Задачу автоматизации управления доступом к корпоративным информационным системам сегодня ставят перед собой многие. Но то, что для ее решения требуется комплексный аудит бизнес- и технологических процессов, понимают далеко не все. Как выстроить этот процесс в компании, сделать его прозрачным для ИБ- и ИТ-служб? Мы расскажем в этой статье.
Немного статистики
По данным Центра исследования угроз Solar 4RAYS, в 40% компаний у уволившихся сотрудников надолго сохраняется доступ к корпоративным информационным ресурсам под их учетными записями, которые не были заблокированы ввиду рассогласования деятельности кадровой и ИТ-служб. Киберпреступники осведомлены о таких уязвимостях и успешно их используют.
При этом, по мнению исследователей, отсутствие аудита категорий пользователей, разные механизмы предоставления доступа к ИТ-инфраструктуре, множество разрозненных ИТ-систем, а также общие учетные записи, за которыми не видно реального владельца осложняют выявление устаревших учетных записей 40% компаний.
В 35% случаев компании не могут оперативно реагировать на потенциальные угрозы нелегитимного использования прав доступа и снижать риски инцидентов из-за отсутствия автоматизированного управления ими. Между тем одна не заблокированная своевременно учетная запись, например, недавно уволившегося сотрудника финансового отдела, может стать причиной серьезных киберинцидентов и привести к потерям как денежных средств, так и репутации компании.
Вместе с тем, не только бывшие сотрудники и их учетные записи могут создавать угрозы ИБ предприятиям и компаниям. Согласно статистике инцидентов, в 2023 году 80% организаций столкнулись с внутренними инцидентам. Объяснение тому простое – отсутствие четких ограничений полномочий штатных сотрудников провоцирует критические нарушения и ошибки по невнимательности или из любопытства, а злоумышленники, находясь в периметре сети компании, имеют больше возможностей для получения нелегальным путем каких-либо дополнительных прав доступа.
И, как признали 70% организаций, виновниками таких инцидентов могут выступать, как линейные исполнители, так и линейные руководители. Ни должность, ни заслуги не влияют на совершение нарушения правил ИБ. В качестве иллюстрации этого тезиса можно напомнить о вопиющем случае, который произошел на довольно известном российском предприятии в прошлом году.
Сотрудник, в прямые обязанности которого входило управление краном через удаленную консоль, решил, находясь в отпуске, похвалиться друзьям, как далеко зашел прогресс и как здорово работают современные технологии. Для этого он подключился к сети, используя свои учетные данные, и начал осуществлять этим краном манипуляции. А в это время в цеху работали люди, совершенно не готовые к тому, что оборудование придет в движение. В результате действий пострадал один человек, и можно только порадоваться, что не больше.
По данным статистики, примерно половина промышленных предприятий оценивают уровень ИБ-зрелости своих сотрудников, как средний, а это значит, что на всех остальных люди по-прежнему «слабое звено».
Но помимо человеческого фактора, в вопросах организации управления доступом есть целый ряд факторов, каждый из которых может стать причиной инцидента, как внутреннего, так и внешнего, в том числе:
- отсутствие сегментации сети,
- использование пароля по умолчанию как для доступа в учетную запись в ОС, так и к компонентам АСУ ТП;
- не доверенные сетевые устройства,
- подключение по RDP;
- открытый Wi-Fi;
- открытый доступ к компонентам АСУ ТП.
Особенности идентификации в цифровом мире
В информационной безопасности термин Identity используется для обозначения цифрового профиля человека и/или его цифровой личности. А они, в свою очередь, характеризуются такими параметрами, как цифровые атрибуты. ЦА – это IP-адрес пользователя, MAC-адрес его устройства, а также данные, прикрепленные к персональной учетной записи – фамилия, имя, отчество, должность и так далее.
Еще одной характеристикой Identity является модель поведения: ресурсы, к которым пользователь подключается, способы взаимодействия с ними, его ежедневная сетевая активность, а также устройства, с которых он заходит под одной учетной записью.
Завладев Identity пользователя корпоративной информационной системы, киберпреступник может под его именем совершать любые злонамеренные действия, не боясь быть быстро обнаруженным. Неудивительно, что за учетными данными ведется настоящая охота с применением таких популярных сейчас средств, как социальная инженерия и вредоносное ПО.
