Мониторинг и управление привилегированными пользователями – лучшие практики

Artem 7 Июль, 2016 12:57 ПП | Категория Все новости | Нет комментариев

электронная защитаНа фоне участившихся случае хакерских атак и утечек ценной информации, многие компании сегодня не жалеют средства на поддержание своей электронной защиты в актуальном состоянии.

Однако, в то время как большинство компаний инвестирует в укрепление своего защитного периметра и защиту от внешних угроз, внутренние угрозы часто остаются без должного внимания.

Тем не менее, с точки зрения уровня опасности и потенциальной стоимости устранения, внутренние угрозы ничем не уступают внешним, а в некоторых ситуациях даже превосходят их. Вашим сотрудникам гораздо проще похитить чувствительную документацию Вашей компании или данные Ваших клиентов, чем любому хакеру из вне. Однако, наибольшую опасность представляют привилегированные пользователи, у которых уже есть санкционированный доступ к защищенной информации и критическим системным настройкам.

Привилегированные пользователи имеют все необходимые инструменты для того, чтобы похитить защищенную информацию Вашей компании для мошенничества, продажи или использования в личных целях. Более того, они легко могут уничтожить следы преступления удалив файлы логов и отключив инструменты по мониторингу и контролю доступа. В случае, если вредоносные действия все-таки будут выявлены, привилегированный пользователь может просто сослаться на ошибку – ведь со стороны его ежедневную работу очень сложно отличить от вредоносных действий. Таким образом, атаки со стороны привилегированных пользователей чрезвычайно сложно обнаружить, что делает их чрезвычайно опасными.

Однако угроза вредоносных действий является не единственной, исходящей от привилегированных пользователей. Учетные записи с расширенным набором полномочий часто становятся целью хакеров. Кроме того, другие сотрудники Вашей компании могут узнать необходимую для использовании такой учетной записи информацию, чтобы совершить с её помощью вредоносные действия. Широко известный пример – Эдвард Сноуден добыл секретную информацию правительства США просто попросив пароль у привилегированного пользователя.

Таким образом, вопрос защиты от потенциальных угроз, связанных с привилегированными пользователями и учетными записями с расширенными полномочиями является чрезвычайно сложным и широким и наиболее эффективным ответом на него является использование лучших методик и профессиональных решений для осуществления успешного контроля и мониторинга привилегированных пользователей.

Ниже Вы найдете список наиболее полезных практик, которые мы рекомендуем Вам инкорпорировать в общую стратегию безопасности Вашей компании. Только использовав комплексные и многогранные защитные меры, Вы сможете надежно защитить свою компанию как от внешних, так и от внутренних угроз.

Как справится с угрозой привилегированных пользователей

Особенность привилегированных пользователей заключается в том, что они часто имеют неограниченный доступ к внутренним системным логам и логам приложений, которые они легко могут отключить, удалить или изменить для того, чтобы замести следы вредоносных действий. Наилучшим подходом к контролю и мониторингу таких пользователей является использование профессиональных инструментов для мониторинга и контроля доступа и следование лучшим практикам в индустрии по использованию и хранению паролей, а также общему подходу к безопасности.

Политика безопасности

Меры по защите от внутренних угроз, связанных с привилегированными пользователями, должны является интегральной частью общей стратегии безопасности Вашей компании. Ваша формальная политика безопасности, в свою очередь, должна включать подробные описания всех процедур, связанных с обеспечением безопасности учетных записей с расширенными полномочиями, например, процедуры создания и удаления учетной записи, контроля доступа и мониторинга действий пользователей.

  • Идентифицируйте все учетные записи с расширенными полномочиями. Важно четко знать сколько учетных записей с расширенными полномочиями используется в Вашей компании, кем они используются и с какими целями. Подобная информация поможет Вам провести более точную оценку рисков и избавиться от лишних учетных записей, которые несут в себе дополнительную угрозу безопасности.
  • Используйте принцип минимальных привилегий. Лучший способ ограничить количество учетных записей с расширенным набором полномочий – создавать их только когда это необходимо. Для этого следует пользоваться принципом минимальных привилегий: каждая новая учетная запись создается с минимально возможным уровнем привилегий, которые затем расширяются по мере необходимости.

