Контакты
Подписка 2025

Управление доступом и привилегиями: как обеспечить минимальный привилегированный доступ

Константин Родин, 17/01/24

В цифровую эпоху, где информация – ценный актив, трудно переоценить значение надежного управления доступом и привилегиями. Бизнес постоянно сталкивается с вызовами, связанными с обеспечением безопасности чувствительных данных и критических систем от несанкционированного проникновения.

Автор: Константин Родин, руководитель отдела развития продуктов компании “АйТи Бастион”

ris50

Привилегированный доступ – это уровень доступа к системным ресурсам или данным компании, который дает расширенные права на их чтение, изменение или удаление. Обычно он предоставляется внутренним сотрудникам, системным администраторам, работникам отделов ИБ, а также другим пользователям с повышенными полномочиями в информационных системах (подрядчикам, поставщикам ИТ-услуг, которые работают на аутсорсинге).

Привилегированный доступ необходим для выполнения различных задач, связанных с управлением и обслуживанием системы. Например, администраторы и внешние подрядчики могут устанавливать программное обеспечение, изменять конфигурацию, управлять пользователями и обеспечивать безопасность системы; внешние аудиторы могут работать с финансовыми документами и отчетностью; поставщики ИТ-услуг – устанавливать дополнительное ПО и отвечать за разработку или поддержку той или иной информационной системы. Все они могут иметь доступ к чувствительной, конфиденциальной корпоративной информации, работа с которой требует особых, пусть даже временных, разрешений.

Зачастую люди смотрят на ИТ-системы отдельно от бизнеса и организации, но это не так. Привилегированный доступ несет в себе киберриски. Несанкционированное использование таких прав может привести к утечке данных, нарушению безопасности или другим нежелательным последствиям. Для каждой компании чувствительные данные и ресурсы – свои: для одной компании – это персональные данные, для другой – сетевое или промышленное оборудование, для третьей – серверные, пользовательские учетные записи и т.д. Поэтому важно правильно и эффективно управлять доступом с привилегиями, осуществлять его регулярный мониторинг, своевременно реагировать на возникающие инциденты. Такие меры помогут минимизировать риски и обеспечить безопасность ИТ-систем.

Но своими силами и без использования специализированных инструментов обеспечивать контролируемый и безопасный привилегированный доступ, к сожалению, крайне сложно, особенно если это касается крупного бизнеса, госкомпаний и объектов критически важной инфраструктуры.

PAM

Есть много различных систем, которые помогают контролировать доступ пользователей с привилегированными правами в ИТ-структуре компаний, но одни из самых надежных и современных – это системы класса РАМ (Privileged Access Management).

Но важно понимать, что в мире нет такой системы кибербезопасности, которая помогла бы решить бизнесу абсолютно все задачи в сфере ИБ и защитить его от всех возможных угроз. Поэтому при выстраивании ИБ-политики компании разумно использовать комплексный подход, синергировать разные системные продукты, исходя из технических возможностей и производственных мощностей, объединяя все это в единую эффективную, бесшовную инфраструктуру, где каждое из решений помогает обслуживать конкретные задачи и реализует конкретный бизнес-сценарий, конечно с ориентацией на сам бизнес и его первоочередные потребности.

Это все – вопрос времени, финансовых ресурсов, квалификации сотрудников и четкого понимания "Что мы хотим защитить?" и "Как именно хотим это сделать?", то есть реальные сценарии, в которых PAM-система будет решать поставленные перед ней задачи.

Системы контроля действий привилегированных пользователей становятся все более востребованными. Вместе с тем растет запрос не просто на реализацию систем предоставления доступа, но и на построение сложных и надежных комплексов контроля доступа, которые позволяют объединять различные решения для создания доверенных сред между пользователями и конечными информационными системами.

Через призму SOC

В этом контексте не обойтись без одного из главных звеньев этой сложной комплексной цепочки – без эффективной системы мониторинга и аналитики. Зачастую она рассматривается через призму SOC (Security Operations Center) – центра обеспечения информационной безопасности, представляющего собой специализированный отдел, группу в компании или внешнюю компанию, которые ответственны за мониторинг, анализ и реагирование на информацию об ИБ-угрозах в реальном времени.

Для построения SOC используются три элемента: люди, процессы и технологии. В классическом подходе технологии в этой схеме не являются ключевыми. Но вот без людей и без правильно выстроенных процессов мониторинга, анализа и реагирования ничего не получится. В идеале бизнес должен иметь это изначально, а потом уже интегрировать с технологиями. Однако зачастую многие компании просто не могут организовать реально эффективно работающий SOC по причине того, что это требует больших ресурсов. Недостаточно просто внедрить систему и радоваться ее запуску, наивно думая, что теперь "у нас точно будет все безопасно", нужно организовать сам процесс эффективного мониторинга, а также иметь квалифицированный персонал, который будет его обслуживать и развивать. А там, где появляются люди – пусть даже сильная и опытная команда, которая взаимодействует с инфраструктурой, сразу возникают вопросы о доступе и контроле доступа, фиксации всех действий и операций специалистов.