В цифровом мире, где люди, устройства и процессы, довольно тесно связаны между собой, помимо Identity человека, существуют еще и Identity машины, например, включенной в контур АСУ ТП. Они тоже представляют интерес для злоумышленников, позволяя им удаленно вмешиваться в ход технологических процессов и менять параметры оборудования в преступных целях. Вот почему важно отслеживать любое отклонение таких автоматизированных систем от нормального поведения: оно может свидетельствовать о том, что произошел инцидент ИБ.
Также ИБ- и ИТ-специалистам, чья корпоративная инфраструктура или ее отдельные приложения размещены в публичном или гибридном облаке, не следует забывать об облачной Identity. Это более динамическая сущность, которая может выдаваться под конкретную сессию и тяжело отслеживается.
Задача Identity понятна и касается вопросов идентификации, аутентификации и авторизации людей, машин и процессов. Это инструмент, позволяющий сотрудникам ИТ и ИБ идентифицировать лица или устройства, действующие в их системах, и минимизировать риски, связанные с их деятельностью.
Риски компрометации
О последствиях утечки учетных записей корпоративных пользователей сегодня довольно хорошо известно. Это утечки конфиденциальной информации, раскрытие информации о клиентах и поставщиках, репутационные риски вплоть до полной дискредитации компании. При этом можно ожидать также кибератаки, внедрение вредоносного ПО; нарушения работы систем, сбоя бизнес-процессов и проблем в работе технологических систем и процессов.
Особенность рисков компрометации Identity заключается в том, что они могут «выстрелить» с неожиданной стороны. К примеру, если обиженный айтишник добыл Identity, к примеру, генерального директора, и от его лица разослал какие-нибудь скабрезные материалы всему списку партнеров и заказчиков, то несмотря на все последующие извинения и наказание виновного, «осадочек» останется надолго.
Подходы к автоматизации управления учетными записями
Для того чтобы избежать подобных ситуаций компаниям, в особенности крупным, с территориально-распределенной ИТ-инфраструктурой, необходимо оптимизировать подход к управлению доступом: выстроить управляемую и контролируемую структуру прав доступа, а также автоматизировать их выдачу, изменение и блокировку.
Для этого существует целый набор технологий и программных продуктов, управляющих жизненным циклом учетных записей и управлением правами доступа к различным корпоративным ИТ-системам, в том числе полностью импортонезависимых. При применении таких решений каждая компания может определить для себя любую из 4 известных моделей доступа – мандатной (MAC), дискретной (DAC), атрибутивной (ABAC), ролевая (RBAC), или комбинировать их исходя из особенностей своих процессов.
Мандатная модель представляет собой электронную реализацию бумажного оборота секретных документов и потому применяется в госструктурах, силовых ведомствах, а также предприятиях и организациях, работающих с высокочувствительной конфиденциальной информацией. Такая модель разделяет пользователей на уровни с разными правами доступа исходя из чувствительности информации. Допустимо ознакомление с информацией не выше своего уровня доступа, а изменение – не ниже своего уровня. Модель имеет ряд ограничений, в частности, отличается отсутствием гибкости, настраивается администраторами вручную и ее сложно использовать в распределенной сетевой инфраструктуре.
В дискретной модели политика доступа того или иного пользователя к информационному ресурсу определяется владельцем этого ресурса. Владелец имеет право предоставлять другим пользователям доступ к аутентифицированным объектам или информации. Разрешения в такой модели выдаются зачастую стихийно, ограничения по срокам могут вообще отсутствовать, и это делает DAC гибкой, но не очень безопасной. Вот почему она подходит для небольших компаний, где все сотрудники знают друг друга в лицо, и где не требуется высокий уровень обеспечения безопасности.
Модель разграничения доступа на основе атрибутов предполагает использование широкого набора характеристик как пользователя, так и информационного ресурса, в определенный момент времени. Имеющийся в ней механизм авторизации оценивает большое количество этих характеристик (атрибутов), присвоенных каждому фрагменту информации и каждому пользователю. На их пересечении и оказываются права доступа. Эта модель требует высокой степени детализации и подходит крупным организациям. Недаром ее используют для организации управления учетными записями крупные ИТ-компании, медицинские учреждения и другие организации, обрабатывающие большие массивы разнородных чувствительных данных.
При использовании ролевой модели ограничения доступа к информационным ресурсам компании строится на основе ролей отдельных пользователей, которые необходимы им для выполнения должностных обязанностей. Роли строятся на основе определения ответов на вопросы «Кто?», «Где?», «Что?».
