Преимущество такого подхода в том, что первоначально можно выдать минимально необходимый набор прав и корректировать его в соответствии с производственной необходимостью.
Как Solar SafeInspect выполняет такие задачи
Продукт, позволяющий существенно упростить процесс контроля, включает в себя эффективные элементы управления привилегированным доступом:
- Отслеживание прав доступа контролируемых аккаунтов.
- Построение отчетов в автоматическом режиме. Благодаря этой функции у специалистов ИБ накапливаются данные о действиях в сессиях.
- Фиксация активных сессий. Записанные сессии сохраняются в шифрованной базе данных.
- Предотвращение инцидентов. При выявлении несанкционированного доступа или подозрительных действий такие системы, как Solar SafeInspect, формируют уведомление и разрывают сессию.
С помощью РАМ-решений можно осуществлять контроль аккаунтов с широкими правами доступа в любых целевых информационных системах. Также они позволят настроить взаимодействие с офисными программами, удаленными рабочими столами, веб-приложениями и другими ресурсами.
Автоматизированные системы контроля легко внедрить в действующую инфраструктуру, с их помощью можно дополнить функциональность имеющихся продуктов, обеспечивающих безопасность.
Комплексный подход поможет усилить защиту от киберпроисшествий, сделать процесс управления доступом прозрачным и гибким. PAM-система облегчает соблюдение политик безопасности, позволяет оперативно реагировать на инциденты, останавливать и блокировать сомнительные процессы, быстро и эффективно проводить расследования.
Заключение
Контроль привилегированных пользователей с помощью современных автоматизированных систем позволяет решать актуальные задачи: осуществлять аутентификацию, замечать подозрительные действия, фиксировать сессии и проводить расследования. Комплексные решения снижают риски информационной безопасности и позволяют сохранить высокую репутацию компании.