Использование привилегированных учетных записей при проведении атак на инфраструктуру
Узнать большеВ компаниях с развитой инфраструктурой есть сотрудники, обладающие расширенными правами для работы в информационных системах (сокращенно — ИС). Действия таких сотрудников целесообразно контролировать с помощью систем управления привилегированным доступом — специализированных платформ класса Privileged Access Management (далее — PAM), о задачах и функциях которых рассказываем в этой статье.
Привилегированный доступ: что это такое и кому его предоставляют
Под привилегированным доступом понимают назначение пользователям расширенного набора полномочий для работы с критически важными ИС и данными компании. Расширенные права могут быть предоставлены системным администраторам, отвечающим за работоспособность ИТ-инфраструктуры и ее ключевых компонентов, администраторам систем, контролирующим работу всех или каких-то определенных ИС, разработчикам и тестировщикам программного обеспечения, внутренним или независимым аудиторам.
Какие учетные записи (УЗ) могут иметь расширенные полномочия:
- Личные. Это учетные записи, созданные для конкретных сотрудников из числа перечисленных выше.
- Административные. Такие УЗ автоматически генерируются в ИС и используются для обеспечения работоспособности систем, выполнения настроек.
- Служебные. Учетные записи этого типа используются для взаимодействия различных ИС, настройки обновлений, передачи отчетов.
- Аварийные. УЗ, которые применяются при восстановлении функциональности ИС после сбоев.
Управление привилегированным доступом и контроль сотрудников могут осуществляться посредством специализированных систем управления расширенными правами доступа, позволяющих отслеживать соблюдение корпоративных политик информационной безопасности и предотвращать угрозы, связанные с использованием широких полномочий в ИС.
Угрозы ИБ, связанные с привилегированным доступом
Недостаточный контроль действий сотрудников с расширенными полномочиями зачастую приводит к различным инцидентам, происходящим по вине привилегированных пользователей или связанным с несанкционированным использованием их учеток. Примеры инцидентов:
- Утечки чувствительных данных. Они могут инициироваться намеренно или происходить в результате некомпетентности сотрудников, нарушения внутренних политик безопасности.
- Модификация критически важной информации. Сотрудники с расширенными полномочиями могут намеренно или случайно изменять/удалять данные.
- Внедрение в ИТ-инфраструктуру вредоносных элементов. Такие инциденты зачастую происходят из-за посещения привилегированными пользователями сомнительных внешних ресурсов, использования зараженных файлов и программ.
- Нарушение нормальной работы ИС и подключенного оборудования. Пользователи с расширенными правами могут намеренно или по ошибке поменять настройки или отключить часть функций, что приводит к сбоям.
Также не стоит забывать о рисках, связанных с внешними злоумышленниками, которые могут подобрать пароли от учетных записей привилегированных пользователей, войти во внутренние ИС и нанести организации серьезный (а иногда и непоправимый) ущерб. Платформы PAM помогут защитить УЗ и предотвратить их несанкционированное использование.
Минимизировать риски инцидентов поможет внедрение системы управления привилегированным доступом, на которую можно возложить задачи по контролю действий сотрудников с расширенными полномочиями.
Зачем использовать системы управления привилегированным доступом
Из-за отсутствия единого подхода к управлению привилегированным доступом компании могут столкнуться со следующими проблемами:
- Ненадежные пароли от УЗ привилегированных пользователей, отсутствие их периодической смены.
- Небезопасное хранение паролей.
- Отсутствие контроля действий привилегированных пользователей в процессе их работы в информационных системах организации.
- Использование одной учетной записи с расширенными полномочиями несколькими пользователями.
- Отсутствие сохраненных сведений об операциях, совершаемых привилегированными пользователями, ввиду чего сложно проводить расследования инцидентов ИБ.
Эти проблемы повышают риски инцидентов ИБ. Нивелировать их поможет использование платформы для управления привилегированным доступом. Ключевые задачи PAM-решения Solar SafeInspect:
- Фиксация зарегистрированных в ИС учетных записей привилегированных пользователей.
- Реализация принципа наименьших привилегий — предоставление минимально достаточных полномочий для выполнения должностных обязанностей.
- Контроль действий привилегированных пользователей во время рабочих сессий.
- Предотвращение несанкционированного использования УЗ с расширенными правами доступа.
- Надежное хранение привилегированных УЗ.
- Сбор статистики и проведение аналитики действий привилегированных пользователей.
- Помощь в проведении аудита действий сотрудников с расширенными правами доступа.
- Усиление парольной политики, безопасное хранение паролей.
Решения класса PAM необходимы для оптимизации процессов управления привилегированным доступом и повышения общего уровня информационной безопасности организации. Благодаря инструментам, предоставляемым такими платформами, снижаются риски, связанные с привилегированными пользователями.
Какие функции выполняет Solar SafeInspect — система управления привилегированным доступом
Основные возможности платформы:
- Контроль распространенных протоколов администрирования.
- Контроль подключений всех обладателей привилегированного доступа к ИС.
- Предоставление доступа только после успешного прохождения процедуры надежной аутентификации.
- Непрерывный мониторинг всех операций, совершаемых привилегированными пользователями.
