Автор: Константин Родин, руководитель отдела развития продуктов компании “АйТи Бастион”
Привилегированный доступ – это уровень доступа к системным ресурсам или данным компании, который дает расширенные права на их чтение, изменение или удаление. Обычно он предоставляется внутренним сотрудникам, системным администраторам, работникам отделов ИБ, а также другим пользователям с повышенными полномочиями в информационных системах (подрядчикам, поставщикам ИТ-услуг, которые работают на аутсорсинге).
Привилегированный доступ необходим для выполнения различных задач, связанных с управлением и обслуживанием системы. Например, администраторы и внешние подрядчики могут устанавливать программное обеспечение, изменять конфигурацию, управлять пользователями и обеспечивать безопасность системы; внешние аудиторы могут работать с финансовыми документами и отчетностью; поставщики ИТ-услуг – устанавливать дополнительное ПО и отвечать за разработку или поддержку той или иной информационной системы. Все они могут иметь доступ к чувствительной, конфиденциальной корпоративной информации, работа с которой требует особых, пусть даже временных, разрешений.
Зачастую люди смотрят на ИТ-системы отдельно от бизнеса и организации, но это не так. Привилегированный доступ несет в себе киберриски. Несанкционированное использование таких прав может привести к утечке данных, нарушению безопасности или другим нежелательным последствиям. Для каждой компании чувствительные данные и ресурсы – свои: для одной компании – это персональные данные, для другой – сетевое или промышленное оборудование, для третьей – серверные, пользовательские учетные записи и т.д. Поэтому важно правильно и эффективно управлять доступом с привилегиями, осуществлять его регулярный мониторинг, своевременно реагировать на возникающие инциденты. Такие меры помогут минимизировать риски и обеспечить безопасность ИТ-систем.
Но своими силами и без использования специализированных инструментов обеспечивать контролируемый и безопасный привилегированный доступ, к сожалению, крайне сложно, особенно если это касается крупного бизнеса, госкомпаний и объектов критически важной инфраструктуры.
Есть много различных систем, которые помогают контролировать доступ пользователей с привилегированными правами в ИТ-структуре компаний, но одни из самых надежных и современных – это системы класса РАМ (Privileged Access Management).
Но важно понимать, что в мире нет такой системы кибербезопасности, которая помогла бы решить бизнесу абсолютно все задачи в сфере ИБ и защитить его от всех возможных угроз. Поэтому при выстраивании ИБ-политики компании разумно использовать комплексный подход, синергировать разные системные продукты, исходя из технических возможностей и производственных мощностей, объединяя все это в единую эффективную, бесшовную инфраструктуру, где каждое из решений помогает обслуживать конкретные задачи и реализует конкретный бизнес-сценарий, конечно с ориентацией на сам бизнес и его первоочередные потребности.
Это все – вопрос времени, финансовых ресурсов, квалификации сотрудников и четкого понимания "Что мы хотим защитить?" и "Как именно хотим это сделать?", то есть реальные сценарии, в которых PAM-система будет решать поставленные перед ней задачи.
Системы контроля действий привилегированных пользователей становятся все более востребованными. Вместе с тем растет запрос не просто на реализацию систем предоставления доступа, но и на построение сложных и надежных комплексов контроля доступа, которые позволяют объединять различные решения для создания доверенных сред между пользователями и конечными информационными системами.
В этом контексте не обойтись без одного из главных звеньев этой сложной комплексной цепочки – без эффективной системы мониторинга и аналитики. Зачастую она рассматривается через призму SOC (Security Operations Center) – центра обеспечения информационной безопасности, представляющего собой специализированный отдел, группу в компании или внешнюю компанию, которые ответственны за мониторинг, анализ и реагирование на информацию об ИБ-угрозах в реальном времени.
Для построения SOC используются три элемента: люди, процессы и технологии. В классическом подходе технологии в этой схеме не являются ключевыми. Но вот без людей и без правильно выстроенных процессов мониторинга, анализа и реагирования ничего не получится. В идеале бизнес должен иметь это изначально, а потом уже интегрировать с технологиями. Однако зачастую многие компании просто не могут организовать реально эффективно работающий SOC по причине того, что это требует больших ресурсов. Недостаточно просто внедрить систему и радоваться ее запуску, наивно думая, что теперь "у нас точно будет все безопасно", нужно организовать сам процесс эффективного мониторинга, а также иметь квалифицированный персонал, который будет его обслуживать и развивать. А там, где появляются люди – пусть даже сильная и опытная команда, которая взаимодействует с инфраструктурой, сразу возникают вопросы о доступе и контроле доступа, фиксации всех действий и операций специалистов.
Несмотря на то что SOC для ИТ-периметра бизнеса является центром мониторинга и реагирования, необходимо обеспечивать безопасность и его самого. Ввиду критичности систем, располагаемых в таком центре, доступ к нему имеет ограниченный круг привилегированных пользователей, и он тоже должен быть организован с учетом всех необходимых мер защиты.
Невозможно исключить необходимость контроля доступа к критически важным объектам инфраструктуры не только при удаленных подключениях, но и внутри периметра. При этом доступ к объектам "на последней миле" ничем не отличается от вариантов подключения при полностью удаленном доступе. Таким образом, контроль корректной конфигурации систем, обеспечивающих сбор, анализ и реагирование на потенциальные инциденты в ИТ-структуре, является потенциальной точкой формирования недопустимого события, и оно, в свою очередь, может поставить под вопрос целесообразность существования SOC и вложенных в него ресурсов.
Современные PAM-системы обладают функциональными возможностями, которые выходят далеко за пределы фиксации доступа и сбора событий. Ряд отечественных решений позволяют проводить поведенческую аналитику доступа, профилирование пользователей и даже самостоятельно реагировать на инциденты привилегированного доступа. Применение этого функционала позволяет бизнесу не только иметь "второе мнение" относительно возникающих потенциальных инцидентов, но и снизить объем анализируемых данных в SIEM (Security Information and Event Management ) за счет превентивного анализа посредством РАМ.
Подводя итог, стоит отметить, что SOC является важным компонентом стратегии обеспечения информационной безопасности компании. Он выступает в роли проактивного и бдительного стража, постоянно мониторя, выявляя и реагируя на угрозы. Современный SOC – это синергия между людьми, процессами и технологиями, это больше, чем просто SIEM и SOAR (Security Orchestration, Automation and Response), это система технических средств не только для анализа внешней инфраструктуры, но и для контроля собственной. Инвестируя в него, бизнес может улучшить свой уровень кибербезопасности, защитить чувствительные данные и создать устойчивость к постоянно меняющейся угрозе атак.