99 проблем, но Identity Security-ландшафт – не одна из них26.03.2025 09:16

3d14a37303c29142c4508d6f22514bac.png

Привет, Хабр! На связи Дмитрий Грудинин, ваш гуру многофакторной аутентификации. Почва для размышления на сегодня: легко ли уследить за правами доступа, когда в компании работают тысячи сотрудников, используется множество ролей, а количество систем насчитывает десятки, и даже сотни?… 

Рынок решений по ИБ предлагает 100500 аббревиатур: IDM, IAM, IAG, DAG, etc.
Давайте вспомним (ну или запомним) самые распространенные из них:

PAM (Privileged Access Management):

  • PAM (Управление привилегированным доступом): контроль привилегированного доступа. Система организованно хранит, отслеживает, обнаруживает и предотвращает несанкционированный привилегированный доступ к критически важным ресурсам.

IDM/IGA (Identity Management / Identity Governance & Administration):

  • IDM (Identity Management): система управления учетными записями и доступом к корпоративным ресурсам предприятия.

  • IGA (Identity Governance & Administration): Управление жизненным циклом учетных записей и правами доступа, включая управление доступом сотрудников, технологическими учетными записями, привилегированными и административными учетными записями.

DAG (Data Access Governance):

  • DAG (Управление доступом к данным): управление доступом к неструктурированным данным: мониторинг, структурирование и аудит служб каталогов, файловых серверов и доступных извне хранилищ.

DS (Directory Service):

  • DS (Служба каталогов): служба каталогов, предназначенная для хранения конфигурации и инфраструктуры и централизованного управления инфраструктурой, например, MS AD.

IAM (Identity & Access Management):

  • IdP (Identity Provider): сервис, который управляет идентификационной информацией для пользователей в сети. 

  • SSO (Single Sign-on): единая точка входа для веб-приложений, технологичных сервисов и API с неограниченным количеством пользователей.

  • 2FA/MFA: многофакторная аутентификация в корпоративных системах.


SIEM (Security Information and Event Management): решение для централизованного сбора, анализа и оценки корреляции событий информационной безопасности, которое помогает организациям выявлять угрозы и оперативно на них реагировать.

IRP (Incident Response Platform): система автоматизации реагирования на инциденты информационной безопасности.
PoLP (Principle of least privilege): принцип наименьших привилегий. 


Не устали от этого мини-киберсловаря? Это мы ещё не пытались выбирать решения для внедрения, а просто перечислили их. 

Оценить влияние тех или иных решений на задачи ИБ и потребности бизнеса — та ещё головоломка. На основе чек-листа »100 Essential Prompts» (Rezonate, оригинал) мы разработали свой, улучшенный список, поэтому наш содержит подсказки, к каким классам решений относится тот или иной вопрос. Зачем это нужно? Чтобы принять решение о внедрении на основании вопросов, которые вызовут максимальное беспокойство или неуверенность в ходе вдумчивого чтения. 

Наливайте кофе, берите протеиновый батончик и поехали!  

I. Базовый уровень доступа 

  1. Контролируете ли вы у кого в данный момент есть права администратора или другой тип привилегированного доступа? (IDM/IGA, PAM)

  2. Все ли из администраторов по-прежнему работают на тех же должностях, и всем ли нужен расширенный доступ? (IDM/IGA)

  3. Есть ли в системе учетные записи администраторов, которые не использовались последние 90 дней? (PAM, IDM/IGA)

  4. Все ли пользователи имеют доступ, соответствующий их должностным обязанностям? (IDM/IGA, DAG, PAM)

  5. Какие пользователи имеют разрешения, выходящие за рамки их ролей (наслаивание прав)? (IDM/IGA, DAG)

  6. Есть ли у вас в организации неактивные учетные записи? (IDM/IGA, IAM)

  7. Включены ли брошенные учетные записи бывших сотрудников, которые нужно удалить? (IDM/IGA)

  8. Сохранен ли активный доступ для подрядчиков и сторонних пользователей? (IDM/IGA)

  9. Были ли отозваны временные учетные записи и их привилегии по прошествии назначенного времени? (IDM/IGA, PAM)

  10. Как вы решаете задачи изменения ролей и модификации прав доступа? (IDM/IGA)