- Проксирование рабочих сессий пользователей с широкими правами.
- Фиксация действий привилегированных пользователей в сессиях.
- Прерывание сессий в случае несанкционированных действий.
- Управление паролями: изменение согласно заданному расписанию, организация безопасного хранения, автоматическая подстановка атрибутов УЗ при входе в ИС.
- Генерация подробной отчетности, сбор данных для проведения внутренних расследований.
Также Solar SafeInspect играет немалую роль в проведении аудита действий администраторов информационных систем, который подразумевает накопление информации о работе специалистов и ее детальный анализ с целью обнаружения потенциальных угроз со стороны сотрудников, наделенных расширенным набором прав. PAM-платформа записывает действия привилегированных пользователей в сессиях, сохраняет данные для дальнейшей обработки и формирования отчетов.
Как функционирует cистема управления привилегированным доступом Solar SafeInspect
Схема работы решения: сотрудник инициирует подключение к ИС, происходят процессы идентификации и аутентификации (распознавания и подтверждения пользователя), выполняется проверка на возможность доступа к запрашиваемым объектам информационной инфраструктуры и сопоставление полномочий. Если пользователь прошел все этапы проверки, PAM-платформа осуществляет подключение и записывает рабочую сессию.
Наше решение гибко встраивается в инфраструктуру любого типа и может работать в трех режимах:
- Сетевой мост. Режим, подразумевающий незаметную авторизацию для пользователя. Платформа Solar SafeInspect устанавливается в разрыв трафика, и все подключения к внутренним серверам на канальном уровне проходят через нее. Эта схема подойдет, если пользователи и серверы находятся в одной сети.
- Маршрутизатор. Режим, который используется, если серверы и пользователи находятся в разных сетях. Система управления правами доступа также устанавливается «в разрыв», и на нее маршрутизируются все соединения с целевыми серверами.
- Бастион. Режим, который может использоваться для подключения независимо от положения пользователей в сети. Система управления расширенными правами доступа в этом случае будет подключаться по защищенному протоколу к вызываемому ресурсу и обрабатывать трафик запросов к серверам. Авторизация в этом режиме осуществляется пользователями вручную через окно ввода атрибутов УЗ.
Два из трех режимов (сетевой мост и маршрутизатор) являются прозрачными. Это означает, что пользователи могут не знать об осуществлении контроля за их действиями. PAM-платформа для сервера играет роль администратора, для сотрудника — «притворяется» сервером. Такой подход позволяет незаметно контролировать пользовательские действия на рабочих устройствах, например выполнение определенных команд, нажатия на клавиатуру и т. д.
Для более эффективного выполнения задач PAM-решение может интегрироваться с инструментами других классов, составляющими ИБ-контур организации. Примеры интеграций:
- Связка с Identity Management (IdM) — системой управления доступом. В паре с такой платформой PAM-решение позволяет посредством единого интерфейса управлять всеми корпоративными УЗ (включая технологические) с расширенными полномочиями.
- В паре с решением для управления событиями ИБ Security Information and Event Management (SIEM) Solar SafeInspect позволяет эффективнее распознавать инциденты ИБ и готовить детализированную отчетность для сотрудников службы информационной безопасности.
- В тандеме с платформой Data Leak Prevention (DLP) наша PAM-система формирует подробные отчеты по операциям, совершаемым привилегированными пользователями с определенными ресурсами и файлами, что позволяет обнаруживать и предотвращать подозрительные действия с информацией.
Путем интеграции используемых компанией средств управления доступом и инструментов для защиты информационной инфраструктуры образуется единый механизм, элементы которого эффективно дополняют функциональность друг друга.
Где применяются системы управления расширенными правами доступа
PAM-платформы могут использоваться в организациях различных масштабов и сфер деятельности, включая государственные органы и предприятия с госучастием. Примеры отраслей, где особенно необходимо эффективное управление привилегированными учетными записями:
- Информационные технологии
- Финансы
- Здравоохранение и медицина
- Промышленность
- Торговля
- Логистика, транспорт
Необходимость использования PAM-решений в этих сферах продиктована строгими требованиями законодательства и отраслевых регуляторов к работе с персональными данными и другой чувствительной информацией, утечка которой повлечет серьезные штрафы, финансовые и репутационные потери.
Преимущества платформы Solar SafeInspect
Ключевые преимущества системы управления расширенными правами доступа:
- Гибкое встраивание в инфраструктуру распределенного типа без применения агентов.
- Надежное хранение всех зафиксированных сведений.
- Предоставление доступа по различным сценариям: на постоянной основе или единоразово, согласно настроенному расписанию.
- Быстрое развертывание и настройка системы на виртуальной машине.
Преимущества использования платформы для бизнеса: защита от финансовых и репутационных потерь, минимизация рисков утечки информации, предотвращение нелегитимного доступа к ИС и базам данных. Для ИТ-подразделений: переход от ручного назначения полномочий к автоматизированным процессам. Для офицеров отдела информационной безопасности: соблюдение политик ИБ, защита учетных записей от несанкционированного использования, непрерывный мониторинг действий сотрудников с широкими полномочиями, сбор сведений для внутренних расследований.