Контроль и мониторинг привилегированных пользователей – лучшие методики

В то время как в новостях все чаще встречаются сообщения об очередном взломе или утечке финансовой информации или данных клиентов какой-нибудь компании, предприниматели, в попытке защитить свой бизнес, продолжают вкладывать деньги в электронную безопасность. Однако, хотя ресурсы на поддержание защиты собственного периметра в актуальном состоянии обычно не жалеет никто, угрозы изнутри компании редко получают столь же много внимания.

Тем не менее, именно Ваши собственные сотрудники чаще всего имеют лучшую возможность похитить ценную информацию Вашей компании и продать её или использовать в целях мошенничества. Особенно опасными оказываются сотрудники с учетными записями, обладающими расширенным набором полномочий. Такие сотрудники имеют необходимый набор привилегий для полного контроля над системой и доступа к защищенной информации, что дает им возможность легко совершить вредоносные действия и замести следы. Они могут отредактировать или удалить файлы логов, отключить приложение по мониторингу, а в случае, если вредоносные действия все-таки обнаружатся, просто сказать, что это была неумышленная ошибка. Во многих случаях кража информации привилегированными пользователями со стороны почти ничем не отличается от их обычной рабочей активности, что делает выявление таких инцидентов крайне сложным.

Однако, намеренные вредоносные действия являются не единственной угрозой безопасности, связанной с учетными записями с расширенным набором полномочий. Такие учетные записи могут быть легко взломаны или использованы другими сотрудниками Вашей компании для достижения вредоносных целей. В частности, Эдвард Сноуден получил доступ к защищенной информации, просто попросив пароль у привилегированного пользователя. Таким образом, вопрос защиты учетных записей с широким набором полномочий является чрезвычайно сложным и наилучшим ответом на этот вопрос является детальный контроль доступа и мониторинг привилегированных пользователей.

В этой статье мы рассмотрим лучшие методики по контролю доступа к учетным записям с расширенными полномочиями и мониторингу привилегированных пользователей. Инкорпорировав эти рекомендации в свою систему безопасности, Вы сможете построить целостную защиту, способную защитить Вашу чувствительную информацию как изнутри, так и снаружи.

Как предотвратить угрозу со стороны привилегированных пользователей

Уникальность проблемы управления привилегированными пользователями заключается в том, что подобные учетные записи имеют неограниченный доступ к любым внутренним логам и другим инструментам, позволяющим отслеживать их действия как в рамках системы, так и в рамках отдельных приложений. Для того, чтобы решить эту проблему, необходимо использовать проработанную политику доступа и обращения с паролями, а также надежные профессиональные инструменты мониторинга.

Политика безопасности

Управление привилегированными пользователями и защита от потенциальных внутренних угроз, связанных с ними должны стать неотъемлемой частью общей стратегии обеспечения безопасности компании. Это должно быть отражено в Вашей глобальной политике безопасности, включая подробные описания процедуры создания и удаления учетных записей, доступа и мониторинга активности привилегированных пользователей.

• Принцип минимальных привилегий. Прежде всего, Вы должны ограничить количество привилегированных учетных записей. Лучший способ это сделать - создавать каждую новую учетную запись с минимально возможным уровнем привилегий, расширяя их только если это необходимо. Таким образом, Вы сможете быть уверены, что расширенными привилегиями обладают только те пользователи, которым это действительно необходимо.
• Идентификация привилегированных пользователей. Важно четко идентифицировать и принять во внимание каждого привилегированного пользователя в рамках Вашей организации. Это позволит Вам более точно оценить риски, а также избавиться от учетных записей, которые не используются, и понизить уровень привилегий там, где это возможно сделать.

Безопасность паролей

Пароли являются наиболее базовой формой защиты учетной записи. Высокая безопасность пароля обеспечивается грамотным подходом к его созданию, хранению и использованию и является основой любого управления доступом. Существуют общепринятые передовые методики по работе с паролями, которых следует придерживаться каждой организации.

• Запрет общих паролей. Использование общего пароля между различными учетными записями может позволить сотруднику с низким уровнем привилегий получить доступ к защищенной информации и критическим системным настройкам. Если этот пароль будет взломан или попадет в руки злоумышленников, взломанными могут оказаться все учетные записи, использующие пароль. Таким образом, первым шагом на пути к высокой безопасности паролей является отказ от использования одного пароля для нескольких разных учетных записей. Каждая отдельная учетная запись должна иметь уникальный пароль.
• Использование сильных паролей. Часто пользователи используют слабые пароли, такие как "123", "admin", или, например, имена своих домашних любимцев. Подобные пароли очень легко не только взломать, но и просто угадать, и обойти такой пароль не составит труда для злоумышленника. Ваша политика безопасности обязательно должна содержать требования по использованию сложных уникальных паролей для каждой учетной записи с расширенным набором полномочий.
• Хранение паролей в защищенном виде. Если Ваша организация занимается хранением каких-либо паролей, убедитесь что они надежно зашифрованы, а не хранятся в простых текстовых документах. Также учтите, что некоторые приложения хранят пароли в открытом виде в текстовых документах. В такой ситуации, необходимо принять меры по защите этого файла, или использовать альтернативные, более надежные приложения.
• Смена стандартных паролей. Многие устройства, программное обеспечение и системы автоматически создают учетную запись администратора со стандартным паролем. Такие пароли обычно широко известны и их необходимо сразу же сменить, как только учетная запись будет создана.
• Автоматическая смена паролей. Смена пароля через определенный промежуток времени позволяет значительно повысить его надежность. Однако, некоторые пользователи могут посчитать эту процедуру неудобной и, как результат, отложить её или вовсе этого не делать. Лучше всего сделать так, чтобы получил предложение сменить пароль через определенное время автоматически. Также автоматическая смена пароля полезна для служебных учетных записей, где необходимо синхронизировать новый пароль между несколькими приложениями.

