Управление привилегированным доступом

Доля инцидентов в сфере информационной безопасности по вине привилегированных пользователей не превышает 10% от общего количества нежелательных случаев. Но несмотря на такую невысокую цифру, их предотвращению нужно уделять большое внимание. Учитывая уровень важности информации, к которой могут иметь доступ владельцы привилегированных учетных записей, а также степень их влияния на информационные системы (далее — ИС) компании, ущерб для бизнеса от инцидентов по их вине может значительно превосходить потери от действий обычных пользователей.

Управление привилегированными пользователями организуется по тем же принципам, что и обычными. Но есть несколько особенностей при работе с такими «учетками». Их стоит учитывать.

Какие учетные записи относятся к привилегированным и какие опасности могут исходить от них

Владельцы таких «учеток», как правило, работают непосредственно с критическими для компании данными и инфраструктурой. Типичные пользователи подобных учетных записей: сисадмины, администраторы баз данных, сетевые инженеры, специалисты службы безопасности, руководители разных уровней. Если компания пользуется услугами аутсорсеров, для них часто также предусматривается привилегированная идентификация. И аккаунты таких специалистов относятся к рассматриваемой категории. Высокими (или неограниченными) полномочиями и привилегиями могут наделяться различные типы учетных записей:

• Личные, которые постоянно используются пользователем для работы с информационными системами.

• Административные. Создаются в каждой целевой информационной системе (как правило автоматически), используются для обеспечения ее работоспособности, настойки.

• Служебные. Такие «учетки» используются для организации взаимодействия разных ИС между собой.

• Аварийные. Применяются при возникновении проблем в информационных системах для восстановления их работоспособности.

• Также учетные записи с привилегированным доступом различаются между собой областью применения. Это:

• «Учетки» приложений. Действуют в рамках целевого приложения или ИС).

• Локальные. Применяются в рамках одной рабочей станции или сервера. Могут использоваться при работе с несколькими целевыми ИС.

• Доменные. Их действие распространяется на компьютеры, серверы, приложения и другие составляющие IT-инфраструктуры в рамках одного домена.
  

Потенциальные опасности и угрозы от аккаунтов с привилегиями

Вред, который могут нанести пользователи таких «учеток», зависит от возможностей, которые даются им вместе с неограниченным (почти неограниченным) доступом. Это может быть:

• Несанкционированное распространение важных корпоративных данных.

• Умышленное изменение или уничтожение информации. Как вариант — для сокрытия следов противоправных действий.

• Установка вредоносных скриптов, бэкдоров, эксплойтов.

• Изменение настроек целевой информационной системы, нарушение ее работоспособности.

Угрозы могут быть реализованы, как владельцами аккаунтов с привилегированным доступом, так и третьими лицами, завладевшими данными для доступа к ним.

Способы и инструменты управления привилегированным доступом

Одна из главных целей управления привилегированными учетными записями — организация процессов в компании таким образом, чтобы всегда было известно, кто из сотрудников и какие имеет привилегии. Организовать все можно двумя способами: административным или автоматизированным.

Административный применяют многие компании. Он подразумевает использование «учеток» с привилегиями несколькими сотрудниками. Каждому из них на время выполнения работ выдается пароль. После окончания работ он меняется. «Заведует» этим специальный человек — хранитель паролей. В принципе, схема жизнеспособная и довольно эффективная при условии соблюдения всех требований политики безопасности. Но подходит далеко не всем. Чем больше в компании сотрудников, которым нужны привилегированные учетные записи, и чем больше целевых ИС, в которых они применяются, тем сложнее управлять всем этим.

При автоматизированном управлении привилегированным доступом роль хранителя паролей выполняет специализированное ПО. С такими задачами отлично справляются решения класса IDM / IGA. Это ПО позволяет отказаться от аккаунтов «общего пользования». Сотрудники, работающие с учетными записями с высокими привилегиями, могут запрашивать необходимые им доступы для личного аккаунта в целевой информационной системе через WEB-интерфейс. Выдача и отзыв полномочий при помощи таких решений происходят быстро, практически мгновенно. Кроме того, эти системы:

• Выполняют аудит и ресертификацию прав доступа контролируемых аккаунтов. Можно инициировать этот процесс в любое удобное время или настроить его запуск по расписанию.

• Автоматически строят отчеты. Специалист по информационной безопасности в любой момент времени владеет полной картиной, касающейся привилегированной идентификации пользователей в разных информационных системах.

• Предотвращают SOD-конфликты и другие инциденты, связанные с правами доступа. При обнаружении каких-либо отклонений от заданных правил и политик система информирует специалиста по ИБ о вероятной проблеме.

• Контролируют операции и приостанавливают их. Современные IDM / IGA могут не только формировать оповещения при подозрении на нарушения. При необходимости они блокируют аккаунты, которые могут быть скомпрометированы, и действия с них.

С помощью IDM / IGA систем можно управлять привилегированными пользователями в любых целевых ИС. Такие решения взаимодействуют с СУБД, офисными программами, WEB-приложениями, системами удаленных рабочих программ и так далее. Обмен данными с ними происходит при помощи коннекторов. При необходимости разработчики решений IDM / IGA могут модифицировать уже имеющиеся коннекторы или создавать новые для взаимодействия с каким-то специфичным ПО, использующимся в компании.