Разоблачение привилегий: как PAM помогает выявить скрытые риски31.10.2024 11:15

367dc87290ac2cafe77f954822eabfb2.jpg

В мае 2024 года разлетелась новость о том, что российский инженер, используя свои навыки и личный ноутбук, смог одним нажатием кнопки отключить электричество для жителей почти 40 населенных пунктов. Этот инцидент вызвал широкий резонанс и стал предметом обсуждения в социальных сетях и СМИ на тему безопасности энергетических систем и ответственности за подобные действия.

С подобным инцидентом информационной безопасности может столкнуться любая организация, где есть сотрудники, обладающие привилегиями для работы в информационных системах (далее — ИС).

В этой статье расскажем о решении класса PAM (Privilege Access Management). А также рассмотрим, кто такие привилегированные пользователи и какую ключевую роль они играют в управлении доступом к критически важным системам и данным. Понимание особенностей этой роли и рисков, связанных с действиями привилегированных пользователей, является основой для разработки эффективных стратегий управления доступом и защиты информации.

Кто такие привилегированные пользователи

Под привилегиями понимают учетные записи пользователей с административными правами или дополнительными полномочиями для работы в ИС.

Привилегированный пользователь — пользователь, использующий привилегии в работе с корпоративными ИС, включая их установку, настройку и обслуживание.

К таким пользователям относятся:

  • системные администраторы различных ИС

  • сотрудники службы безопасности

  • аутсорсинговые работники и аудиторы

  • сотрудники финансово-юридического департамента и бухгалтерии

  • руководители организаций (в некоторых случаях).

Риски использования привилегий

Отсутствие централизованного контроля действий привилегированных пользователей рано или поздно приводит к различным инцидентам, ведь привилегированные пользователи — это прежде всего люди.

У этих пользователей есть знание, где что лежит и ключи ко всем «замкам», а также понимание как все эти «замки» и «сигнализации» работают. Это создает возможность не только украсть, изменить или уничтожить важную информацию, но и эффективно скрывать следы своих деяний.

Обойтись без таких пользователей в рабочем процессе не получается. При этом учетные записи с административными правами очень часто являются обезличенными.

При расследовании инцидента видно, что базу данных удалил пользователь «Admin» без привязки к конкретному пользователю. Администраторов на предприятии работает пять человек, и у всех есть доступ к этой учетной записи, поэтому выяснить, кто из них действительно причастен, довольно непросто.

Отличительной чертой в крупных организациях являются служебные расширенные права для администраторов. В некоторых случаях это встроенные учетные записи, а в других учетные записи, созданные для автоматизации процессов при помощи скриптов. Чаще всего эти учетные записи остаются незаблокированными и со стандартными паролями, или эти пароли настроили один раз и не обновляли за все время работы.

В итоге привилегированных учетных записей много и обычно никто не знает, сколько именно этих записей и какими именно возможностями они обладают, не говоря уже о том, чтобы контролировать выполнение парольной политики в отношении таких записей.

Какие варианты действий можно применить?

Альтернативы системам PAM

  1. Встроенные средства контроля, часто обладают ограниченными функциями и низкой адаптивностью к быстро меняющимся требованиям бизнеса.

  2. Инструменты контроля персонала и системы предотвращения утечек данных (DLP) как правило ограничены контролем RDP-сессий с помощью агента на АРМ или сервере и не поддерживают перехват сессий на шлюзе и иные специальные протоколы привилегированного доступа (SSH, Telnet и другие).

  3. Перекрестный контроль, основанный на взаимодействии сотрудников службы безопасности, подвержен человеческим ошибкам и становится неэффективным в больших командах. Еще один из методов, видеонаблюдение, обеспечивает лишь фиксацию инцидентов и вызывает вопросы о конфиденциальности, требуя значительных ресурсов для мониторинга и хранения записей.

Все эти методы также страдают от нехватки интеграции друг с другом, требуют постоянного обновления для борьбы с новыми угрозами и по мере роста организации могут возникнуть трудности с их масштабированием.

Поэтому для комплексного решения вопроса в дополнение к предыдущим средствам необходимо применять специализированные коммерческие системы контроля, такие как Privileged Access Management (PAM).

Возможности PAM: почему это важно?

Системы PAM — централизованные решения, которые позволяют управлять привилегированным доступом сотрудников к целевым ресурсам организации. Это означает, что сотрудники службы информационной безопасности могут контролировать, кто и как получает доступ к критически важной информации и системам, тем самым снижая риски инцидентов, в том числе риски утечек данных и несанкционированного доступа.

Основные функции систем PAM

Одним из главных преимуществ PAM является возможность создания единой точки управления привилегированными учетными записями. Это упрощает процесс администрирования и позволяет более эффективно контролировать доступ к ресурсам.

Системы PAM обеспечивают мониторинг активности пользователей с привилегированными правами, что позволяет выявлять подозрительные действия и предотвращать потенциальные угрозы.

Системы PAM помогают минимизировать количество привилегированных учетных записей, что в свою очередь уменьшает поверхность атаки и снижает риски безопасности. Это достигается путем назначения прав доступа только тем сотрудникам, которым они действительно необходимы для выполнения их задач.

Применение многофакторной аутентификации при доступе к привилегированным учетным записям значительно повышает уровень безопасности. Даже если учетные данные будут скомпрометированы, дополнительные факторы аутентификации затруднят доступ злоумышленникам.

Системы PAM позволяют проводить аудит действий привилегированных пользователей, а также реализовывать механизмы расследования инцидентов. Аудит действий важен для понимания того, как используется доступ и какие действия могут привести к утечкам данных.

PAM включает в себя функции управления паролями, что позволяет автоматизировать процессы их создания, хранения и обновления.

Системы PAM позволяют настраивать сложные политики безопасности, а интеграция с другими средствами информационной безопасности, такими как SIEM-системы, обеспечивает комплексный подход к защите данных и ресурсов.

Наконец, использование PAM помогает организациям выполнять требования регулирующих органов в области информационной безопасности, что особенно важно для компаний, работающих в данных отраслях.

Где можно применить PAM

  1. Единая точка удаленного доступа — внедрение управляемого привилегированного доступа к корпоративным ресурсам

  2. Контролируемый доступ подрядчиков — создание временного и безопасного доступа для внештатных пользователей в ИТ-системы компании, получение данных для оценки качества работы

  3. Защита доступа сегмента АСУ ТП и КИИ — обеспечение защищенного и контролируемого доступа к критической инфраструктуре

  4. Мониторинг и расследование — повышение эффективности реагирования благодаря фиксации действий привилегированных пользователей для расследования инцидентов

  5. Выявление аномалий для SOC и ЦОД — выявление и обеспечение качественной обработки поступающих событий, а также повышение скорости реагирования на инциденты ИБ.

Внедрение PAM-системы позволяет предотвратить потенциально опасные действия и архивировать записи сессий доступа к важным компонентам системы.

© Habrahabr.ru