Защита пароля

Самым базовым и простым способом защиты учетной записи является использование пароля. Надежные пароли способны обеспечить высокий уровень защиты, но для этого необходимо соблюдать рекомендации по их созданию, хранению и использованию.

  • Используйте сложные пароли. При создании новой учетной записи всегда существует соблазн использовать простой пароль, который легко запомнить, например, дату рождения, имя домашнего любимца или даже простое «123». Однако, злоумышленнику не составит никакого труда взломать или угадать такой пароль. Для того, чтобы обеспечить надежную защиту учетной записи, необходимо использовать сложные пароли, содержащие в себе комбинации цифр и букв в разных регистрах.
  • Запретите использование общих паролей. Практика использования одного пароля для нескольких учетных записей чрезвычайно распространена. Однако, если данный пароль будет взломан, все Ваши учетные записи окажутся взломаны. Чтобы избежать подобной ситуации, обязательно задавайте новый сложный пароль каждый раз при создании учетной записи с расширенными полномочиями.
  • Храните пароли в зашифрованном виде. Если Вы занимаетесь хранением каких-либо паролей, убедитесь, что они всегда хранятся в зашифрованном виде. Также учтите, что некоторые приложения хранят пароли в виде простых текстовых файлов, которые легко открыть. Важно понять, пользуется ли Ваша компания такими приложениями и, в случае необходимости, подыскать себе более защищенную альтернативу.
  • Меняйте стандартные пароли. Часто при установке новой программы или подключения нового устройства, учетная запись администратора создается автоматически. Такие учетные записи имеют стандартные пароли, находящиеся в свободном доступе. Эти пароли обязательно необходимо сменить как можно быстрее.
  • Используйте автоматическую смену паролей. Частая смена пароля является очень хорошей практикой, способной существенно повысить безопасность учетной записи. Однако, пользователи часто забывают или не хотят менять пароль. Лучшим вариантом действий в этой ситуации является использование инструментария, который по истечении определенного срока предложит пользователям сменить пароль автоматически. Автоматическая смена паролей также удобна для служебных учетных записей, пароли которых необходимо синхронизировать между различными службами.

Контроль доступа

Надежный пароль – это лишь первый шаг к полноценной защите учетной записи. Для эффективного контроля привилегированных пользователей, также необходимо использовать надежную систему авторизации.

  • Запретите обмен учетными записями. Также, как и при использовании общего пароля, обмен учетными записями между сотрудниками может привести к тому, что пользователи получат несанкционированный доступ к защищенной информации. Кроме того, при обмене учетными записями часто сложно соотнести отдельную сессию с конкретным сотрудником, что значительно осложнит поиск виновного в случае какого-либо инцидента.
  • Используйте двойную аутентификацию. Дополнительные меры аутентификации позволяют защитить учетную запись даже если пароль был взломан. Также двойная аутентификация дает возможность всегда четко определить, кто именно из Ваших сотрудников инициировал сессию. Существуют разные способы реализации двойной аутентификации, наиболее простой из них – с помощью мобильного устройства. Крупным компания стоит обратить внимание на системы с использование токенов, дающие еще более надежную защиту.
  • Используйте одноразовые пароли. Если пользователю не требуется постоянный доступ к защищенной информации и критическим настройкам, то создавать для него учетную запись с расширенными полномочиями является нецелесообразным. Гораздо надежнее сгенерировать одноразовый пароль для полного доступа к системе, который автоматически станет недействительным после окончания сессии. Таким образом, Вы уменьшаете количество учетных записей с широким набором полномочий и гарантируете, что неиспользуемые учетные записи будут своевременно удалены.
  • Разработайте процедуру удаления учетной записи. Компании не всегда удаляют учетные записи сотрудников после их увольнения или перехода на другую должность. В этом случае, как сам сотрудник, так и злоумышленники извне могут попытаться использовать эту учетную запись для доступа к Вашей системе. Поэтому необходимо всегда своевременно удалять учетные записи, которые потеряли свою актуальность.

