Аудит действий привилегированных пользователей: как оценить эффективность контроля?

Привилегированные пользователи имеют расширенные права в информационных системах, что позволяет им совершать потенциально рискованные действия: просматривать конфиденциальную информацию, вносить изменения в данные, запускать вредоносные программы, эксплуатировать обнаруженные уязвимости в ИС, удалять или изменять логи, чтобы скрыть несанкционированные действия, менять конфигурацию ИС. В случае попадания данных от учетной записи с расширенными правами в руки злоумышленников угроза информационной безопасности возрастает в разы. Таким образом, аудит действий привилегированных пользователей позволяет снизить риск несанкционированных действий.

Кто такие привилегированные пользователи

Речь идет о пользователях с расширенными правами доступа, которые могут управлять значимыми элементами информационных систем. Что касается конкретных сотрудников, то это могут быть разработчики, администраторы ИС, операторы, аудиторы, руководящие лица, аутсорсинговый персонал, техническая служба. То есть все те, кто наделен полномочиями для работы с информационными системами.

Для чего нужен аудит действий привилегированных пользователей

Аудит необходим для комплексного обеспечения информационной безопасности. Даже проверенные сотрудники, которым полностью доверяет руководство, могут умышленно или случайно повредить компоненты инфраструктуры, передать данные третьим лицам, внести нежелательные изменения в сетевые конфигурации, тем самым усилив внутренние и внешние угрозы.

Ручной анализ действий не слишком эффективен, поскольку не охватывает все факторы риска. Между тем уязвимые места во многих компаниях – это слабая парольная политика, использование универсальной учетной записи несколькими сотрудниками, отсутствие смены учетных данных после увольнения работника.

Аудит действий привилегированных пользователей включает в себя:

• Анализ файловых журналов и накопленной информации.
• Оценку безопасности процесса авторизации третьих лиц.

Выявление причин ошибок и определение потенциальных угроз.

Этапы проведения аудита

Для того чтобы результаты проведенной оценки позволяли формировать полноценную картину о предоставлении привилегированного доступа, необходимо учесть следующее:

• Обо всех ли привилегированных учетных записях известно достоверно, все ли они контролируются.
• Появляются ли в инфраструктуре новые устройства и учетные записи и как часто это происходит.
• Имеются ли обоснования необходимости предоставления привилегированного доступа конкретным сотрудникам.
• Насколько надежной является действующая парольная политика для привилегированных пользователей.
• Были ли зафиксированы кибератаки и какие последствия имели данные инциденты.

К сожалению, практически любая организация сталкивалась с угрозами и инцидентами безопасности и дальнейшими сложностями в их расследовании. Аудит позволяет выявлять виновников угроз, слабые места в инфраструктуре, соблюдении правил безопасности, а также в системе контроля.

Аудит действий привилегированных пользователей с помощью PAM-систем

Системы управления расширенным доступом позволяют не только контролировать действия привилегированных пользователей, но и решать задачи в рамках обеспечения безопасности:

• Разграничивать действия привилегированных сотрудников согласно их полномочиям и задачам. То есть каждому сотруднику выдается определенный перечень прав, минимально необходимых для выполнения той или иной функции.
• Проводить аудит действий привилегированных пользователей и контролировать их активность во время всех периодов работы.
• Использовать многофакторную аутентификацию и выполнять защищенное подключение.
• Оперативно прерывать сессию в случае выявления подозрительной активности и записывать данные для последующего анализа.
• Проводить расследования и собирать доказательную базу.

Автоматизированное решение значительно снижает риск совместного использования учетных записей и позволяет оценивать уровень безопасности. Для среднего и крупного бизнеса оптимально подходит Solar SafeInspect. Продукт легко внедряется в общую стратегию управления доступом.

Преимущества PAM-системы Solar SafeInspect

• Гибкая организация доступа под разные задачи, возможность задавать время и периодичность выдачи привилегированного доступа.
• Быстрое развертывание. Инсталляция и первичная настройка решения занимает 2 часа, не нарушая привычных процессов.
• Возможность установки в территориально распределенной инфраструктуре, создания единой централизованной точки управления привилегированным доступом.
• Безопасное хранение данных. Информация о записанных сессиях компактно упаковывается и шифруется.

Заключение

PAM-система Solar SafeInspect – технологичное решение для управления привилегированными учетными записями и сессиями. С помощью функционала платформы гораздо легче соблюдать внутренние политики безопасности, вести детализированный учет поведенческих паттернов пользователей и оценивать эффективность работы службы ИБ. Solar SafeInspect помогает выстроить точные и прозрачные процедуры по соблюдению регламентов, предотвратить угрозы и инциденты безопасности, эффективно проводить расследования.