Как решить проблемы в области управления привилегированным доступом

Один из ключевых активов любой современной организации — ИТ-инфраструктура. Она служит фундаментом для развития ее деятельности. Чтобы успешно работать, и государственным учреждениям, и частным компаниям необходимы эффективные информационные системы и бизнес-приложения.

ИТ-системами управляют привилегированные пользователи. В их числе могут быть как штатные сотрудники, так и внешние подрядчики, наделенные расширенными полномочиями для работы с теми или иными ресурсами и приложениями. В частности, привилегированные пользователи вправе выполнять такие операции, как установка, настройка, обслуживание и т. д.

Если административной учетной записью завладеет злоумышленник, то он может отключить защиту информационных систем, нарушить их работу или получить доступ к конфиденциальным данным. При этом установить его личность или определить, что конкретно он сделал, бывает невозможно.

Организациям трудно следить за всеми событиями, происходящими в ИТ-системах, особенно если их инфраструктура отличается большими масштабами. Бывает, что компания узнает об инциденте только после того, как проявляются его последствия. Расследование происшествия может занять много времени. Доступ сотрудников к ИТ-ресурсам на этот период иногда приходится ограничивать, чтобы не допустить дальнейшего использования уязвимостей.

Учитывая широкие полномочия привилегированных пользователей и специфику ресурсов, с которыми они работают, следует выделить несколько потенциальных проблем в области безопасности.

1. Неконтролируемый рост количества привилегированных учетных записей

Права с повышенным доступом зачастую используются бесконтрольно, поэтому выданные полномочия могут применяться неправомерно или некорректно. Решить эту проблему помогают решения класса PAM. Они позволяют разделить сеть на микросегменты, чтобы строго контролировать в них доступ к ресурсам и приложениям и тонко настраивать соответствующие права.

С помощью таких решений можно централизованно разделять уровни привилегий, ограничивать ввод тех или иных команд и передачу данных, а также блокировать конкретных пользователей. Если действующие политики не предусматривают подключение пользователя к определенным ресурсам, то он даже не сможет узнать, что такие ресурсы есть в инфраструктуре организации. Пользователь будет видеть лишь те ресурсы, к которым ему разрешил подключаться администратор РАМ.

Межсетевое взаимодействие компонентов системы, обеспечивающей управление привилегированным доступом, осуществляется только по зашифрованным каналам связи. Это позволяет защитить данные от перехвата злоумышленниками.

В системах класса РАМ есть целый ряд настроек, ограничивающих действия пользователей:

• черные и белые списки команд;
• запрет передачи файлов;
• запрет запуска скриптов;
• запрет действий от имени суперпользователя.

С помощью этих параметров можно контролировать доступ к тем или иным ресурсам и приложениям. Тогда можно быть уверенным в том, что нелегитимные действия невозможно будет выполнить.

2. Распространение паролей в открытом виде

Привилегированные учетные записи нередко защищены только паролем. У такой практики есть целый ряд значительных недостатков:

• возможность подбора паролей;
• риск несанкционированной передачи учетных данных другим лицам;
• необходимость своевременной смены паролей при увольнении сотрудников.

Чтобы защитить привилегированный доступ, необходимо наладить автоматическое управление паролями от соответствующих учетных записей. Решения класса PAM обнаруживают привилегированные учетные записи и обеспечивает контроль над их использованием. Для этого реализуются следующие возможности:

• пароли от учетных записей хранятся в зашифрованном виде и неизвестны пользователям;
• можно настроить смену паролей по расписанию;
• для доступа к ресурсам помимо пароля необходимы дополнительные факторы аутентификации;
• благодаря модулю ААРМ пароли от привилегированных учетных записей могут безопасно использоваться приложениями и скриптами;
• при попытке подключения привилегированного пользователя сервер PAM самостоятельно предоставляет логин и пароль целевому ресурсу, причем учетные данные открывают доступ только на этот ресурс.

3. Невозможность контролировать действия и оценивать работу, выполняемую под привилегированными учетными записями

PAM система фиксирует действия пользователей и позволяет определять, кто именно работает с целевым ресурсом и какие на нем выполняются операции. Это обеспечивает прозрачность и возможность быстро реагировать на инциденты. Система непрерывно записывает действия пользователей и регистрирует события, связанные с безопасностью, в режиме реального времени. Если возникают нештатные ситуации, администраторы РАМ получают соответствующие уведомления.

Системы класса РАМ фиксируют действия пользователей следующими способами:

• видеозапись;
• текстовый журнал;
• снимки экрана;
• регистрация файлов, передаваемых на целевые ресурсы;
• запись общей информации о сессии;
• просмотр стрима активной сессии;
• запись информации о конкретном пользователе, который работает с целевым ресурсом.

Специализированный программный комплекс класса PAM эффективно предотвращает нелегитимные действия и позволяет организациям надежно контролировать привилегированные учетные записи. Таким образом он решает ключевые проблемы в области управления привилегированным доступом.