С точки зрения кибербезопасности человек был и остается самым уязвимым элементом защиты, на который нацелены многие хакерские инструменты, от социальной инженерии и фишинга до технологий брутфорса и OSINT-разведки на предмет ранее « засвеченных» паролей.

Ряд пользователей особенно привлекательны для хакеров, поскольку, ввиду особенностей их трудовых обязанностей, они обладают повышенными привилегиями в информационных системах компании. Для контроля их деятельности и защиты от взлома используются PAM-системы.

В этой статье будут разобраны проблемы контроля сотрудников с повышенными привилегиями, основные характеристики и задачи систем контроля привилегированных пользователей.

Кто такие привилегированные пользователи

В контексте IT подразумеваются повышенные права доступа к информационным системам компании. Условно, можно выделить две большие группы сотрудников, которых можно назвать привилегированными:

1. Топ-менеджмент. Руководители подразделений компаний, которые имеют доступ к цифровым ресурсам компании (например, аналитике CRM-систем).
2. Технические специалисты. Например, администраторы или разработчики, которые имеют прямой доступ к защитным инструментам, исходному коду, базам данных и другим рабочим элементам инфраструктуры.

Базовая характеристика привилегированного пользователя – это наличие доступа к чувствительной информации, которого нет у рядовых сотрудников. Учетная запись такого работника наиболее привлекательна для хакеров, поскольку позволяет быстро получить контроль над инфраструктурой или доступ к целевым данным.

Алексей Парфентьев

Руководитель отдела аналитики "СерчИнформ"

У технических кадров есть неограниченный доступ к конфиденциальной информации, т.к. обслуживание ИТ-инфраструктуры – их прямая должностная обязанность. Поэтому контроль таких специалистов должен быть комплексным. Привилегированный пользователь может оказаться злоумышленником сам и быть использован как «точка старта» кибератаки (по данным нашего опроса около 10% всех инцидентов ИБ – это действия хакеров через сотрудников).

Нужен контроль с точки зрения информационной безопасности – должна быть уверенность, что технические специалисты не злоупотребляют должностными полномочиями. Это можно сделать с помощью PAM-, DLP- и SIEM-систем. Кроме того, требуется дисциплинарный контроль. Это как банальный мониторинг продуктивности с помощью DLP или тайм-трекеров (не нарушают ли сотрудники рабочий распорядок), так и мониторинг правильности выполнения технических задач.

Для хакеров такие «rut-пользователи» привлекательны тем, что доступ к их учетной записи сильно сокращает цепочку атаки. Злоумышленнику не нужно заниматься долгим изучением инфраструктуры и самостоятельно вести работы по повышению прав в системе – достаточно просто узнать логин и пароль конкретного специалиста.

Какие задачи решает PAM

Выше мы уже сказали о противодействию внешним злоумышленникам и хакерской активности. Это важная функция, которая, вкупе с разумной парольной политикой, вниманием к потенциально фишинговым письмам и другими элементами цифровой гигиены, позволяет эффективно защитить учетную запись привилегированного пользователя.

Андрей Прозоровский

Руководитель департамента информационной безопасности ИМБА ИТ

PAM-системы осуществляют контроль привилегированных пользователей, защиту от несанкционированного доступа к ИТ-инфраструктуре и проведение расследований для доказательства ошибочных или неправомерных действий сотрудников.

Основные задачи:

— Предоставить гранулированный и защищённый доступ к целевой ИТ-инфраструктуре с ограничением по времени.
— Обеспечить протоколирование и запись сеанса работы администраторов с ИТ-инфраструктурой.
— Обеспечить безопасное управление паролями (хранить их в защищённой БД, генерировать и обновлять автоматически без ведома администраторов).

Для решения этих задач обычно используется сервер-брокер (прокси-сервер). Пользователи подключаются к нему с обычными правами, а после прохождения аутентификации и авторизации получают привилегированный доступ к администрируемым компонентам. При этом система обеспечивает безопасное хранение паролей и периодическое изменение. Такой подход обеспечивает:

— безопасное администрирование ИТ-инфраструктуры;
—  управление привилегированными записями и их безопасность;
—  проведение расследования.

Данный класс решений разработан для решения специфических задач по обеспечению контроля за привилегированными пользователями, с учетом того, что потенциальные угрозы могут исходить от них самих.

