СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Астрал.Безопасность
12 декабря
#Статьи #ИБ

Контроль повторного использования паролей внутри компании: политика, технический мониторинг и отчетность

Контроль повторного использования паролей внутри компании: политика, технический мониторинг и отчетность

Повторное использование паролей является одной из самых частых причин компрометации учетных записей. Даже при наличии регламентов, сложных требований к длине пароля и средств многофакторной аутентификации, значительная часть сотрудников продолжает применять одни и те же или схожие пароли в разных системах. Это делает инфраструктуру уязвимой к атакам, использующим перехваченные или утекшие учётные данные, и существенно повышает риск несанкционированного доступа.

В этой статье мы разберем, как на практике организовать контроль повторного использования паролей внутри компании, какие требования должны быть отражены в политике безопасности, а также как технически реализовать защиту и выстроить мониторинг и отчётность, позволяющие своевременно выявлять нарушения и подтверждать соответствие.

Политика по управлению повторным использованием паролей

Чтобы трактовка требований пользователей и ИБ-специалистов не отличалась, политика должна объясняться четко и простыми словами:

  • что считается «повторным использованием пароля»;
  • что такое «история паролей»;
  • какие учетные записи попадают под какие правила.

Политика должна объяснять, зачем и когда менять пароль, четко обозначая временные рамки, но при этом не делая это слишком часто, чтобы сотрудники не придумывали похожие пароли:

  • для обычных пользователей раз в 2–3 месяца;
  • для администраторов примерно раз в месяц;
  • если включена многофакторная аутентификация, жёсткая периодичность может быть мягче.

Для сервисных, автоматических и привилегированных учетных записей политика должна устанавливать отдельные правила:

  • пароли не повторяются никогда;
  • ротация автоматизирована;
  • запрещено хранить пароли «вручную» (файлы, блокноты, переписка);
  • желательно использовать менеджер секретов.

Такой подход предотвращает типичные инциденты, когда один и тот же пароль живёт годами и используется в десятках интеграций.

Политика должна однозначно отвечать на вопросы:

  • кто устанавливает и изменяет правила,
  • кто следит за соблюдением,
  • кто реагирует на инциденты,
  • кто согласовывает исключения.

Техническое обеспечение политики

Одного наличия перечня правил недостаточно для контроля за повторным использованием паролей; важно, чтобы правила соблюдались на практике, а также чтобы их нельзя было «обойти» или случайно нарушить.

Хранение истории паролей

Системы должны хранить хэши (не сами пароли) нескольких предыдущих комбинаций, чтобы новый пароль сравнивался с предыдущими и повторить его было невозможно.

Настройки в домене и учетных системах

В инфраструктуре должны быть включены параметры, которые:

  • запрещают использование старых паролей,
  • проверяют сложность нового пароля,
  • ограничивают частоту попыток смены,
  • ведут журнал событий: кто менял пароль, кто пытался повторить.

Многофакторная аутентификация

MFA снижает риски при утечке пароля; злоумышленники часто пробуют украденные пароли именно в тех местах, где MFA нет, например, во внутренних сервисах.

Логирование и мониторинг

Все операции с паролями должны попадать в журналы:

  • успешные и неуспешные попытки смены;
  • попытки установить старый пароль;
  • действия администраторов;
  • события, связанные с доступом после смены пароля.

Среди отечественных компаний можно рассмотреть следующие решения:

Solar inRights PAM

  • Автоматически проверяет новые пароли на повторение с предыдущими и с базой утёкших паролей.
  • Блокирует ввод пароля, если он совпадает хотя бы с одним из последних 15.
  • Ведёт полный журнал «кто, когда, какой пароль поставил» (хэши, конечно).

SIEM KUMA (Kaspersky Unified Monitoring and Analysis Platform)

Это высокопроизводительное решение класса SIEM российского производства, предназначенное для централизованного сбора, анализа и корреляции ИБ-событий из различных источников данных для выявления потенциальных киберинцидентов и своевременной их нейтрализации. Решение собирает события смены паролей из AD, 1С, почты, VPN, если один и тот же хэш появляется в разных системах.

Мониторинг соблюдения политики

Политика должна описывать не только требования, но и механизм контроля. Без мониторинга любая политика превращается в декларацию.

Компания должна регулярно отслеживать:

  • попытки установить старые пароли;
  • резкое увеличение числа смен пароля (признак компрометации или автоматизированной атаки);
  • длительное отсутствие смены пароля у тех учеток, где смена обязательна;
  • попытки перебора паролей;
  • подозрительные входы после смены пароля.

Политика должна указать минимальный набор инструментов:

  • журналы безопасности домена;
  • систему SIEM, куда уходят события смены пароля, неудачные попытки и аномалии;
  • мониторинг сервисных учетных записей.

Мониторинг не должен зависеть от одного администратора — это централизованный процесс, в котором каждый отвечает за свою сферу:

  • ИТ-администраторы — следят за корректной работой механизмов;
  • ИБ-специалисты — анализируют события, находят нарушения и принимают меры;
  • Руководители подразделений — обеспечивают, чтобы сотрудники соблюдали правила.

Политика должна требовать, чтобы ИБ-команда или ИТ ежемесячно/ежеквартально формировали отчёт. В него обычно входит:

  • число учётных записей с истёкшими паролями;
  • учётки, где смена задержалась слишком долго;
  • попытки повторного использования паролей;
  • подозрительные или аномальные события;
  • статус сервисных паролей в менеджере секретов.

По итогам ответов должны устраняться несоответствия, закрываться устаревшие учетные записи, корректироваться настройки систем и проводиться обучающие мероприятия.

Чтобы политика работала, сотрудники должны понимать, что любое нарушение несет в себе огромные риски для компании. Нарушения могут быть ошибочными (забыли сменить пароль вовремя и попытались вернуть старый), сотрудник намеренно может игнорировать требования, а также администратор может повторять пароль на сервисных учетных записях, хранить пароли в файле, отправлять их в мессенджере, что является грубым критическим нарушением.

В таких случаях реакция должна быть оперативной и четкой:

  • автоматическая блокировка учётки при попытках повторного использования;
  • требование сменить пароль при выявлении нарушения;
  • уведомление руководства при повторяющихся инцидентах;
  • дисциплинарные меры при критических нарушениях.

Заключение

Контроль повторного использования паролей — это комплексная часть системы управления идентификацией. Российский опыт, а также практика расследования инцидентов показывает, что чтобы система работала, важно иметь формализованную политику, соответствующую отечественным требованиям, гарантировать техническое выполнение требований, а также проводить регулярный мониторинг и фиксировать результаты в отчетности, включая процесс в общую модель управления ИБ.

Если эти элементы встроены в цикл управления доступами, повторное использование паролей перестаёт быть угрозой и превращается в контролируемый фактор риска. А если у вас остались вопросы, команда «Астрал. Безопасность» всегда готова вам помочь!

Автор статьи: Филиппова Анастасия Вячеславовна, специалист по информационной безопасности.

Астрал.Безопасность
Автор: Астрал.Безопасность
ГК “Астрал” — российская IT-компания, с 1993 года создает и внедряет прогрессивное программное обеспечение и решения на базе искусственного интеллекта. Астрал помогает коммерческим организациям и государственным структурам по всей России выбрать оптимальное ИТ-решение под их бизнес-задачи, бюджет и сроки.
Комментарии: