Контролируем привилегии
В инфраструктуре каждого предприятия есть множество учетных записей. Они нужны для доступа к рабочим станциям, серверам, базам данных, отдельным приложениям. В некоторых компаниях запаролены даже принтеры. И всем этим хозяйством, огромным комплексом учетных записей сотрудников, нужно управлять, – давать права доступа к системам, регулярно менять пароли, заводить новых пользователей и удалять тех, кто уволился из организации.
Для того, чтобы администрировать учетные записи, существуют специальные программные решения, они относятся к классу IDM – Identity Management. Но у всех таких решений есть один существенный недостаток. Они работают со штатными средствами операционных систем и контролировать использование учетных записей не могут.
Илья Горюнов, директор по развитию бизнеса Thycotic по России и СНГ:
– Всех нас постоянно пытаются взломать. Вне зависимости от того, чем мы богаты. Нас пытаются взломать просто потому, что мы есть. И чем хуже соблюдается парольная политика, чем меньше контролируются админские “учетки”, тем больше шансов, что попытка взлома успешно осуществится.
А в данный момент еще и львиная доля доступов осуществляется извне. Ведь сотрудники в период самоизоляции работают за периметром защищенного контура. А VPN и антивирус – не панацея для обеспечения Zero Trust. Поэтому взломать вас могут еще быстрее. И если вам есть что терять – надо срочно что-то делать. Например, установить РАМ-систему.
Кто такие «привилегированные пользователи»
Такие пользователи есть в любой организации. Конечно, некоторым сотрудникам по должности положены расширенные права доступа к ИТ-системам предприятия. И таких специалистов может быть много: ИТ-администраторы, специалисты по информационной безопасности, аудиторы и даже топ-менеджмент компании. Иногда расширенные права доступа к инфраструктуре требуются даже подрядным организациям.
Контролировать такие аккаунты нужно с особой тщательностью. Дело в том, что они становятся главной мишенью злоумышленников. Взломать учетку сотрудника с расширенным доступом – большая удача для киберпреступника. Одним махом он сможет получить доступ к настройкам систем, а через них – и к управлению финансами компании или данным, которые составляют коммерческую тайну. И такая угроза – отнюдь не «пугалка» для нерадивых юзеров.
На долю привилегированных учетных записей приходится до 80% взломов. При этом в 30% случаев инциденты происходят из-за инсайдеров, которые либо хотят заработать на продаже данных, выполняют роль «засланных казачков» или просто из чувства мести.
Есть и еще одна проблема. Средний срок цикла устранения взлома составляет 279 дней. Из них 206 дней приходится только на обнаружение проблемы, и еще 73 дня на ликвидацию последствий. Это говорит о том, что злоумышленники, получив доступ к учетной записи, не спешат сразу же проявлять активность.
Хакеры оставляют себе достаточно времени для того, чтобы как следует «покопаться» в инфраструктуре компании-жертвы. Зачем? Помимо прямой кражи средств со счетов компании целью киберзлодеев могут быть нарушения в операционной деятельности компании, ущерб репутации и другие угрозы бизнесу.
Вот поэтому ИТ-службам и безопасникам приходится уделять привилегированным пользователям особенное внимание.
PAM
Для управления учетными данными привилегированных пользователей существует специальный класс решений – PAM, Privileged Access Management (их еще называют PUM, Privileged User Management). Они, в отличие от обычных менеджеров паролей или IDM, работают по принципу прокси, – скрывают на защищаемых серверах и устройствах реальные учетные данные и даже протоколы работы системных администраторов, при этом записывают все действия пользователей.
Даже если взломщик получит пароль от привилегированной учетной записи, воспользоваться им в полной мере он не сможет. PАM не даст ему всех прав, изменит пароль и зафиксирует все действия скомпрометированного аккаунта.
Один из мировых авторитетов в области разработки систем управления привилегированными учетными записями – компания Thycotic. Ее название не слишком знакомо обывателям и даже некоторым специалистам. Основанная еще в 1996 году, компания до сих пор остается частной и даже не относится (по числу сотрудников) к средним – в ней работают менее 1000 человек.
Это не мешает Thycotic предлагать рынку супервостребованные решения. Ими пользуются более 10 тысяч компаний, причем 20% из них входят в список Fortune 500. Такие имена, как SAP, IBM или Deloitte говорят сами за себя. Не так давно Thycotic начала экспансию в странах Восточной Европы и ее продукты стали доступны и российским заказчикам.
Как работает PAM: менеджмент…
В портфеле Thycotic – несколько решений, предназначенных для управления привилегированными учетными записями. Главный, и самый востребованный – Thycotic Secret Server. Это – единственное сегодня полнофункциональное РАМ-решение, способное работать как в облаке, так и локально.
Принцип работы Secret Server – централизованное хранение всех паролей привилегированных пользователей в зашифрованном виде. Это позволяет им не аутентифицироваться каждый раз для доступа к разным системам, а использовать для этого единую точку входа, подключение к которой осуществляется через отдельный интерфейс.
При этом Secret Server проконтролирует использование учетной записи, обеспечит доступ к системам в строгом соответствии с корпоративными политиками, позаботится о смене пароля, как плановой, так и экстренной, в случае обнаружения инцидента.
На практике такое подключение может выглядеть так. Специалист службы поддержки, получив заявку от пользователя, запрашивает у Secret Server права на подключение его к рабочей станции. После того, как проблема решена, система автоматически заменит пароль на новый и, тем самым, исключит доступ к этой рабочей станции в случае, если использовавшийся ранее пароль попадет в руки киберпреступника. Так же, автоматически, сервер сменит все пароли, если системы обеспечения безопасности сообщат об обнаружении угрозы.
Выполнит свою работу Secret Server и в случае кадровых изменений в компании: пропишет права доступа для нового сотрудника в соответствии с корпоративными политиками или, наоборот, закроет доступ для уволенного, поменяет пароли учетной записи и подготовит отчет о его действиях.
…и мониторинг
Еще одно очень важное и полезное умение Thycotic Secret Server – возможность мониторинга сессий. Проконтролировать использование сотрудниками различных ресурсов корпоративной инфраструктуры можно и онлайн, и постфактум, причем касается это не только штатных работников, но подрядчиков, которым требуется доступ к корпоративной инфраструктуре. В истории Thycotic был случай, когда одна из компаний-заказчиков, использующих Secret Server, благодаря этой системе сумела доказать неправомерные действия своего подрядчика и предъявить ему штрафные санкции.
И последнее. Несмотря на столь широкие возможности Thycotic Secret Server, он отличается еще и простотой. Системные требования невелики, а процесс базового развертывания решения занимает 1-2 дня и требует внимания только одного ИТ-специалиста компании-заказчика.