Контроль расширенного доступа без рисков для бизнеса
Узнать большеКонтролировать учетки критически важно для кибербезопасности, поскольку многие атаки происходят с использованием скомпрометированных логинов и паролей. Существенно снизить риски инцидентов можно, если управлять жизненным циклом учетных записей и отслеживать действия пользователей. Эти задачи помогут решить системы Identity Management (IdM) и Privileged Access Management (PAM).
Как контролировать использование учетных записей
Контроль учетных записей подразумевает комплекс мероприятий, которые позволяют установить, какие учетки есть в компании, кому они принадлежат, какие права доступа с ними связаны. Также он нужен для того, чтобы выявлять неиспользуемые аккаунты и вовремя их блокировать.
Основные задачи контроля учетных записей:
- Обеспечение безопасности УЗ, предотвращение их кражи и несанкционированного использования. Корпоративные учетные записи часто становятся целью киберпреступников, поскольку они открывают доступ к конфиденциальной информации. Сотрудники компании также могут воспользоваться чужими аккаунтами в злоумышленных целях.
- Корректное назначение прав доступа и соблюдение принципа наименьших привилегий. Важно отслеживать, какие полномочия у тех или иных учетных записей, чтобы своевременно отзывать неактуальные или избыточные права.
- Контроль действий пользователей. Контролировать только права доступа недостаточно. Нужно мониторить фактические действия пользователей.
- Обеспечение соответствия законодательству и требованиям регуляторов. Организации должны обеспечивать защиту чувствительных данных, в частности, путем контроля использования учетных записей и связанных с ними полномочий.
Контроль учетных записей позволяет вовремя обнаружить угрозы безопасности, связанные с правами доступа и реагировать на них. Необходимо контролировать УЗ во всех корпоративных информационных ресурсах, в частност, почтовых системах, сервисах документооборота, кадровых программах, финансовых системах и др.
Какие бывают учетные записи
Есть несколько классификаций учетных записей — по уровню доступа, назначению, месту хранения.
|
Категория |
Тип учетной записи |
Описание |
|---|---|---|
|
По уровню доступа |
Администратор |
Полный доступ к системе: управление пользователями, настройками, ресурсами, безопасностью, установкой ПО. |
|
|
Обычный пользователь |
Доступ к необходимым функциям в рамках своей роли. |
|
|
Гость |
Минимальный уровень доступа для выполнения ограниченных задач. |
|
По назначению |
Системные |
Учетные записи для внутренних процессов и служб. Пользователи не работают с ними напрямую. |
|
|
Личные |
Учетные записи конкретных пользователей. Предназначены для индивидуального доступа к системе или сервису. |
|
|
Бизнес-записи |
Корпоративные аккаунты для сотрудников и подразделений. Предназначены для работы с сервисами, ресурсами и документами. |
|
|
Сервисные |
Учетки для приложений, API или служб для взаимодействия между системами. Часто имеют ключи/токены вместо пароля. |
|
По месту хранения данных |
Локальные |
Хранятся на конкретном устройстве или в локальной инфраструктуре, не зависят от внешних сервисов. |
|
|
Облачные |
Хранятся у облачного провайдера (Google, Microsoft, Яндекс, корпоративное облако). Позволяют использовать аккаунт на разных устройствах и интегрировать внешние сервисы. |
Можно также разделить учетные записи на обычные и привилегированные. Обычные закрепляются за пользователями с базовыми правами доступа. С ними связаны низкие риски безопасности. Даже в случае компрометации и несанкционированного использования УЗ серьезного ущерба для компании не будет. Это не значит, что можно отказаться от контроля таких учетных записей. Он должен быть, чтобы избежать хаоса в правах доступа и соблюдать принцип наименьших привилегий.
Важность контроля учетных записей
Недостаточный контроль учетных записей, особенно привилегированных, приводит к таким инцидентам ИБ, как крупные утечки данных, несанкционированное изменение политик безопасности, отключение средств защиты и др. Повышаются риски успешных атак хакеров. Все это грозит серьезными последствиями для компании — финансовым и репутационным ущербом, остановкой бизнес-процессов, потерей управления над корпоративными системами.
Чтобы избежать влияния человеческого фактора, можно автоматизировать контроль учетных записей. В этом помогут решения Solar inRights (IdM) и Solar SafeInspect (PAM), каждое из которых закрывает определенные задачи ИБ и оптимизации операционных процессов, связанных с управлением доступом.