Такой подход позволяет определить порядок предоставления доступа сотрудников разных подразделений к ИТ-инфраструктуре, эффективно автоматизировать выдачу, изменение и удаление прав, контроль их использования. Кроме того, применяя ролевую модель, можно в автоматическом режиме предоставлять базовый набор полномочий новому сотруднику в рамках типовой роли для его должности. Также автоматически можно изменить права доступа сразу всех сотрудников, исполняющих одну роль. К тому же, ролевая модель обеспечивает исключение в одной роли несовместимых прав, подразумевающих конфликт интересов или допускающих злоупотребление полномочиями, и тем самым минимизирует риски мошенничества со стороны персонала.
На текущий момент ролевую модель доступа можно назвать самой адаптивной и эффективной для среднего и крупного бизнеса.
Технологии и системы управления доступом
Для технической реализации выбранной модели разграничения доступа и управления им существует целый набор технологий и программных средств.
Технология единого входа, SSO (Single Sign-On) построена на сертификатах, содержащих набор авторизационных данных, посредством которых пользователь может войти в несколько различных сервисов с единым логином и паролем, что позволяет отказаться от генерации большого количества учетных записей, увеличивая риск утраты данных.
Системы IdM (Identity Management) или IAM (Identity and Access Management) – это программные продукты, реализующие централизованное управление доступом с сохранением принципа наименьших привилегий. Кроме того, с их помощью можно настроить роли и атрибуты пользователей.
Еще один программный продукт – система PAM (Privileged Access Management) обеспечивает управление доступом привилегированных пользователей, реализует логирование их действий, оповещение о подключениях и минимизирует риски потенциально опасных событий.
Технология PKI (Public Key Infrastructure) основана на ассиметричном шифровании и подтверждает подлинность пользователей, устройств и сервисов с помощью цифровых сертификатов (уникальных открытых ключей). Такие ключи фиксируются на физическом носителе – токенах или смарт-картах. При этом современные смарт-карты поддерживают размещение на одном носителе сразу нескольких сертификатов, к примеру, учетная запись со всеми логическими правами доступа к информационным системам, электронная подпись, а также учетная запись СКУД для физического доступа в помещения.
Порядок внедрения ролевой модели
Эксперты отмечают, что создание ролевой модели управления доступом в компании, особенно крупной, с тысячами сотрудников – это процесс, растянутый во времени. Условно его можно разделить на несколько этапов.
На первом проводится анализ бизнес-процессов компании, задействованных в них подразделений исходя из должностных инструкций и реальных активностей. На основании собранной информации формируется перечень основных ролей.
Второй этап — инвентаризация информационных ресурсов компании, определяется их критичность и чувствительность обрабатываемых данных.
Третьим этапом создается формальная модель доступа – взаимосвязь структурных единиц и информационных систем через призму бизнес-процессов, перечень ролей уточняется и детализируется, выделяются несовместимые функции.
На основании формальной модели четвертым шагом формируется ролевая модель доступа: систематизируется информация о том, какие роли могут обращаются к тем или иным системам, какие полномочия и ограничения там имеют. На этом же этапе формируются группы пользователей с одинаковыми ролями, разрабатывается порядок предоставления и лишения прав.
После внедрения ролевой модели необходимо довести новые правила до персонала – разработать инструкции, провести обучение, разъяснить людям, как нововведения повлияют на их работу с информационными системами и ресурсами, какие цели преследуются, какие преимущества получены.
Выгодоприобретатели
В результате внедрения грамотно выстроенного процесса управления доступом к корпоративным информационным системам компания решает несколько ключевых задач, в том числе снижение рисков несанкционированного доступа к конфиденциальной информации, включая защиту от ее случайного или преднамеренного хищения, повышение безопасности и эффективности бизнес-процессов и, что немаловажно, выполнение нормативных требований.
Эта стратегия оптимизирует операционную деятельность IT-подразделений, предоставляя инструменты для более эффективного выполнения своих обязанностей. В тоже время Подразделения информационной безопасности укрепляют свои позиции за счет прозрачности и управляемости контроля за использованием информационных ресурсов. А главное – бизнес получает дополнительные гарантии защиты своих активов и репутации, что повышает его конкурентоспособность. Ведь главная цель этих мероприятий – оптимизация и повышение управляемости корпоративных процессов, обеспечивая их надежность.