Защита доступа

Защита доступа в целом предполагает больше, чем просто наличие надежного пароля. Для эффективного управления привилегированными учетными записями чрезвычайно важно использовать надежную систему авторизации и удаления учетной записи.

• Запрет общих учетных записей. Как и с общими паролями, использование одной учетной записи несколькими пользователями может привести к тому, что пользователи получать несанкционированный доступ к защищенной информации и критическим системным настройкам. Такие учетные записи представляют собой уязвимость в системе безопасности и их необходимо избегать. Кроме того, при использовании общих учетных записей часто тяжело определить какой конкретно сотрудник выполнил те или иные действия. В случае внутренней атаки это существенно осложнит поиск виновного.
• Использование двойной аутентификации. Дополнительные меры аутентификации выполняют роль страховки на случай взлома пароля, а также позволяют наверняка подтвердить личность человека, пытающегося использовать учетную запись с расширенными полномочиями. Вы можете имплементировать двойную аутентификацию различными способами, самый простой из них - с использованием мобильного телефона. Более крупные компании могут задуматься о введение более надежной системы токенов.
• Использование одноразовых учетных записей. Давать расширенные привилегии пользователю, которому не требуется постоянный доступ к защищенным данным или критическим настройкам системы достаточно небезопасно. Если пользователю требуются дополнительные привилегии только изредка, гораздо надежнее создать для него одноразовую учетную запись с расширенными привилегиями, которая удалится автоматически по окончании сеанса работы. Таким образом Вы не только ограничиваете количество учетных записей с расширенным набором привилегий, но и гарантируете, что неиспользуемые учетные записи будут обязательно удалены.
• Наличие процедуры удаления учетной записи. Удаление неиспользуемых учетных записей является одним из ключевых элементов управления учетными записями. Когда сотрудник покидает компанию или переходит на другую должность, очень важно лишить его права доступа с расширенными полномочиями, так как он может использовать этот доступ в дальнейшем для совершения вредоносных действий.

Мониторинг

Все вышеперечисленные практики разработаны для управления привилегированными пользователями и предотвращения потенциальных атак, как направленных на их учетные записи, так и исходящих непосредственно от них самих. Однако, если подобная атака уже произошла, то лучший способ её обнаружить - использование профессиональных решений для мониторинга действий привилегированных пользователей.

• Мониторинг действий пользователей. Очень важно не только контролировать доступ привилегированного пользователя к системе, но и проводить мониторинг всех действий, которые он производит во время рабочей сессии. Подобный мониторинг позволяет обнаружить кражу или утечку информации, а также служит в качестве эффективной упреждающей меры. Существуют различные способы записать действия пользователей, наиболее эффективным из них является видеозапись. Многие решения также собирают разные количества дополнительных метаданных, которые ассоциируются с видеозаписью и значительно облегчают поиск необходимой информации.
• Идентификация пользователя. Производя мониторинг действий пользователей, убедитесь, что каждый пользователь четко идентифицирован и ассоциирован с конкретным сотрудником компании. Таким образом, в случае нарушения безопасности Вы сразу сможете найти виновника.
• Надежная защита мониторинга. Обычно пользователями учетных записей с расширенными полномочиями являются либо IT специалисты, либо технически подкованные пользователи, способные легко отключить многие средства мониторинга на короткий период времени для совершения вредоносных действий. Таким образом, очень важно использовать решения, специально рассчитанные на мониторинг привилегированных пользователей. Такие решения обычно надежно защищены, не давая пользователю возможности просто остановить запись.
• Использование системы оповещений. При большом количестве привилегированных пользователей, искать нарушения вручную, просматривая записи их рабочих сессий не представляется возможным. Гораздо целесообразнее использовать систему оповещений. Многие решения по мониторингу имеют встроенные системы оповещения, позволяющие гибко настраивать правила так, как удобно именно Вам. И хотя подобные системы могут показаться громоздкими, при правильной настройке они позволяют быстро обнаружить нарушения безопасности даже при большом количестве пользователей.
• Мониторинг действий сотрудников службы безопасности. Сотрудники службы безопасности занимаются вопросами электронной безопасности в компании, однако их действия также являются предметом мониторинга. Чтобы предотвратить утечки информации или её использование не по назначению, лучше всего использовать решения по мониторингу, ведущие внутренний лог всех действий их пользователей.

Как видно из приведенного выше списка, управление и мониторинг привилегированных пользователей является чрезвычайно сложной и часто дорогостоящей задачей. Что касается финансовой и личной информации, управление доступом к ней и мониторинг пользователей, работающих с такой информацией являются обязательными требованиями законодательства многих стран. Однако, не каждая учетная запись с расширенным набором полномочий попадает в этот список.

Не зависимо от того, обязана ли Ваша компания заниматься управлением и мониторингом привилегированных пользователей, Вам все-равно стоит уделить этому вопросу внимание, так как это позволит значительно повысить электронную безопасность Вашей компании и надежно защитит Вас от внутренних угроз.