Как компаниям любого размера защитить самые ценные ИТ-ресурсы

Крупные компании, как правило, имеют необходимые ресурсы для решения практически всех вопросов, связанных с обслуживанием ИТ-инфраструктуры и ее защитой. Для среднего и малого бизнеса (СМБ) новые вызовы, новые задачи, увеличение нагрузки на персонал и непредвиденные финансовые расходы могут оказаться критичными. Восстановление работоспособности  ИТ-систем, исправление последствий потери и компрометации коммерческих и персональных данных после киберинцидентов — болезненный процесс даже для крупной компании. Для небольших же компаний последствия кибератак могут стать фатальными.

ИТ играет значительную роль в работе современного бизнеса. Поэтому защита от кибератак и определение оптимального набора необходимых для этого инструментов — важная и сложная задача. А для компаний сегмента СМБ эта задача осложняется еще и ограниченностью людских и финансовых ресурсов. Использование подходящего универсального инструмента позволило бы в этой ситуации сэкономить ресурсы. И таким инструментом может стать PAM — система управления привилегированным доступом.

Давайте разберемся, с какими ситуациями обычно сталкиваются СМБ-компании, какие при этом возникают риски и как может помочь использование PAM-системы.

Ситуация 1. Привлечение подрядчиков для обслуживания информационных систем

Рассмотрим типичного представителя среднего/малого бизнеса — сеть розничных магазинов. Ее функционирование обеспечивают различные специализированные системы: бухгалтерские, управление складом, CRM. Обычно они размещены на серверах компании в офисе или в облачном хранилище. Администрированием всей ИТ-инфраструктуры занимается один-два штатных сотрудника, а для обслуживания специализированных систем привлекаются внешние подрядчики, которые имеют неограниченный доступ к важным информационным системам компании.

Основная угроза заключаются в том, что посторонние люди получают доступ к управлению ИТ-инфраструктурой и критическим данным: бухгалтерским проводкам, налоговой отчетности, данным клиентов, персональным данным. А ИТ-администратор компании не может контролировать и ограничивать их действия. В любой момент ИТ-системы могут быть остановлены, а важные данные переданы конкурентам и отследить это нельзя, если нет специализированных систем. При этом нет уверенности, что от имени подрядчика подключается легитимный пользователь, а не хакер, который использует его скомпрометированную учетную запись.

Контролировать и ограничивать действия подрядчиков помогают системы управления привилегированным доступом, PAM-системы. Они также позволяют штатному администратору компании легко отследить действия подрядчика в режиме реального времени. При необходимости он сможет заморозить подключение подрядчика и даже прервать его.

Ситуация 2. Удаленный доступ бизнес-пользователей (сотрудников) компании

Представим себе компанию, состоящую из головного офиса и нескольких филиалов. Информационные системы компании — бухгалтерская, складская, базы данных, CRM — расположены в головном офисе. ИТ-администраторы обслуживают серверы, на которых они размещены, создают учетные записи, предоставляют права доступа к системам и отзывают их. Персонал из филиалов подключается к ним удаленно, часто с использованием собственных устройств (компьютеров, планшетов, смартфонов).

Неконтролируемый удаленный доступ сам по себе несет угрозу ИБ. Когда сотрудники находятся в офисе, их просто идентифицировать. Когда сотрудники работают удаленно, не всегда можно гарантировать, что к системам подключается тот человек, кому дали такое разрешение, а не хакер, завладевший его учетной записью. Использование сотрудниками собственных устройств такую угрозу усиливает. Личные компьютеры, смартфоны часто содержат уязвимости, которые используют злоумышленники для проникновения в сеть компании и кражи личных учетных данных. При этом сотрудникам нередко предоставляется широкий доступ к множеству ресурсов. Это упрощает администраторам задачу по управлению правами доступа сотрудников, но при этом облегчает и хакерам задачу по поиску информации, на которой можно заработать.

С угрозами, связанными с удаленным доступом, также успешно справляются системы управления привилегированным доступом — PAM-системы. Они предназначены для предоставления и контроля доступа к самым важным ИТ-ресурсам компании: серверам, базам данных, сетевому оборудованию, критическим бизнес-системам. В каждой компании свой собственный список таких ресурсов. PAM позволяет управлять доступом к таким ресурсам централизованно: с помощью единой панели согласовывать и отзывать доступ, наблюдать за действиями сотрудников или подрядчиков в реальном времени и прерывать доступ при необходимости. Такая необходимость может возникнуть при подозрительных действиях: доступ к ресурсам во время отпуска сотрудника, например, или при попытке скачать базу данных клиентов или персональных данных.

Чем еще полезна РАМ-система

PAM-системы обеспечивают безопасное подключение пользователей и использование привилегированных учетных данных, контролируют и ограничивают действия подрядчиков. Такие системы позволяют ограничить время подключения, перечень целевых систем, используемые для работы инструменты администрирования. При этом привилегированные учетные данные пользователям не передаются — они хранятся в РАМ-системе и подставляются системой автоматически при подключении. Это позволяет практически исключить риск их компрометации. Доступ предоставляется только к нужным целевым системам (например, одному сотруднику к обслуживанию конкретных серверов, другому к 1С: Бухгалтерия), а в отдельных случаях он может быть гранулирован до уровня задачи в целевой системе.

Использование РАМ систем позволяет минимизировать предоставляемые пользователям права доступа, контролировать их действия и исключить предоставление избыточных разрешений для доступа к ИТ-инфраструктуре компании. В процессе сеанса действия пользователей могут быть заблокированы или сеанс может быть принудительно завершен. Управление РАМ-системой не требует большого количества сотрудников и может осуществляться штатным администратором.

PAM-системы позволяют успешно справляться с угрозами удаленного доступа. Они позволяют идентифицировать пользователей, гранулировать их доступ, а в случае инцидентов предоставить информацию, необходимую для проведения расследований.

Таким образом, PAM-системы предоставляют функционал, который снижает нагрузку на сотрудников, управляющих предоставлением привилегий, повышают эффективность их работы, исключают ошибки и предоставление избыточных прав.

Бытует мнение, что РАМ-системы требуют наличия высококвалифицированного дополнительного персонала: ИБ-специалистов для контроля доступа и ИТ-специалистов для администрирования. Это неверно. Развитие PAM-систем достигло такого уровня, что они имеют интуитивно понятный интерфейс и не требуют специального обучения. Кроме того, в настоящее время на рынке существуют РАМ-системы, которые имеют встроенный и интуитивно понятный интерфейс запроса и предоставления прав доступа, не требующий ИТ-знаний и позволяющий, в зависимости от компании, вынести согласование доступа на уровень владельцев целевых систем или руководителей бизнеса.

В идеале построение информационной безопасности требует использования комплекса различных решений. Однако, использование только продуктов класса PAM позволяет быстро решить самые важные задачи по защите ИТ-инфраструктуры компании. Поэтому они являются продуктами первого выбора в области информационной безопасности и при обеспечении безопасного и контролируемого доступа пользователей к ИТ-системам компании.