II. Аутентификация и авторизация (Authn & Authz)

  1. Включена ли многофакторная аутентификация для всех критически важных приложений? (IAM)

  2. Используете ли вы политики применения надежных паролей для всех SaaS- и облачных приложений? (IAM, DS, IDM/IGA)

  3. Есть ли у вас пользователи, которые входят в систему из подозрительных или необычных локаций? (IAM)

  4. Когда последний раз проводился пересмотр прав доступа пользователей? Кто это делал? (IDM/IGA)

  5. Правильно ли проведена настройка политик SSO (Single Sign-On) для всех приложений, подключенных к Identity Provider? (IAM)

  6. Вы применили принцип наименьших привилегий (PoLP) для всех учетных записей? (IDM/IGA)

  7. Ограничено ли использование ключей API доверенным списком пользователей и приложений? (IDM/IGA, IAM)

  8. Активны ли истекшие токены API и сервисные учетные записи? (IDM/IGA, IAM)

  9. Как часто проводится аудит и обновление политики авторизации? (IDM/IGA)

  10. Создана ли понятная и прозрачная процедура отзыва неиспользуемых прав доступа и учетных записей? (IDM/IGA)

III. Управление доступом (Identity Management)

  1. Настроены ли внешние Identity Provider, такие как ЕСИА, Яндекс ID, VK ID, СберID, СберBusiness ID, МТС ID и другие для автоматического создания в прикладных системах УЗ и/или предоставления прав на основе переданных scopes/permissions в токенах? (IAM, IDM/IGA)

  2. Как реализована практика управления политиками и правилами аутентификации и жизненным циклом учётных записей для всех используемых платфор? (IAM, IDM/IGA)

  3. Имеются ли дубликаты или конфликтующие профили пользователей в разных системах? (IDM/IGA, IAM)

  4. Можно ли утверждать, что все политики идентификации соответствуют с политиками компании и требованиями регуляторов (IDM/IGA)?

  5. Есть ли у вас сервисные учетные записи, привязанные к определенным профилям? Так ли они нужны? (IDM/IGA)

  6. Есть ли у вас пользователи с конфликтующими или частично совпадающими ролями? (IDM/IGA)

  7. Используете ли вы общие учетные записи? Для чего? (IDM/IGA, IAM)

  8. Действительно ли профили пользователей актуальны и синхронизированы между облачными платформами и SaaS-приложениями? (IDM/IGA, IAM)

  9. Консистентны ли группы пользователей и их права среди всех SaaS и облачных платформ? (IDM/IGA, IAM)

  10. Как часто пересматривается и обновляется принадлежность пользователей к определенным ролям? (IDM/IGA)

IV. Привилегированный доступ

(Privileged Access Management)

  1. Как реализован мониторинг привилегированных аккаунтов на предмет избыточной или подозрительной активности? (PAM, IDM/IGA)

  2. Все ли привилегированные учетные записи настроены согласно принципу наименьших привилегий (PoLP)? (PAM, IDM/IGA)

  3. Есть ли у вас бездействующие привилегированные учетные записи? (PAM, IDM/IGA)

  4. Разработан ли процесс регулярного пересмотра прав привилегированных учетных записей? (IDM/IGA)

  5. Как происходит контроль и аудит учетных записей, используемых для восстановления доступа в экстренных ситуациях? (IDM/IGA, PAM)

  6. Какие привилегированные учетные записи не защищены с помощью MFA? (PAM, IAM)

  7. Все ли сессии привилегированных учетных записей протоколируются и отслеживаются? (PAM, IAM)

  8. Как вы работаете с root-привилегиями в облачных средах? (PAM)

  9. Есть ли у вас какие-либо привилегированные права, которые можно отозвать или понизить? (PAM, IDM/IGA)

  10.  Есть ли такие VM, на которых выданы избыточные привилегированные права доступа? (PAM, IDM/IGA)

V. Доступ к SaaS-приложениям

  1. Используете ли вы провиженинг пользователей непосредственно в SaaS-приложениях или через SSO? (IAM, IDM/IGA)

  2. Какие роли пользователей присваиваются в каждом из SaaS-приложений? (IDM/IGA, IAM)

  3. Есть ли активные учетные записи, которые принадлежат бывшим сотрудникам или подрядчикам? (IDM/IGA)

