1 марта 2023

Контроль над правами: как управлять привилегированными учетными записями

Скандал 2016 г. вокруг президентских выборов в США до сих пор вспоминают многие СМИ. Во влиянии на их результат обвиняли не только иностранные государства и хакерские группировки, но и социальные сети. Особенно отличилась компания Cambridge Analytica, которая использовала собранные личные данные пользователей одной из популярных социальных сетей, чтобы демонстрировать им релевантную политическую рекламу.

Авторы: Любовь Ермилова, менеджер по продукту, компания MONT Антон Грязнов, технический эксперт по PAM-системам, компания MONT

В России утечки данных стали привычным явлением. Зафиксированы случаи кражи данных из Сбербанка, Альфабанка, Билайна, РЖД и других крупных компаний, но наиболее известным стал инцидент с сервисом "Яндекс.Еда", а совсем недавно пострадали пользователи Почты России.

Компании крайне неохотно сообщают подробности таких происшествий, чаще всего объясняя их хакерскими атаками. Но наш опыт говорит о том, что во многих случаях сливы информации происходят через привилегированные аккаунты в информационных системах предприятий-жертв. Такие учетные записи становятся желанной целью киберпреступников.

Контроль за аккаунтом, права которого в системе почти не ограничены, позволяет получить доступ к конфиденциальным данным десятков тысяч пользователей, конфиденциальной информации компаний и настройкам информационных систем. Проникнув внутрь охраняемого периметра, преступники могут месяцами никак не выдавать своего присутствия, выбирая наиболее подходящее время для развития атаки.

Привилегированные пользователи и риски безопасности

Привилегированные пользователи есть в любой корпоративной инфраструктуре, к ним относятся системные и сетевые администраторы, администраторы баз данных, внешние разработчики (если они привлекаются для развития и поддержки систем) и даже подрядчики, которым делегируются расширенные права для управления приложением или базой данных.

Все обладатели подобных аккаунтов получают практически безграничные возможности: в их распоряжении оказываются данные и настройки систем. Без специализированных средств управления привилегированные пользователи могут действовать бесконтрольно.

Рисков, связанных с присутствием в инфраструктуре привилегированных пользователей, очень много, но существует два основных сценария, по которым развиваются негативные события.

В первом варианте злоумышленники получают доступ к привилегированному аккаунту – они активно охотятся за данными таких учетных записей. По сути, хакеры получают "ключ" ко всем дверям в организации, а целевая атака становится вопросом времени. Пара "логин-пароль" может быть использована непосредственно взломщиками или выставлена на продажу в Даркнете. В любом случае привилегированный аккаунт становится скомпрометированным и является серьезной брешью в корпоративной защите. Предотвращение атаки возможно, если утечка данных аккаунта будет обнаружена.

Во втором сценарии привилегированный пользователь сам, вольно или невольно, становится злоумышленником, такие случаи широко известны. Последствием превращения рядового сотрудника компании в киберпреступника может стать намеренное вмешательство в работу корпоративных систем, а также кража данных – достаточно вспомнить о многочисленных утечках, зафиксированных различными сервисами.

Системы управления привилегированным доступом

Для преодоления проблем контроля за использованием привилегированных аккаунтов существуют специализированные инструменты, такие как РАМ-системы (Privilege Access Management). Они позволяют предотвратить массовые утечки данных и конфиденциальных документов, а также контролировать использование паролей в организации, позволяя сэкономить на репутационных издержках.

РАМ-системы позволяют решить четыре очень важные задачи

  1. Управление привилегиями пользователей. Выдача расширенных прав производится только тем пользователям, которые для этого имеют весомые основания. Привилегированный отечественный рынок PAM-систем вполне насыщен и может предложить на выбор как минимум пять полноценных решений. Доступ дается не ко всем ресурсам, а только к тем, которые действительно необходимы пользователю, и срок действия привилегий строго ограничен по времени.
  2. Мониторинг действий привилегированных пользователей. Система записывает сеансы работы пользователя и хранит данные для возможного дальнейшего рассмотрения. Продвинутые решения РАМ ведут текстовый лог рабочих сессий и распознают текст (функция OCR).
  3. Управление паролями. Система хранит пароли, обновляет их и не дает пользователям доступа к этой информации.
  4. Поддержка сквозной аутентификации, которая позволяет пользователям не вводить пароль для доступа к каждому из корпоративных сервисов, а "войти" только один раз (принцип Single Sign-On).

Для каких компаний предназначены РАМ-системы?

