Как снизить риски использования привилегированных учетных записей с помощью системы PAM (Privileged Access Management)?

klyuchevye-voprosy.jpg

Как и любой процесс, управление привилегированным доступом требует разработки плана. 

Для начала нужно ответить на несколько основополагающих, ключевых вопросов:

  • Какие учетные записи отнести к привилегированным (системы, классификация)?
  • Составьте карту того какие важные функции зависят от систем, данных в них, доступа. Определите важные системы, которые должны быть работоспособны и восстановлены в первую очередь в случае нарушения. Затем определите какие привилегированные учетные записи уже используются для этих систем. Классификация привилегированных учетных записей на этом этапе является хорошей практикой, поскольку это помогает понять какие привилегированные учетные записи используются, расставить приоритеты по важности их сопровождения.

  • Кому нужен доступ к привилегированным учетным записям?
  • Они должны быть классифицированы как:

    • Для сотрудников.
    • Для приложений или служб.
    • Системные учетные записи.
    • Инфраструктурные учетные записи.

    Это поможет определить средства контроля безопасности, которые должны применяться к каждой привилегированной учетной записи. 

  • Нужен ли доступ сторонним сотрудникам, не работающим в компании?
  • Это самая рискованная группа пользователей, т. к. внештатные сотрудники не подчиняются «законам» компании и могут представлять опасность. Здесь четко должны быть определены нормативы: как и на какое время предоставляется доступ. Также должны быть предусмотрены своевременные процедуры аннулирования доступа по окончанию срока договора со сторонними работниками.

  • Нужно ли устанавливать ограничение по времени использования привилегированных прав?
  • Некоторые учетные записи, обладающие расширенными правами, могут быть востребованы только в определенное время: например, для закрытия рабочей смены, месяца, года, или для установки обновлений системы в выходные дни, или для запланированного сканирования на уязвимости и т. п. Поэтому отличить аномальное время использования по таким записям будет не сложно. Еще правильнее – ограничить возможность использования в другое время.

  • Что произойдет при компрометации привилегированной учетной записи?
  • Многие компании оказываются совершенно не готовы к кибератакам. Поэтому нужна разработка сценария реагирования на случай компрометации привилегированной учетной записи и четкое понимание того какие шаги нужно предпринять, чтобы ущерб был минимален.

    Необходимо определить стратегию защиты от внутренних сотрудников, т. к. все чаще неприятности возникают изнутри. Следует разработать политики разграничения доступа: большинство сотрудников не должны одновременно располагать доступом ко всем критически важным системам, их доступ необходимо минимизировать и обязательно пересматривать при смене штатной позиции, чтобы привилегированные права вовремя отзывались.

  • Есть ли отдельный раздел в политике безопасности по использованию привилегированного доступа?
  • Почти в каждой компании есть общая политика, где учитываются все вопросы управления доступом. Но отдельный документ или раздел по работе с привилегированными учетными записями есть далеко не у всех. Необходимо его внедрить, отразить в нем все аспекты управления и контроля, прописать ответственность.

  • Есть ли какие-то нормативы/требования, которые нужно обязательно соблюдать?
  • Многие компании, особенно это касается финансового сектора, должны регулярно проходить внутренние и внешние аудиты. Предварительная подготовка к этим процедурам в части создания регламента управления привилегированным доступом и обеспечения его соблюдения будет хорошим заделом перед предъявлением его аудиторам.

  • Какие данные нужны для мониторинга и отчетности?
  • Если заранее определить данные, которые необходимо анализировать при работе с привилегированным доступом, то риск возникновения нестандартных ситуаций и негативных последствий будет снижен. Если же инцидент все же произойдет, то быстро определить его причины по готовым отчетам будет гораздо легче.

После ответов на эти вопросы мы можем перейти к подготовке плана по внедрению процесса по управлению привилегированным доступом.


Основные шаги плана по внедрению процесса по управлению привилегированным доступом

podgotovka-plana-po-vnedreniyu-processa-po-upravleniyu-privilegirovannym-dostupom.jpg

  1. Фишинговые письма, методы социальной инженерии, удаленная работа – все это стало обычным явлением в наше время. Поэтому начать стоит с повышения осведомленности сотрудников о методах и средствах безопасной работы с ресурсами компании. Особенно это касается тех, кто работает с привилегированными учетными записями, т. к. это критически важные элементы, которые требуют повышенной защиты и контроля.

  2. Создайте в своей компании и утвердите документ, который описывает все аспекты работы с привилегированным доступом: классификацию учетных записей, порядок создания и блокировки, контроль, отчетность и прочее.

  3. Проверьте, насколько надежными паролями защищены привилегированные учетные записи. Бывают случаи, когда установленные простые пароли никогда не меняются для административных учетных записей, а это уязвимость, которой могут воспользоваться взломщики.

  4. Нужно максимально ограничить привилегированный доступ к системам. Предоставлять его только для конкретных пользователей, только к определенным ресурсам и на ограниченное время. Исключить доступ к привилегированным учетным записям напрямую.

  5. Создание новой привилегированной учетной записи и предоставление доступа к ней должно производиться только в рамках утвержденного процесса с обязательным согласованием.

  6. Необходимо осуществлять мониторинг сеансов привилегированной работы. Это позволит выявлять вредоносные действия и своевременно реагировать на них.

  7. Контролировать своевременное прекращение привилегированного доступа, когда он более не нужен. Например, при переводе на другую должность, при прекращении работы внешних сотрудников и т. д.

  8. Ручное управление доступом привилегированных пользователей недостаточно эффективно – здесь могут быть ошибки, задержки. К тому же, когда компания растет, масштабировать ручное управление достаточно трудно. Поэтому для сокращения рисков ИБ стоит задуматься о выборе автоматизированного решения и надежного партнера для обеспечения качественного и эффективного управления привилегированным доступом в компании.


Выбираем правильное решение и надежного партнера

vybiraem-pravilnoe-reshenie-i-nadezhnogo-partnera.jpg

Чтобы выбрать правильное решение по управлению привилегированным доступом, которое поможет контролировать доступ к конфиденциальным данным компании, а также соблюдать правила и политики организации, необходимо сосредоточиться на нескольких ключевых аспектах:

  1. Включает ли решение все необходимые требования по управлению привилегированным доступом для вашей компании или их придется разрабатывать отдельно и доплачивать за такую доработку.

  2. Является ли предложенное решение достаточно простым для администрирования.

  3. Является ли решение достаточно удобным для пользователей, чтобы облегчить работу, а не усложнить.

  4. Насколько быстро решение окупается.

  5. Есть ли у поставщика программа технической поддержки.

  6. Выходят ли обновления версий решения в соответствии с возрастающими угрозами.

  7. Есть ли у решения возможности масштабирования в случае, если организация будет расти, развиваться, менять ИТ-ландшафт.

  8. Возможна ли дальнейшая интеграция с другими решениями безопасности: с IdM/IGA, SIEM и т. п.

В заключение отметим, что основная цель всего процесса управления привилегированным доступом состоит в том, чтобы вооружить специалистов подразделений ИТ и безопасности необходимыми инструментами, которые позволят снизить риски ИБ путем управления привилегированными учетными записями, а также контроля и мониторинга привилегированного доступа. Это минимизирует ущерб для организации в случае внешних вторжений, а также обезопасит от инцидентов внутри периметра корпоративной сети.


Автор:
Людмила Севастьянова, эксперт центра продуктов Solar inRights компании «Ростелеком-Солар»