  4. Соответствуют ли роли, выдаваемые в SaaS-приложениях, корпоративным политикам? (IDM/IGA)

  5. Есть ли в системе пользователи с кастомными разрешениями, которые выходят за рамки стандартных ролей? (IDM/IGA)

  6. Как реализовано ограничение доступа к чувствительной информации в SaaS-приложениях? (DAG, IDM/IGA)

  7. Нет ли SaaS-приложений, которые открывают широкий и неограниченный доступ внутренним или внешним пользователям? (IDM/IGA)

  8. Как часто происходит пересмотр разрешений доступа для каждого SaaS-приложения? (IDM/IGA)

  9. Отслеживаете ли вы аномалии в протоколах доступа пользователей к SaaS? Насколько регулярно это делается? (PAM, IAM)

  10. Ограничен ли доступ к панелям управления SaaS теми пользователями, которым это действительно необходимо? (IDM/IGA)

VI. Доступ на межсервисном уровне (M2M)

  1. Как реализовано управление токенами OAuth? Настроено ли их отключение через определенные промежутки времени? (IAM)

  2. Есть ли у вас неиспользуемые или устаревшие сервисные учетные записи, которые нужно отключить? (IDM/IGA, IAM)

  3. Соответствуют ли сервисные учетные записи принципу минимальных привилегий (PoLP)? (IDM/IGA, IAM)

  4. Как часто происходит ротация токенов API и ключей доступа? (IAM)

  5. Привязаны ли токены API к определенным профилям или приложениям, чтобы избежать неправомерного использования? (IAM, IDM/IGA)

  6. Контролируете ли вы использование секретов (ключей API, паролей и т.д.) в исходном коде/образах контейнеров/базах данных и т.д. и применение секретов посредством получения из внешнего защищённого хранилища? (SMT)

  7. Как реализовано защищенное хранение секретов (ключи API, пароли и т.д.) в используемых платформах?(SMT)

  8. Отслеживаете ли вы использование межсервисных профилей и УЗ на предмет нетипичного или неправомерного использования? (IAM)

  9. Автоматизирован ли процесс отзыва или ротации скомпрометированных ключей? (IAM, IDM/IGA)

  10. Сохраняет ли система протоколирования все действия, совершаемые сервисными учетными записями и УЗ, используемыми для межсервисной аутентификации и авторизации? (IAM)

VII. Нарушения политик доступа и требований регуляторов

  1. Все ли политики доступа соответствуют требованиям регуляторов (ФСТЭК, положения ЦБ и так далее)? (IDM/IGA)

  2. Бывают ли у вас случаи неавторизованного доступа к чувствительным системам? (IDM/IGA, SIEM/SOAR, IRP)

  3. Как реализовано обнаружение нарушений прав доступа и информирование об инцидентах? (IDM/IGA, SIEM/SOAR, IRP) 

  4. Есть ли у вас исключения в сфере прав доступа, которые нужно задокументировать для проведения аудитов? (IDM/IGA)

  5. Используются ли автоматизированные инструменты для информирования о нарушениях прав доступа в реальном времени? (IDM/IGA)

  6. Соответствуют ли ролевые политики доступа внутренним и внешним регулятивным правилам? (IDM/IGA)

  7. Как часто пересматриваются и обновляются политики прав доступа для обеспечения соответствия регуляторным правилам? (IDM/IGA)

  8. Разработана ли прозрачная схема аудита для всех изменений прав доступа и привилегий? (IDM/IGA)

  9. Как вы работаете с исключениями в политиках доступа? Обеспечен ли их пересмотр? (IDM/IGA)

  10.  У вас были случаи нарушения требований регуляторов в рамках текущих практик управления доступом? (IDM/IGA)

VIII. Наслаивание прав доступа и брошенные учетные записи

  1. Есть ли у вас в системе учетные записи, у которых со временем накопилось много привилегий (наслаивание прав)? (IDM/IGA)

  2. Удаляются ли роли у пользователей, чтобы избежать наслаивания прав? (IDM/IGA)

  3. Есть ли у вас брошенные учетные записи, принадлежащие бывшим сотрудникам или системам, работу которых вы не отслеживаете? (IDM/IGA)