PAM-системы актуальны для организаций любого масштаба, ведь привилегированные пользователи есть в любой организации. Аккаунтами с особыми правами обладают не только физические лица, но и организации – деловые партнеры, подрядчики, компании, осуществляющие поддержку информационных систем, сторонние системы, которые взаимодействуют с корпоративными без участия человека. Практически каждое предприятие хранит данные, требующие особой защиты (например, кадровое делопроизводство, в котором содержатся персональные данные сотрудников). Применимость РАМ-систем практически не ограничивается масштабами компании-пользователя.

Как внедрить PAM-систему?

Что касается установки и настройки РАМ-систем, то эти решения не требуют сложных интеграций и обеспечения совместимости с различными системами. Как правило, РАМ устанавливается "поверх" других информационных систем предприятия и превращается в своего рода "шлюз", через который все пользователи получают к ним доступ.

Способ внедрения зависит от компетенций организации и применяемого в ней подхода к развитию ИТ-инфраструктуры. Некоторые организации предпочитают использовать услуги подрядчиков, имея в штате только администраторов, занимающихся контролем работы систем, а другие имеют компетенции, достаточные для самостоятельного внедрения PAM-системы, которое подразумевает развертывание ее серверной части, организацию хранилища логов и данных, а также установку агентов на защищаемых узлах инфраструктуры. Эти операции вполне по силам множеству организаций и не занимают много времени: зачастую установка происходит буквально в несколько кликов. Настройка системы требует куда больше времени: проводится ревизия пользовательских аккаунтов, анализ их роли и распределение между ними прав доступа.

Но особенных сложностей в установке и настройке РАМ-систем нет. Справиться с этой работой вполне могут системные администраторы, которые ведут домен организации.

Если же требующихся компетенций в компании нет, то всегда можно обратиться к технологическому партнеру (например, MONT), который проведет технические консультации, демо, пилоты (что в особенности полезно клиентам SMB-сегмента), минимизирует затраты и даст беспристрастный анализ решения индивидуальной задачи.

Что предлагает рынок?

Несмотря на уход иностранных вендоров из России, отечественный рынок PAM-систем вполне насыщен и может предложить на выбор как минимум пять полноценных решений, таких как SafeInspect, Indeed PAM (эти продукты наиболее популярны), "Инфраскоп", WebControl и СКДПУ НТ. Все эти разработки принадлежат российским вендорам и могут применяться государственными организациями.

Многие заказчики, выбирая российские программные продукты, сравнивают их возможности с теми, которыми обладали решения иностранных вендоров, упуская из вида, что западные разработки перенасыщены излишней функциональностью. В основе выбора системы должны стоять функции, которыми организация будет пользоваться непосредственно, то есть наиболее актуальные для конкретной компании.

Некоторые российские PAM-решения оснащены функциями, которыми не обладают иностранные аналоги. Речь идет об OCR – оптическом распознавании образов текста. Эта функция полезна для осуществления контроля за действиями пользователей, она не просто записывает действия, но и распознает интерфейс систем, с которыми происходит взаимодействие, составляя анализируемые протоколы в текстовой форме. OCR фиксирует действия администратора и в режиме реального времени "понимает", что он делает. Иными словами, встроенная OCR дает возможность РАМ-системе не просто записывать, но еще и транскрибировать действия пользователя.

Источник: Information Security

Приглашаем на конференцию для директоров по маркетингу и PR-руководителей ИТ-компаний 

5 июня 2024

На мероприятии встретятся директора по маркетингу и PR-руководители крупных российских ИТ-компаний.

 

Экс-редактор Comnews присоединился к команде iTrend

30 мая 2024

На позицию руководителя проектов коммуникационного агентства iTrend вышел Денис Шишулин – ранее многолетний выпускающий редактор издательской группы ComNews, одного из самых авторитетных ИТ-изданий в России. В iTrend Денис будет отвечать за стратегическое руководство ряда PR-проектов с ИТ-компаниями, оперативное взаимодействие со СМИ, координацию работы команд, а также за качество проектов, которыми руководит в агентстве.

 

iTrend — в числе топ-агентств России по версии «Рейтинга Рунета»

28 мая 2024

Опубликованы итоги ранкинга коммуникационных агентств от «Рейтинга Рунета–2024». iTrend занял лидирующие места в ключевых для агентства срезах — PR в ИТ-отрасли, SMM в ИТ-отрасли, PR и SMM на аудиторию b2b enterprise, PR-аналитика, PR первых лиц и др.

 

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 
Все новости iTrend