Другие классы решений могут лишь частично выполнять некоторые функции PAM-систем:

— IdM — обеспечивает управление жизненным циклом всех учетных записей в компании.
— SIEM — собирает события с администрируемых серверов.

Только PAM решает главные задачу по обеспечению контроля действий привилегированных пользователей.

Система контроля привилегированных пользователей позволяет не только защититься от хакерской активности, но и проработать риски инсайдерской деятельности со стороны сотрудника компании. Распространенный сценарий, когда сотрудник перед своим увольнением скачивает все доступные базы данных и «уносит» их из компании, чтобы опубликовать на теневых форумах, либо просто продать конкурентам.

Егор Петров

Руководитель направления по перспективным ИБ-решениям в компании "Сиссофт"

Необходимость контроля привилегированных пользователей для компаний очень актуальна. PAM-системы позволяют не только предотвращать атаки злоумышленников и контролировать действия привилегированных пользователей, они помогают автоматизировать процессы прозрачного и защищенного доступа к ИТ-инфраструктуре. PAM также могут навести порядок в общем пуле учетных записей, отделив привилегированных пользователей от обычных. А еще управлять доступами и ловить злоумышленников в режиме текущего времени, что крайне важно для расследования инцидентов.

Отдельно стоит отметить актуальность управления привилегированным доступом в компаниях, которые занимаются разработкой софта. Здесь проблема стоит еще острее, поскольку в российской и зарубежной практике бывали случаи, когда из компании уходит руководитель отдела, за ним уходит «костяк» разработчиков, а через месяц-два на рынке появляется точно такой же цифровой продукт. Учитывая несовершенство законодательства, лучше заранее «страховать» такие риски, чем годами доказывать в суде свою правоту и решать вопросы авторства исходного кода.

Что такое PAM-система

PAM (privileged access management) – это система контроля и организации доступа привилегированных пользователей к информационным системам компании. В зависимости от конкретного продукта, она может использоваться как для контроля внутренних сотрудников, так и внешних, например, аутсорс-разработчиков.

Любовь Ермилова

Старший менеджер дирекции решений по информационной безопасности компании MONT

PAM-система создана для минимизации рисков утечек и возможности расследовать инцидент, а также для укрепления безопасности для ИБ в целом. Она позволяет контролировать пароли, предотвращать массовые утечки персональных данных и документов внутреннего пользования (для руководителей, PR, маркетинга) и экономить на репутационных издержках. PAM становится непосредственно перед целевыми системами, своего рода proxy. После подключения к серверу РАМ весь остальной доступ к системе будет через него. РАМ сервер как бы прячет в себе все логины, пароли, привилегии, а еще все записывает.

От других систем контроля и ограничения доступа для сотрудников решение PAM отличается ориентированностью на конкретную группу сотрудников, которые имеют повышенные привилегии в рамках системы. С технической точки зрения серьезных отличий нет.

Для PAM характерна та же проблема, что и для других систем контроля – ее внедрение может быть неверно интерпретировано сотрудниками компании. Второй пласт проблем – это возможное снижение скорости работы контролируемых сотрудников из-за затрат времени на авторизацию и другие процессы.

В данном случае, подобные риски более чем оправданы, поскольку интеграция PAM позволяет сильно сократить потенциальные риски утечки данных и, в конечном итоге, организовать доступ к чувствительным данным и инфраструктуре, что повышает доверие к каждому привилегированному пользователю за счет существования инструментов их объективного контроля.

Кирилл Уголев

Руководитель дивизиона информационной безопасности TEGRUS

Часто при внедрении подобных систем контроля, особенно если они начинают применяться к собственным привилегированным пользователям, компании натыкаются на недовольство собственного персонала. Этот фактор нельзя упускать из виду. В этом случае необходимо давать сотрудникам пояснения, что эта система не только их контролирует, но еще и дает возможность получить объективные данные. В случае инцидента уже не получится возложить вину на человека, который был непричастен к его возникновению. Данные решения позволяют точно установить были ли им совершены действия, которые привели к неприятному событию, или проблема с этим не связана.

С точки зрения построения систем защиты информационных систем компании, PAM – это не инструмент первой очереди, и, в большей мере, интересен зрелым с точки зрения ИБ компаниям, у которых уже интегрированы системы защиты периметра и первичного контроля сотрудников внутри инфраструктуры. 

Источник: Cyber Media