
Доля инцидентов в сфере информационной безопасности по вине привилегированных пользователей не превышает 10% от общего количества нежелательных случаев. Но несмотря на такую невысокую цифру, их предотвращению нужно уделять большое внимание. Учитывая уровень важности информации, к которой могут иметь доступ владельцы привилегированных учетных записей, а также степень их влияния на информационные системы (далее — ИС) компании, ущерб для бизнеса от инцидентов по их вине может значительно превосходить потери от действий обычных пользователей.
Управление привилегированными пользователями организуется по тем же принципам, что и обычными. Но есть несколько особенностей при работе с такими «учетками». Их стоит учитывать.
Какие учетные записи относятся к привилегированным и какие опасности могут исходить от них
Владельцы таких «учеток», как правило, работают непосредственно с критическими для компании данными и инфраструктурой. Типичные пользователи подобных учетных записей: сисадмины, администраторы баз данных, сетевые инженеры, специалисты службы безопасности, руководители разных уровней. Если компания пользуется услугами аутсорсеров, для них часто также предусматривается привилегированная идентификация. И аккаунты таких специалистов относятся к рассматриваемой категории. Высокими (или неограниченными) полномочиями и привилегиями могут наделяться различные типы учетных записей:
-
Личные, которые постоянно используются пользователем для работы с информационными системами.
-
Административные. Создаются в каждой целевой информационной системе (как правило автоматически), используются для обеспечения ее работоспособности, настойки.
-
Служебные. Такие «учетки» используются для организации взаимодействия разных ИС между собой.
-
Аварийные. Применяются при возникновении проблем в информационных системах для восстановления их работоспособности.
-
Также учетные записи с привилегированным доступом различаются между собой областью применения. Это:
-
«Учетки» приложений. Действуют в рамках целевого приложения или ИС).
-
Локальные. Применяются в рамках одной рабочей станции или сервера. Могут использоваться при работе с несколькими целевыми ИС.
- Доменные. Их действие распространяется на компьютеры, серверы, приложения и другие составляющие IT-инфраструктуры в рамках одного домена.
Потенциальные опасности и угрозы от аккаунтов с привилегиями
Вред, который могут нанести пользователи таких «учеток», зависит от возможностей, которые даются им вместе с неограниченным (почти неограниченным) доступом. Это может быть:
-
Несанкционированное распространение важных корпоративных данных.
-
Умышленное изменение или уничтожение информации. Как вариант — для сокрытия следов противоправных действий.
-
Установка вредоносных скриптов, бэкдоров, эксплойтов.
-
Изменение настроек целевой информационной системы, нарушение ее работоспособности.
Угрозы могут быть реализованы, как владельцами аккаунтов с привилегированным доступом, так и третьими лицами, завладевшими данными для доступа к ним.
Способы и инструменты управления привилегированным доступом
Одна из главных целей управления привилегированными учетными записями — организация процессов в компании таким образом, чтобы всегда было известно, кто из сотрудников и какие имеет привилегии. Организовать все можно двумя способами: административным или автоматизированным.
Административный применяют многие компании. Он подразумевает использование «учеток» с привилегиями несколькими сотрудниками. Каждому из них на время выполнения работ выдается пароль. После окончания работ он меняется. «Заведует» этим специальный человек — хранитель паролей. В принципе, схема жизнеспособная и довольно эффективная при условии соблюдения всех требований политики безопасности. Но подходит далеко не всем. Чем больше в компании сотрудников, которым нужны привилегированные учетные записи, и чем больше целевых ИС, в которых они применяются, тем сложнее управлять всем этим.
При автоматизированном управлении привилегированным доступом роль хранителя паролей выполняет специализированное ПО. С такими задачами отлично справляются решения класса IDM / IGA. Это ПО позволяет отказаться от аккаунтов «общего пользования». Сотрудники, работающие с учетными записями с высокими привилегиями, могут запрашивать необходимые им доступы для личного аккаунта в целевой информационной системе через WEB-интерфейс. Выдача и отзыв полномочий при помощи таких решений происходят быстро, практически мгновенно. Кроме того, эти системы:
-
Выполняют аудит и ресертификацию прав доступа контролируемых аккаунтов. Можно инициировать этот процесс в любое удобное время или настроить его запуск по расписанию.
-
Автоматически строят отчеты. Специалист по информационной безопасности в любой момент времени владеет полной картиной, касающейся привилегированной идентификации пользователей в разных информационных системах.
-
Предотвращают SOD-конфликты и другие инциденты, связанные с правами доступа. При обнаружении каких-либо отклонений от заданных правил и политик система информирует специалиста по ИБ о вероятной проблеме.
-
Контролируют операции и приостанавливают их. Современные IDM / IGA могут не только формировать оповещения при подозрении на нарушения. При необходимости они блокируют аккаунты, которые могут быть скомпрометированы, и действия с них.
С помощью IDM / IGA систем можно управлять привилегированными пользователями в любых целевых ИС. Такие решения взаимодействуют с СУБД, офисными программами, WEB-приложениями, системами удаленных рабочих программ и так далее. Обмен данными с ними происходит при помощи коннекторов. При необходимости разработчики решений IDM / IGA могут модифицировать уже имеющиеся коннекторы или создавать новые для взаимодействия с каким-то специфичным ПО, использующимся в компании.
Поделиться
Предложи свою тему будущих публикаций
Спасибо!
Мы обязательно рассмотрим ваше предложение.
Если IGA-система - то Solar inRights
Первыми получайте новости о наших продуктах на свой e-mail.