Привилегированные учетные записи открывают доступ к критически важным системам, конфиденциальным данным, СЗИ, сетевой инфраструктуре. С ними связаны высокие и критические риски безопасности, поэтому необходим особо тщательный контроль. Важно отслеживать все действия пользователей, которые работают под привилегированными аккаунтами. Причем это касается не только штатных сотрудников, но и удаленных специалистов, аутсорсеров, подрядчиков, поставщиков услуг и других лиц с расширенными правами доступа.
Управление обычными учетными записями с помощью Solar inRights
IdM-решение может управлять жизненным циклом учетных записей и правами доступа на основании кадровых данных. Некоторые функции системы:
- Управление учетными записями. Solar inRights позволяет вручную или автоматически создавать пользовательские/технические УЗ согласно регламентам компании, обнаруживает неиспользуемые учетки.
- Назначение полномочий на базе ролевой модели, подразумевающей создание ролей с готовыми наборами прав доступа. Solar inRights может автоматически присваивать роли учетным записям.
- Автоматическая выдача прав доступа. Система может присваивать полномочия на основе корпоративных политик назначения.
- Аннулирование полномочий. IdM-система может автоматически блокировать права при увольнении сотрудника и отзывать доступ, назначенный на время.
- Аудит действий, связанных с УЗ. Система обеспечивает наглядное представление о том, кто и как использует учетные записи.
Solar inRights также помогает обеспечить безопасность учетных данных путем реализации парольных политик. Система может автоматически генерировать надежные пароли и позволяет самостоятельно создавать их с учетом требований парольной политики.
Контроль создания и удаления учетных записей
С помощью Solar inRights можно автоматизировать процессы Onboarding и Offboarding. Почему это важно:
- При приеме сотрудников на работу нужно регистрировать учетные записи и назначать полномочия. Solar inRights может делать это в соответствии с корпоративными политиками. Например, если компания использует ролевую модель управления доступом, IdM-система будет создавать УЗ под определенную роль с уже готовым набором полномочий.
- При увольнении нужно сразу блокировать аккаунты, особенно привилегированные. Если этого не сделать, кто-то может ими воспользоваться и случайно либо умышленно нанести вред компании. Solar inRights будет аннулировать доступ для УЗ, если в нем отпадает необходимость.
Использование IdM-системы для контроля создания и удаления учетных записей позволяет минимизировать трудозатраты персонала и исключить ошибки при назначении/отзыве прав доступа, а также ускорить процесс регистрации большого количества УЗ.
Управление привилегированными учетными записями с помощью Solar SafeInspect
PAM-платформа от «Солара» предназначена для контроля привилегированных учетных записей и может выполнять следующие задачи:
- Проксирование привилегированных рабочих сеансов. Все подключения проходят через систему Solar SafeInspect, которая играет роль прокси-сервера.
- Мониторинг всех сессий под привилегированными учетными записями. Solar SafeInspect в режиме реального времени отслеживает и записывает все действия. Также реализована возможность вручную или автоматически прерывать сеанс в случае нарушений политик безопасности.
- Организация гранулированного привилегированного доступа. Solar SafeInspect позволяет создавать привилегированные учетные записи для конкретных сотрудников в течение ограниченного периода для доступа только к определенным ресурсам.
- Подстановка и сокрытие паролей для привилегированных учетных записей. С помощью этого инструмента PAM-платформа обеспечивает снижение рисков компрометации учетных данных.
- Подмена учетных данных. Solar SafeInspect контролирует доступ к защищаемым ресурсам: она подменяет обычную УЗ, под которой пользователь входит в систему, на привилегированную, не позволяя любому критичному действию обойти PAM-систему.
- Надежное хранение и ротация паролей. Эта функция Solar SafeInspect способствует сохранению конфиденциальности привилегированных учетных данных.
Solar SafeInspect защищает привилегированные учетные записи и обеспечивает безопасную работу с критически важными ресурсами. PAM-система также позволяет эффективно расследовать внутренние нарушения, поскольку хранит записи привилегированных сессий и предоставляет инструменты для их детального анализа.
Комплексный контроль без ручной рутины
Контроль учетных записей, как обычных, так и привилегированных, — обязательный аспект стратегии информационной безопасности. Для комплексной защиты УЗ целесообразно внедрить два решения — Solar inRights и Solar SafeInspect. Каждое будет эффективно выполнять свои задачи и работать на безопасность компании. Узнайте о решениях больше — запросите консультацию или демоверсию продуктов.
