Бизнес ожидает обеспечения киберустойчивости предприятия в условиях неминуемой компрометации, т.е. способности инфраструктуры сохранять свою функциональность в условиях недружественного или деструктивного воздействия (хакером, инсайдером или скомпрометированной смежной ИТ-системой). Для достижения этой цели разработан набор концепций обеспечения безопасности ИТ, который называется zero trust. Фундаментом киберустойчивости может стать обеспечение безопасного управления критически важными для компании активами, т.е. современная система управления привилегированным доступом (PAM). Для того, чтобы внедрение PAM было успешным и всеобъемлющим, необходимо сделать 3 шага.
Шаг 1. Инвентаризация ИТ-активов
Идентифицируем наиболее ценные для бизнеса процессы, информацию, действия и определяем целевые критерии киберустойчивости. Определяем и документируем все активы компании: системы, серверы, приложения, сервисы. При инвентаризации важно указать физическое расположение активов, владельцев и связи с устройствами, от которых зависит их работоспособность: серверами, сетевыми устройствами и т.д. Затем приоритизируем их по принципу влияния их на бизнес-процессы компании и важности их работы для существования бизнеса.
Шаг 2. Инвентаризация привилегий
Для всех активов компании выявляем все привилегированные учетные записи, которые используются или могут быть использованы для управления или внесения изменений в конфигурацию этих активов. После чего формируем понимание того, кто имеет привилегированный доступ к активу, как назначается доступ и как обеспечивается жизненный цикл доступа (ротация паролей, отзыв привилегий, включение и отключение учетных записей). Описываем роли всех привилегированных пользователей, привязываем при необходимости к ним соответствующие учетные записи, активы и процессы управления.
Шаг 3. Внедряем PAM
Реализуем описанные на первых 2 шагах модели и процессы управления привилегированным доступом. После чего убираем привилегии из общего поля доступа (основной поверхности атаки в сети компании), обеспечиваем их максимальную защиту и предоставляем привилегированным пользователям по необходимости.
Для обеспечения работоспособности актива критически важно создать условия, когда доступ к его управлению выдается уполномоченным людям строго на определенное время и только для выполнения определенной задачи. Такой доступ называется «минимальные привилегии точно в срок» или «least privilege just in time», но при этом важно предоставлять доступ максимально комфортно для сотрудников и главное оперативно, чтобы у них не было соблазна искать пути в обход PAM для выполнения своих бизнес-функций.
Существует несколько способов внедрить подход «least privilege just in time» организационными мерами, ряд из них даже не требует специализированных инструментов:
- отключение совместно используемых учетных записей и подключение их непосредственно перед использованием;
- создание временного членства в группах привилегированных пользователей на контролируемый срок с автоматическим удалением;
- создание эфемерной учетной записи с одноразовым доступом для конкретной задачи, устройства или пользователя;
- создание и удаление привилегированной учетной записи на определенный период для выполнения определенной задачи.
Эти меры приводят к некоторому повышению защищенности и киберустойчивости компании, однако требуют существенных человеческих и временных затрат.
Чтобы избежать дополнительных затрат, необходим инструментарий, который умеет автоматизировать данный процесс. Наилучшим кандидатом для реализации этого является система управления привилегированным доступом (PAM). Современные системы PAM включают средства автоматизации процессов «just in time», которые могут быть использованы не только для доступа администраторов, но и бизнес-пользователей с расширенными привилегиями.
Современный PAM позволяет:
- гарантировать отсутствие постоянных привилегий в информационном пространстве компании,
- автоматизировать процессы обеспечения доступа «just in time»,
- производить массовую ротацию паролей привилегированных учетных записей по расписанию, после сеанса или по событию (инциденту безопасности),
- фиксировать действия пользователей в сеансах,
- передавать информацию о сеансах в SIEM/UEBA/SOAR.
Неконтролируемый привилегированный доступ, особенно удаленный, несет с собой особый риск нарушения работы компании. И первым шагом к снижению таких рисков является грамотное всеобъемлющее использование PAM-инструментов в ИТ-периметре компании.