Привилегированный доступ в компании: как выстроить выдачу прав, контроль действий и быстрый отзыв без остановки работ
Изображение: recraft
Слабый контроль привилегированного доступа — одна из главных угроз для современного бизнеса. Он неминуемо ведет к утечкам и реализации инсайдерских атак, остановке важнейших процессов и даже краху всего бизнеса.
Поэтому управление доступом является критически важной функцией информационной безопасности. В ее основе — четкое разделение учетных записей (далее – УЗ) на обычные и привилегированные. Первые ограничены повседневными задачами. Вторые (администраторы домена, локальные администраторы, служебные учетки) открывают доступ к ключевым системам и требуют максимального контроля.
Для грамотного управления доступом выделяют уровни: организационный, операционный и технический.
Управление доступом часто децентрализовано, хаотично и развивается стихийно, без единого порядка. Поэтому прежде чем внедрять системы управления и контроля доступа, нужно провести анализ и формализовать его. Это поможет предотвратить дублирование прав, риски эскалации привилегий и конфликты полномочий. На организационном уровне необходимо разработать и утвердить документы: политику управления доступом и ролевую модель. Политика управления доступом – главный документ, который определяет правила работы с правами доступа к ресурсам компании. В ней также однозначно определены роли, функционал и зоны ответственности в рамках процесса управления доступом. Ролевая модель служит фундаментом для правильного управления доступом. Главными атрибутами ролевой модели являются множество ролей, определенных на основе должностей и обязанностей, а также полномочия для действий с ресурсами.
На операционном уровне выстраивается механизм, как именно выдавать и отзывать права. Без этого регламентация будет существовать только «на бумаге» и процесс не будет работать правильно. Работа с правами критически важна для всего бизнеса и требует кросс-функционального взаимодействия. Несогласованные действия подрывают процессы, вызывают простои и нарушают принцип минимальных привилегий. Управление доступом включает обязательные механизмы согласования, как минимум, со стороны ИБ и владельцев ресурса, при выдаче прав нужно придерживаться принципа разделения обязанностей для предотвращения конфликтов интересов, а также организовать журналирование действий при выдаче прав. Для каждого из перечисленных этапов должны быть определены временные сроки и возможность приоритизации. Важно учесть нелинейные процессы, такие как маршрут внесения новых прав в ролевую модель и их имплементация в реальную систему. Отдельно стоит выделить процедуру выдачи временных прав – сроки выдачи и то, как будет выполняться отзыв прав. Необходимо также описать непрерывные и повторяющиеся процессы, например, проведение актуализации ролевой модели, инвентаризацию избыточных прав доступа.
На техническом уровне привилегированный доступ остается одной из наиболее уязвимых зон корпоративных ИТ-инфраструктур. Статические УЗ администраторов с постоянными правами доступа, общие пароли, известные нескольким сотрудникам и отсутствие прозрачности действий создают риски утечек и кражи данных, внутреннего злоупотребления доступом и могут привести к сбоям в работе систем. Зачастую речь идет о критических системах, потеря работоспособности которых грозит остановкой бизнеса. Решением служит PAM (Privileged Access Management, управление привилегированным доступом), комплексная система управления привилегированным доступом, обеспечивающая централизованный контроль, автоматизацию, мониторинг и соответствие принципам минимальных привилегий.
Центральным элементом системы является защищенное хранилище, где все учетные данные хранятся в зашифрованном виде, а также используются аппаратные модули безопасности. Существенное преимущество в том, что пользователи не знают пароли от целевых систем, поскольку доступ проксируется через PAM-шлюз, который автоматически подставляет учетные данные. Администратор авторизуется только в PAM под своей УЗ, выбирает ресурс, к которому необходимо подключиться, и сессия открывается в изолированном прокси-канале. После завершения сессии происходит автоматическая смена паролей и таким образом риск компрометации данных минимизируется.
С помощью ролевой модели доступа PAM позволяет формировать политики на основе должностей и задач, исключая необходимость наличия отдельных УЗ для каждой системы. Например, назначение пользователю роли «Сетевой инженер» предоставит доступ к маршрутизаторам, коммутаторам и другим сетевым сервисам. Для разовых задач применяется принцип Just-in-Time (JIT, «точно в срок»), когда права выдаются на ограниченное время – минуты, часы, сутки. Доступ отзывается автоматически по истечении заданного срока, что помогает предотвратить ситуации, когда у сотрудников или подрядчиков остаются избыточные привилегии после завершения работ.
