Privileged Access Management как приоритетная задача в ИБ (на примере Fudo PAM)
Есть довольно интересный документ CIS Controls, который рассматривает Информационную безопасность с применением принципа Парето (80/20). Этот принцип гласит, что 20% защитных мер дают 80% результата с точки зрения защищенности компании. Ознакомившись с этим документом многие «безопасники» обнаруживают, что при выборе защитных мер они начинают не с самых эффективных мер. В документе выделяют 5 ключевых мер защиты, которые оказывают наибольший эффект на ИБ:
- Инвентаризация всех устройств в сети. Трудно защищать сеть, когда не знаешь что в ней.
- Инвентаризация всего программного обеспечения. Софт с уязвимостями чаще всего становится входной точкой для хакера.
- Secure Configuration — или обязательное использование встроенных функций защиты ПО или устройств. В двух словах — меняйте дефолтные пароли и ограничивайте доступ.
- Поиск и устранение уязвимостей. Большинство атак начинается именно с известной уязвимости.
- Управление привилегированным доступом. Ваши пользователи должны иметь только действительно нужные права и выполнять только действительно необходимые действия.
В рамках этой статьи мы рассмотрим именно 5-й пункт на примере использования Fudo PAM. Точнее мы рассмотрим типичные кейсы и проблемы, которые удается обнаружить после внедрения или в рамках бесплатного тестирования Fudo PAM.
Fudo PAM
Буквально пару слов о решении. Fudo PAM это относительно новое решение по управлению привилегированным доступом. Из ключевых особенностей:
- Запись сессии. Просмотр сессии в реальном времени. Подключение к сессии. Создание доказательств для судебного процесса.
- Проактивный мониторинг. Гибкие политики. Поиск по шаблону. Автоматизация действий.
- Предупреждение угроз. Неправомерное использование учетных записей. Оценка уровня угрозы. Обнаружение аномалий.
- Поиск ответственных. В случае использования одной учетной записи для входа несколькими пользователями.
- Анализ эффективности. Отдельных пользователей, подразделений или целых организаций.
- Точный контроль доступа. Ограничение трафика и доступ для пользователей в определенные промежутки времени.
Ну и самый главный плюс — разворачивается буквально в течении пары часов, после чего система готова к использованию.
Для тех, кому интересен продукт, в …. состоится вебинар с подробным обзором и демонстрацией функционала. Мы же перейдем к реальным проблемам, которые удается обнаружить в рамках пилотных проектов систем управления привилегированным доступом.
1. Администраторы сети регулярно открывают себе доступ к запрещенным ресурсам
Как ни странно, но первые инциденты, которые удается обнаружить — нарушения со стороны администраторов. Чаще всего — неправомерное изменение списков доступа на сетевом оборудование. Например, чтобы открыть доступ до запрещенного сайта или для запрещенного приложения. Следует отметить, что такие изменения могут затем годами оставаться в конфигурации оборудования.
2. Использование одной учетной записи сразу несколькими администраторами
Еще одна частая проблема связанная с администраторами. «Шарить» одну учетку между коллегами очень частая практика. Удобно, но после этого довольно трудно понять, кто именно ответственен за то или иное действие.
3. Удаленные сотрудники работают менее 2х часов в день
Во многих компаниях есть удаленные сотрудники или партнеры, которым нужен доступ к внутренним ресурсам (чаще всего удаленный рабочий стол). Fudo PAM позволяет мониторить реальную активность в рамках таких сессий. Часто обнаруживается, что удаленные сотрудники работают гораздо меньше, чем заявлено.
4. Используется одинаковый пароль для множества систем
Довольно серьезная проблема. Запоминать несколько паролей всегда сложно, поэтому часто пользователи используют единственный пароль абсолютно для всех систем. Если такой пароль «утечет», то потенциальный нарушитель сможет получить доступ практически ко всей ИТ-инфраструктуре.
5. Пользователи обладают бОльшими правами, чем предполагалось
Часто обнаруживается, что пользователи, с казалось бы урезанными правами, оказывается обладают бОльшими привилегиями, чем положено. Например могут перезагружать контролируемое устройство. Как правило это либо ошибка выдававшего права, либо просто недостатки встроенной системы разграничения прав.
Вебинар
Если вам интересна тема PAM, то приглашаем вас на предстоящий вебинар по Fudo PAM, который состоится 21 ноября.
Это не последний наш вебинар в этом году, который мы собираемся провести, так что следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog)!