Мониторинг привилегированных пользователей

Перечисленные выше меры безопасности в основном направлены на контроль привилегированных пользователей и предотвращение внутренней угрозы с их стороны. Если же внутренняя атака все-таки произошла, то её прежде всего необходимо обнаружить. Наиболее простой и эффективный способ это сделать – проводить мониторинг привилегированных пользователей.

Проводите мониторинг действий пользователей. Простого контроля доступа не достаточно для эффективного обнаружения вредоносных атак со стороны привилегированных пользователей. Для этих целей лучше всего подходит полноценный мониторинг действия таких пользователей. Самый эффективны на сегодняшний момент способ осуществлять такой мониторинг – это производить полную видеозапись всего, что происходит на экране. Такая запись не только позволяет обнаружить вредоносные действия и точно определить виновника, но и сам процесс записи служит в качестве превентивной меры, предотвращающей внутренние атаки. Подобные видеозаписи часто предоставляют полную картину происходящего на экране пользователя, кроме того, многие решения также собирают различные сопутствующие метаданные, значительно облегчающие поиск нужной информации.

Четко определите пользователя. Записывая пользовательскую сессию, убедитесь, что эта запись четко проассоциирована с конкретным сотрудником Вашей компании. Таким образом, в случае инцидента Вы сразу же сможете установить виновника.

Используйте защищенные решения. Многие привилегированные пользователи являются системными администраторами или IT-специалистами. Они способны отключить или временно остановить большинство инструментов мониторинга, доступных на данный момент на рынке. Поэтому для мониторинга привилегированных пользователей необходимо использовать специальные, дополнительно защищенные решения, не позволяющие пользователю остановить или удалить запись.

Используйте систему оповещения. Искать потенциальные инциденты просматривая записи сессий вручную достаточно нецелесообразно. И хотя многие системы оповещений отпугивают своей сложностью, только освоив подобную систему в полной мере, Вы сможете максимально эффективно обнаруживать внутренние атаки в кратчайшие сроки. Большинство современных систем оповещения дают возможность гибкой настройки и формирования своих собственных правил для оповещений, позволяя Вам адаптировать их под свою ситуацию.

Контролируйте действия сотрудников службы безопасности. Сотрудники Вашей службы безопасности являются теми, кто обеспечивает электронную защиту Вашей организации, тем не менее, и они не идеальны. Имея доступ к чувствительной информации, они могут использовать её во вредоносных целях, таких как мошенничество, кража, сокрытие нарушений, и т.д. Чтобы предотвратить это, убедитесь, что Ваш инструмент мониторинга имеет внутренний лог, фиксирующий действия администратора такого инструмента. Таким образом, Вы всегда будете знать, проводились ли какие-либо манипуляции с системой мониторинга и если да, то когда и кем.

Заключение

Таким образом, как показано выше, эффективный контроль и мониторинг привилегированных пользователей требует значительных ресурсов от организации, как трудовых, так и финансовых. Финансовая и личная информация во многих странах защищена законодательством, и работа с ней строго регулируется, что служит весомым стимулом для многих компаний организовать полноценную защиту от внутренних угроз, связанных с привилегированными пользователями. Однако, далеко не все учетные записи с расширенными полномочиями подпадают под подобные нормы законодательства.

Тем не менее, мониторинг и контроль доступа привилегированных пользователей стоит проводить не зависимо от требований законодательства, так как таким образом Вы значительно укрепляете электронную безопасность Вашей компании. Любая надежная защита требует комплексного подхода, и только занявшись комплексно внешними и внутренними угрозами, Вы сможете надежно защитить свою компанию.

Похожие новости:

Автор: Artem

Добавить комментарий


Яндекс.Метрика Украина онлайн
© 2012-2017 copyright Новости ИТ