РБК Компании
РБК Компании
Телеканал
Pro
Инвестиции
Мероприятия
Отрасли
Недвижимость
Autonews
Спорт
РБК Компании
РБК Вино
РБК Life
Тренды
Визионеры
Национальные проекты
Город
Стиль
Крипто
РБК+
Дискуссионный клуб
Исследования
Кредитные рейтинги
Франшизы
Газета
Спецпроекты СПб
Конференции СПб
Спецпроекты
Проверка контрагентов
ESG-индекс
Политика
Экономика
Бизнес
Технологии и медиа
Финансы
Экономика образования
Здоровье
Компания Индид 8 июля 2024

Как решить проблемы в области управления привилегированным доступом

Рассмотрим актуальные уязвимости в области привилегированного доступа к ИТ-инфраструктуре организаций и как эффективно от них защититься

Андрей Лаптев
Руководитель продуктового офиса (CPO) Компании Индид

В индустрии информационной безопасности более 20 лет. Эксперт в направлении «Многофакторная аутентификация» и «Аппаратные модули безопасности». Спикер на конференциях по кибербезопасности.

Один из ключевых активов любой современной организации — ИТ-инфраструктура. Она служит фундаментом для развития ее деятельности. Чтобы успешно работать, и государственным учреждениям, и частным компаниям необходимы эффективные информационные системы и бизнес-приложения.

ИТ-системами управляют привилегированные пользователи. В их числе могут быть как штатные сотрудники, так и внешние подрядчики, наделенные расширенными полномочиями для работы с теми или иными ресурсами и приложениями. В частности, привилегированные пользователи вправе выполнять такие операции, как установка, настройка, обслуживание и т. д.

Если административной учетной записью завладеет злоумышленник, то он может отключить защиту информационных систем, нарушить их работу или получить доступ к конфиденциальным данным. При этом установить его личность или определить, что конкретно он сделал, бывает невозможно.

Организациям трудно следить за всеми событиями, происходящими в ИТ-системах, особенно если их инфраструктура отличается большими масштабами. Бывает, что компания узнает об инциденте только после того, как проявляются его последствия. Расследование происшествия может занять много времени. Доступ сотрудников к ИТ-ресурсам на этот период иногда приходится ограничивать, чтобы не допустить дальнейшего использования уязвимостей.

Учитывая широкие полномочия привилегированных пользователей и специфику ресурсов, с которыми они работают, следует выделить несколько потенциальных проблем в области безопасности.

1. Неконтролируемый рост количества привилегированных учетных записей

Права с повышенным доступом зачастую используются бесконтрольно, поэтому выданные полномочия могут применяться неправомерно или некорректно. Решить эту проблему помогают решения класса PAM. Они позволяют разделить сеть на микросегменты, чтобы строго контролировать в них доступ к ресурсам и приложениям и тонко настраивать соответствующие права.

С помощью таких решений можно централизованно разделять уровни привилегий, ограничивать ввод тех или иных команд и передачу данных, а также блокировать конкретных пользователей. Если действующие политики не предусматривают подключение пользователя к определенным ресурсам, то он даже не сможет узнать, что такие ресурсы есть в инфраструктуре организации. Пользователь будет видеть лишь те ресурсы, к которым ему разрешил подключаться администратор РАМ.

Межсетевое взаимодействие компонентов системы, обеспечивающей управление привилегированным доступом, осуществляется только по зашифрованным каналам связи. Это позволяет защитить данные от перехвата злоумышленниками.

В системах класса РАМ есть целый ряд настроек, ограничивающих действия пользователей:

  • черные и белые списки команд;
  • запрет передачи файлов;
  • запрет запуска скриптов;
  • запрет действий от имени суперпользователя.

С помощью этих параметров можно контролировать доступ к тем или иным ресурсам и приложениям. Тогда можно быть уверенным в том, что нелегитимные действия невозможно будет выполнить.

2. Распространение паролей в открытом виде

Привилегированные учетные записи нередко защищены только паролем. У такой практики есть целый ряд значительных недостатков:

  • возможность подбора паролей;
  • риск несанкционированной передачи учетных данных другим лицам;
  • необходимость своевременной смены паролей при увольнении сотрудников.

Чтобы защитить привилегированный доступ, необходимо наладить автоматическое управление паролями от соответствующих учетных записей. Решения класса PAM обнаруживают привилегированные учетные записи и обеспечивает контроль над их использованием. Для этого реализуются следующие возможности:

  • пароли от учетных записей хранятся в зашифрованном виде и неизвестны пользователям;
  • можно настроить смену паролей по расписанию;
  • для доступа к ресурсам помимо пароля необходимы дополнительные факторы аутентификации;
  • благодаря модулю ААРМ пароли от привилегированных учетных записей могут безопасно использоваться приложениями и скриптами;
  • при попытке подключения привилегированного пользователя сервер PAM самостоятельно предоставляет логин и пароль целевому ресурсу, причем учетные данные открывают доступ только на этот ресурс.

3. Невозможность контролировать действия и оценивать работу, выполняемую под привилегированными учетными записями

PAM система фиксирует действия пользователей и позволяет определять, кто именно работает с целевым ресурсом и какие на нем выполняются операции. Это обеспечивает прозрачность и возможность быстро реагировать на инциденты. Система непрерывно записывает действия пользователей и регистрирует события, связанные с безопасностью, в режиме реального времени. Если возникают нештатные ситуации, администраторы РАМ получают соответствующие уведомления.

Системы класса РАМ фиксируют действия пользователей следующими способами:

  • видеозапись;
  • текстовый журнал;
  • снимки экрана;
  • регистрация файлов, передаваемых на целевые ресурсы;
  • запись общей информации о сессии;
  • просмотр стрима активной сессии;
  • запись информации о конкретном пользователе, который работает с целевым ресурсом.

Специализированный программный комплекс класса PAM эффективно предотвращает нелегитимные действия и позволяет организациям надежно контролировать привилегированные учетные записи. Таким образом он решает ключевые проблемы в области управления привилегированным доступом.