Пора закрутить гайки сисадминам?
ИТ-системы сами по себе не работают, по крайней мере, не все время. В какой-то момент обязательно потребуется вмешательство системного администратора. Сам характер работы сисадмина подразумевает, что ему или ей предоставляется более высокий, привилегированный уровень доступа к ИТ-инфраструктуре, чем рядовому пользователю.
Если действия, предпринимаемые сисадминами, несколько отличаются от тех, которых от них ждут, последствия могут быть весьма непредсказуемыми. В худшем случае, сисадмины могут злоупотреблять своим положением, например, для того, чтобы украсть информацию или установить для себя или третьих лиц доступ в ИТ-системы с "черного хода".
Также сисадмины – это отличная цель для хищения персональных данных с помощью таких техник как целевой фишинг, ведь привилегированный ID более полезен для хакеров, чем обычный пользователь. Главная же проблема заключается в том, что системные администраторы тоже люди. И они тоже совершают ошибки.
Инструменты управления привилегированными пользователями помогут разобраться с рядом проблем, которые, согласно недавнему отчету Quocirca, весьма распространены среди британских компаний. Вот чем Silicon.com советует воспользоваться для осуществления лучшего и безопасного администрирования систем.
Будьте в курсе, кто ваши привилегированные пользователи
Определенные нормативные акты должны декларировать, как использовать те или иные привилегии. Один из рычагов в управлении ИТ-услугами (ITSM) - стандарт ISO 27001 - гласит, что "распределение и использование привилегий должно быть регламентировано и находиться под контролем". А вот в Стандартах безопасности данных индустрии платежных карточек (PCI-DSS) настоятельно рекомендуется "проводить проверку деятельности всех привилегированных пользователей".
Другими словами, использование групповых аккаунтов администратора – это жесткое табу. Такие аккаунты необходимо блокировать, а доступ всех привилегированных пользователей должен осуществляться только через идентификационную информацию, которая четко ассоциируется с отдельными физическими лицами.
Убедитесь, что устаревшие привилегированные аккаунты заблокированы
Речь идет о недействующих аккаунтах, обеспеченных системным ПО и приложениями, которые можно найти и закрыть с помощью соответствующих инструментов, и аккаунтах сисадминов, которые уже уволились из компании. Чтобы решить эту проблему, самым оптимальным способом станет предоставление краткосрочного доступа к системам для выполнения определенных заданий.
Минимизируйте ошибки сисадминов
Согласно исследованию Quocirca, средний процент ошибок сисадминов составляет около 6%. Ошибки – это работа вхолостую, например, "латание" не тех устройств. Если правила системы защиты доступа меняются, ошибки могут серьезно угрожать безопасности, или даже привести к катастрофе, например, если с диска стерли не тот объем памяти.
Чтобы избежать подобной ситуации, необходим соответствующий инструментарий, который даст пользователям совет, как действовать в том или ином случае, и дважды проверит их действия, а также поможет избежать совершения ошибок, например, автоматизируя какие-то рутинные задания.
Ограничьте доступ сисадминов к устройствам
Еще один способ избежать ошибок – это обеспечивать сисадминам привилегированный доступ к устройствам, которые нуждаются в техническом обслуживании, на ограниченный период времени. Вместо того чтобы предоставлять широкомасштабный и постоянный доступ к системам, следует разрешить его только на одном устройстве или немногочисленном ряде устройств и только на тот период времени, который считается приемлемым для выполнения какой-то конкретной работы.
Зашифруйте детали логина системного администратора
Многие задания сисадмина включают в себя техническую поддержку удаленных устройств, которые запрашивают информацию о его логине и требуют подробных инструкций для передачи данного задания, иногда уже вбитых в сценарий. Это необходимо было делать незашифрованным текстом, особенно при использовании услуг вроде Telnet. Использование такого подхода - легкая нажива для хакеров, поэтому подобная передача информации должна быть закодирована.
Делайте резервные копии всех ИТ-устройств
Отказы ИТ-устройств неизбежны. Но главное, что их можно восстановить и снова запустить в работу в кратчайшие сроки. Большинство организаций внимательно относятся к созданию резервных копий серверов. Но они менее строго относятся к копированию сетевых устройств и устройств защиты, неисправность которых также может нанести вред ИТ-доступу.
Необходимо регулярно делать резервные копии таких устройств, по крайней мере, каждый раз, когда меняется их конфигурация. Резервные копии необходимо хранить в надежном месте во избежание краж и использования их для клонирования оригинальных устройств. В этом случае лучше всего автоматически создавать подобные резервные копии.
Ограничьте доступ сисадминов к информации
Для выполнения своей работы сисадминам необходим доступ к системным данным, а не к коммерческой информации. Зачастую их обширные привилегии предоставляют им доступ и туда, и туда. Но в этом нет большой необходимости. Для защиты данных и сисадминов от обвинений в злоупотреблении их позицией доверия, объем доступа необходимо ограничить.
И это можно сделать с помощью соответствующих инструментов. Провайдерам облачных услуг следует обращать внимание на это различие, и управлять собственной инфраструктурой, одновременно соблюдая конфиденциальность данных о своих клиентах.
Надежно утилизируйте старые устройства
Все ИТ-устройства содержат потенциально полезные данные для хакеров. Сетевые устройства защиты, стабилизаторы нагрузки, контентные фильтры – все они содержат различные установки доступа в сеть и информацию о пользователе наряду с системными файлами журнала.
Все устройства имеют свой конец срока службы, поэтому перед утилизацией следует убедиться, что все подобная информация была из них благополучно удалена, или что жесткие диски были повреждены.
Будьте готовы к встрече с аудиторами
Аудиторы проявляют особый интерес к действиям привилегированных пользователей по многим (уже описанным здесь) причинам. Чтобы проще было ассоциировать данного сисадмина с его действиями, необходимо вести подробный журнал регистрации событий для истории действий администратора, работающего на каком-то конкретном устройстве.
Ведение подобного журнала возможно только в том случае, если доступ к устройству находится под контролем, а инструментарий, который предоставляет доступ, сохраняет записи с соответствующими подробностями.
Освободите сисадминов от рутинной работы
Зачастую сисадмины совершают ошибки из-за того, что многие задания, которые им приходится выполнять, довольно рутинные и повторяются без конца. Автоматизация некоторых операций даст возможность делегировать выполнение некоторых задач младшему или временному персоналу и избавиться от монотонной работы.
Такой подход позволит сисадминам сосредоточиться на более продуктивных заданиях, которые действительно могут принести пользу всей организации, вместо того, чтобы просто пытаться успеть сделать все.
© @Astera