Несмотря на то что SOC для ИТ-периметра бизнеса является центром мониторинга и реагирования, необходимо обеспечивать безопасность и его самого. Ввиду критичности систем, располагаемых в таком центре, доступ к нему имеет ограниченный круг привилегированных пользователей, и он тоже должен быть организован с учетом всех необходимых мер защиты.

Заключение

Невозможно исключить необходимость контроля доступа к критически важным объектам инфраструктуры не только при удаленных подключениях, но и внутри периметра. При этом доступ к объектам "на последней миле" ничем не отличается от вариантов подключения при полностью удаленном доступе. Таким образом, контроль корректной конфигурации систем, обеспечивающих сбор, анализ и реагирование на потенциальные инциденты в ИТ-структуре, является потенциальной точкой формирования недопустимого события, и оно, в свою очередь, может поставить под вопрос целесообразность существования SOC и вложенных в него ресурсов.

Современные PAM-системы обладают функциональными возможностями, которые выходят далеко за пределы фиксации доступа и сбора событий. Ряд отечественных решений позволяют проводить поведенческую аналитику доступа, профилирование пользователей и даже самостоятельно реагировать на инциденты привилегированного доступа. Применение этого функционала позволяет бизнесу не только иметь "второе мнение" относительно возникающих потенциальных инцидентов, но и снизить объем анализируемых данных в SIEM (Security Information and Event Management ) за счет превентивного анализа посредством РАМ.

Подводя итог, стоит отметить, что SOC является важным компонентом стратегии обеспечения информационной безопасности компании. Он выступает в роли проактивного и бдительного стража, постоянно мониторя, выявляя и реагируя на угрозы. Современный SOC – это синергия между людьми, процессами и технологиями, это больше, чем просто SIEM и SOAR (Security Orchestration, Automation and Response), это система технических средств не только для анализа внешней инфраструктуры, но и для контроля собственной. Инвестируя в него, бизнес может улучшить свой уровень кибербезопасности, защитить чувствительные данные и создать устойчивость к постоянно меняющейся угрозе атак.

Темы:PAMКонтроль доступаЖурнал "Информационная безопасность" №5, 2023

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • PAM – строим вместе
    Василий Окулесский, вице-президент по информационной безопасности ЦМРБанка
    Хороший продукт – это всегда плод совместных усилий производителя и пользователей. Чтобы продукт был успешным и востребованным, им должны пользоваться, давать обратную связь, и производитель должен реагировать на нее. Только тогда он станет по-настоящему полезным, конкурентоспособным, будет расти и развиваться.
  • Что такое Identity, и почему его важно защищать от киберугроз
    Андрей Лаптев, директор продуктового офиса “Индид”
    Понятие Identity сложно перевести на русский язык и осмыслить в полной мере как с технической, так и с юридической точки зрения. Этот термин обычно не переводят, поскольку в нашем языке нет слов, которые раскрывали бы его суть точно и целиком. В зависимости от контекста Identity можно приблизительно перевести как “личность” или “идентичность”.
  • Indeed Access Manager в Альфа-Банке: отечественное решение оказалось лучше западного
    Сергей Крамаренко, руководитель департамента кибербезопасности Альфа-Банка
    Беседуем с Сергеем Крамаренко, руководителем департамента кибербезопасности АльфаБанка, о реальном опыте внедрения российской системы многофакторной аутентификации пользователей Indeed Access Manager, которая не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение.
  • Инновации и безопасность – приоритеты "Сколково"
    Игорь Соловьев, директор департамента информационных систем и сервисов “Сколково”
    ”Cколково” не просто помогает стартапам, это еще и целый город со своей инфраструктурой, образовательной системой, жилыми кварталами. О том, как обеспечить безопасность экосистемы, не жертвуя при этом развитием цифровизации, рассказал Игорь Соловьев, директор департамента информационных систем и сервисов “Сколково”.
  • Программно-аппаратный PAM как важный компонент ИБ в небольших бизнес-масштабах
    Артемий Борисов, менеджер продукта “СКДПУ НТ Компакт”, “АйТи Бастион”
    Поговорим о компаниях небольшого размера и филиалах: обратим внимание на неочевидные выгоды от использования PAM для контроля привилегированного доступа

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...