Следующая ключевая возможность PAM – автоматическая блокировка сессий пользователей. PAM производит мониторинг действий в реальном времени: фиксируется нажатие клавиш, запись экрана, анализ команд и сетевого трафика. В случае выявления аномалий, таких как ввод подозрительных команд, например, массовое копирование данных или rm -rf (команда в UNIX-системах, удаляющая все в указанной директории в рекурсивном режиме, без дополнительных подтверждений), подключение с неизвестного устройства или подключение вне рабочего времени, система мгновенно прервет сессию.
Также в современные PAM часто интегрируются элементы UEBA (User and Entity Behavior Analytics, анализ поведения пользователей и сущностей). В частности, с помощью функции машинного обучения формируются базовые профили поведения пользователей и сущностей (речь о сервисах, приложениях), что в дальнейшем позволяет эффективно выявлять отклонения. Например, если системный администратор, обычно корректирующий конфигурации днем из офиса, вдруг начинает скачивать терабайты данных ночью из другой локации, система сгенерирует уведомление для ИБ и заблокирует доступ этому пользователю.
Кроме того, применение PAM представляет особую ценность в случае, если с внутренними ресурсами компании работают внешние специалисты, чей доступ традиционно представляет высокий риск. Это могут быть разработчики 1С, приглашенные бухгалтеры, аудиторы, специалисты по поддержке инфраструктуры. Обычно подключение производится с недоверенных рабочих станций, возможно, без корпоративного VPN, антивируса или других систем ИБ. Прямой доступ к промышленному контуру или хранилищу конфиденциальных данных в таких сценариях недопустим и в данном случае PAM решает проблему через специальные порталы, созданные для работы третьих сторон. Доступ к ресурсам предоставляется временно, с минимальным набором прав, обязательным применением многофакторной аутентификации и проверкой устройств подключения (по желанию можно сделать проверку наличия требуемого программного обеспечения). Сессии проксируются в изолированной среде, например SSH (Secure Shell, «безопасная оболочка») в виртуальной машине, где пользователь видит только необходимый для работы интерфейс. Дополнительно отпадает необходимость передачи учетных данных по открытым каналам связи. Срок завершения проекта можно установить как в автоматическом, так и в ручном режиме, по завершении доступ аннулируется, а логи архивируются для последующего аудита или расследования в случае инцидента ИБ.
Далее фундаментальным вопросом в управлении доступом является процесс отзыва прав. Блокировка УЗ может осуществляться как в ручном режиме, так и с помощью систем: например, при срабатывании определенных триггеров можно автоматически заблокировать УЗ, отозвать права и так далее. Но важно помнить, что при отзыве прав сервисных УЗ все процессы, осуществляемые от их имени, остановятся, что является критичным для таких услуг, которые требуют обеспечения непрерывности.
Следующие действия зависят от причины: если это событие ИБ, то на этот случай должен быть разработан специальный комплекс мер: изоляция пораженного узла, оперативные переключения кластеров, блокировка УЗ. Если это запланированное мероприятие, например, плановая смена пароля, то должны быть организованы технические окна, обычно они устанавливаются в такое время, чтобы не помешать сотрудникам исполнять свои обязанности, а клиентам пользоваться сервисом. Если необходимо обеспечить непрерывную работу 24/7, следует рассмотреть вариант с переключением площадки на резервную, пока все работы на основной площадке не будут завершены. Также в случае реализации событий ИБ необходимо иметь резервные УЗ для критически важных систем, как минимум, для самой важной УЗ в системе – УЗ администратора домена. Резервные УЗ должны храниться у отдела ИБ и выдаваться при возникновении критических ситуаций.
Теперь заглянем в будущее. С внедрением искусственного интеллекта (далее – ИИ) появляются новые сущности, такие как ИИ-агенты, которые будут вытеснять сервисные УЗ в некритических процессах. К ним стараются применять принцип минимальных привилегий – запрещено все, что не разрешено. К примеру, нестандартные запросы автоматически блокируются. Также для изоляции работы ИИ-агента с целью обеспечения высокого уровня безопасности, доступ предоставляется только внутри определенного контура и доступ к внешним данным запрещен. Наконец, при использовании ИИ-агентов необходимо осуществлять анализ действий и поведения для своевременной блокировки.
Эффективное управление привилегированным доступом строится по уровням: организационному – политика и роли, операционному – согласование, аудит и техническому – системы для контроля и автоматизации. Использование PAM позволит повысить безопасность за счет сужения поверхности атаки, повышения прозрачности и управляемости, а также колоссально снизить трудозатраты на управление доступами за счет автоматизации. Кроме того, система позволяет быстро отзывать права, но при этом компании важно учесть способ реализации непрерывности работы сервисов.
Автор: старший аналитик Аналитического центра УЦСБ Юлия Сонина.