  4. Как вы обнаруживаете и удаляете брошенные учетные записи по всем платформам? (IDM/IGA)

  5. Наблюдаются ли случаи использования SaaS-приложений или облачных ресурсов пользователями, которым они на самом деле больше не нужны? (IDM/IGA, IAM)

  6. Проводятся ли пересмотры прав доступа достаточно часто во избежание наслаивания прав? (IDM/IGA)

  7. Внедрены ли практики обнаружения учетных записей с минимальной активностью? (IDM/IGA, IAM)

  8. Как реализован мониторинг сервисных учетных записей на предмет доступа с заброшенных аккаунтов? (IDM/IGA, IAM)

  9. Настроен ли механизм оповещения о неиспользуемых учетных записях для своевременного принятия мер? (IDM/IGA, IAM)

  10. Разработана ли формальная процедура проверки старых учетных записей на предмет накопления избыточных прав доступа? (IDM/IGA, IDM) 

IX. Аудит и протоколирование

  1. Журналируете ли вы все изменения прав доступа с отметкой о конкретных пользователях и временем внесения? (IDM/IGA)

  2. Происходит ли регулярный аудит журналов предоставления доступа для обнаружения подозрительных изменений прав доступа? (IDM/IGA)

  3. Документируются ли все запросы, одобрения и отказы в предоставлении доступа? (IDM/IGA)

  4. Как вы поддерживаете состояние журналов изменения прав доступа для проведения аудита? (IDM/IGA)

  5. Действительно ли журналы изменения доступа хранятся безопасно, а доступ к ним имеет только авторизованный персонал? (IDM/IGA)

  6. Есть ли у вас процессы, позволяющие обнаружить аномалии в шаблонах доступа/ролевой модели? (IDM/IGA)

  7. Производите ли вы централизованный сбор журналов изменения доступа от всех SaaS-приложений и облачных платформ для аудита? (IDM/IGA)

  8. Как долго вы храните журналы изменения доступа для проведения аудита и соответствия требованиям регуляторов? (IDM/IGA)

  9. Настроено ли достаточное журналирование для сохранения всех релевантных событий, связанных с доступом (в том числе попыток входа, изменения разрешений и т.д.)? (IAM, IDM/IGA, SIEM, IRP)

  10. Как вы обеспечиваете контроль целостности журналов доступа и событий, связанных с доступом? (SIEM, IRP)

X. Автоматизация процессов пересмотра прав доступа

  1. Есть ли у вас автоматизированные инструменты для проверки, пересмотра и составления отчетов о правах доступа пользователей? (IDM/IGA)

  2. Как настроены автоматизированные процессы пересмотра прав доступа? (IDM/IGA)

  3. Соответствуют ли автоматические отчеты о пересмотре прав доступа политикам компании? (IDM/IGA)

  4. Созданы ли необходимые триггеры в автоматизированных системах для отключения брошенных учетных записей? (IDM/IGA)

  5. Включены ли процессы автоматизированного предоставления и отзыва прав доступа для всех SaaS-приложений и облачных систем? (IDM/IGA) 

  6. У вас настроены автоматические уведомления в случае нарушений политики доступа? (IDM/IGA)

  7. Как часто происходит тестирование средств автоматического пересмотра прав доступа на предмет их эффективности? (IDM/IGA)

  8. Настроена ли система автоматизированного пересмотра прав доступа на обеспечение минимальных необходимых прав для привилегированных учетных записей? (IDM/IGA)

  9. Выполняется ли устранение нелегитимных прав доступа в облачных и SaaS-средах? (IDM/IGA)

Заключение

Да, 99 пунктов — это не мало. Мы заморочились с чек-листом выше, чтобы вы легко могли определить потенциальные угрозы, выявить слабые места и понять, какие решения будут наиболее эффективны для усиления безопасности именно у вас. 

Угадаете, какой класс решений упоминается в чек-листе чаще всего? (Правильный ответ: IDM). Нетрудно догадаться, что автоматизация и внедрение современных решений упростят управление доступом и сведут к минимуму риски утечек данных или несанкционированного доступа. 

Long story short, теперь уровень безопасности вашей ИТ-инфраструктуры станет выше (уверены на 99%). 

© Habrahabr.ru