Доступ к привилегированным учетным записям

Вопрос защиты данных, хранящихся в разных информационных системах организации, как никогда остро стоит перед службой информационной безопасности. Какие меры следует предпринять, чтобы не допускать утечки ценных сведений? Мнения сотрудников отдела ИБ на этот счет могут разделиться:

• первые считают, что вполне достаточно использовать платную защиту от компьютерных вирусов с блокировкой почтового спама;
• другие заставляют коллег использовать сложные пароли, однажды сгенерированные неким приложением;
• третьи, “самые продвинутые”, используют двухфакторную аутентификацию.

Редко встречаются компании, в которых используют два-три способа защиты. Еще реже те, в которых взяли на вооружение современное программное обеспечение.

Актуальное правило защиты конфиденциальной информации компании заключается в применении системы управления пользователями, а точнее — их учетными записями.

Тенденции развития области информационной безопасности не останавливаются на ужесточении политик парольного доступа рядовых сотрудников.

Больше всего в программных средствах повышения безопасности доступа нуждаются учетные записи администраторов, удаленных сотрудников и других привилегированных пользователей с расширенным функционалом. Также особое значение имеет защита для администрирования системы по протоколу удаленного доступа — требуется двухфакторная аутентификация для rdp сессий.

Пренебрежение защитой и бесконтрольный доступ администраторов таит в себе огромную информационную опасность. Встречаются компании, в которых сотрудники и вовсе работают под административной учетной записью постоянно. Т.е. риск потери секретных данных возрастает в разы!

Для защиты привилегированного доступа нужно особенное решение. Таким решением является программный комплекс Indeed Privileged Access Manager (Indeed PAM). Ниже перечислены основные задачи,которые решает один из его компонентов — сервер аутентификации:

• необходимость обеспечения мультифакторной аутентификации пользователей перед предоставлением им доступа к другой, привилегированной, учетной записи;
• сохранение в полном секрете от сотрудника информации о пароле доступа к ней;
• реализация двух факторной аутентификации с использованием пароля и OTP (One-Time Password).

Что же делать? Первоначально необходимо провести аудит учетных записей пользователей в Active Directory и ограничить большинство из них стандартными правами. Только после этого обязательного процесса можно приступить к предоставлению учетным записям сотрудников расширенных полномочий. Эту нелегкую работу возьмет на себя другой компонент Indeed PAM — сервер доступа.

Требование аутентификации перед предоставлением сотруднику доступа к целевому ресурсу (серверы, рабочие станции на базе ОС Windows/*nix) или к web-приложениям (консоль администратора ESXi) является неотъемлемой частью работы в ней. Каждый такой сеанс должен начинаться с дополнительной аутентификации администратора. Это даст системе однозначное определение субъекта действий и на основании этих данных сотруднику будет предоставлен доступ к привилегированной учетной записи или отказано в нем.

Стоит особо отметить тот момент, что пользователь использует для доступа учетную запись, пароль от которой ему не известен. Этот пароль сгенерирован случайным образом и скрыт от пользователя.

Если в компании не используют систему управления паролями, тогда многократно повышается риск несанкционированного доступа к корпоративной информации и незаконное использование ее инсайдерами.

Подробнее о решениях Indeed PAM и компонентах этого программного комплекса читайте на сайте.