Аудит прав доступа: проблемы и решения
Несанкционированный доступ является одной из самых распространённых угроз и может быть осуществлён множеством способов. Иногда достаточно даже штатного функционала системы и ряда распространённых ошибок в администрировании инструментов контроля логического доступа. Чтобы выявить такие ошибки, в системе управления доступом проводится аудит прав доступа.
Общий подход к выдаче и аннулированию прав пользователей всегда занимает важное место в информационной безопасности, ведь о какой защите от злоумышленников может идти речь, если даже рядовые сотрудники без усилий могут получить закрытую для них информацию? Система управления доступом, если она не полностью автоматизирована, должна быть четко регламентирована. Запросы, согласования, выдача прав доступа в обязательном порядке регистрируются. Реальные выданные разрешения необходимо регулярно проверять и сравнивать с эталонными значениями.
Однако даже самые выверенные подходы к управлению правами субъектов доступа нельзя назвать совершенными. Поэтому важно проводить внутренние и внешние аудиты, призванные выявить как отдельные несоответствия, так и принципиальные недочёты в самой системе.
Далее рассмотрим наиболее частые ошибки, связанные с выдачей прав доступа.
Лишние учётные записи и права
Во время развёртывания инфраструктуры, при приёме новых сотрудников на работу и в ходе работы отдела ИТ постоянно создаётся и блокируется множество учётных записей.
Среди них часто попадаются тестовые и технические учётные записи, созданные для решения сиюминутной задачи, давно не используемые, но и не заблокированные по халатности или забывчивости администраторов. Такие записи почти никогда не имеют надёжных паролей и наделены исключительными правами, а значит сами по себе являются уязвимым элементом системы.
Также болезненным вопросом являются своевременно не заблокированные учётные записи уволенных или переведённых на новые позиции работников. Часто они используются самими сотрудниками для совершения противоправных действий или передаются злоумышленникам.
Третья распространённая проблема – «оставленные» бывшим работникам права. В ходе изменений в составе предоставленных прав пользователей иногда остаются доступы, которые больше не нужны сотруднику для исполнения рабочих обязанностей, но, по каким-то причинам, не аннулированы. Подобные права, как и не заблокированные учётные записи, легко могут быть использованы как внутренним нарушителем, так и хакером.
Слабая парольная политика
Не стоит недооценивать важность парольной защиты. Всегда следует разъяснять сотрудникам и отражать во внутренних документах требования к паролям, если, конечно, нет возможности задать параметры автоматической проверки при смене пароля.
В этом разрезе чаще всего встречаются такие ошибки, как редкая смена паролей, недостаточная их длина, отсутствие требований к качеству, ненадёжное хранение, одинаковые пароли для разных сервисов.
Отсутствие регламента
Зачастую процесс выдачи прав и список необходимых доступов для конкретных должностей нигде не отражены, а результаты изменения прав доступа к ресурсам либо не ведутся вовсе, либо доступ к ним серьёзно затруднён. Однако данная информация важна, она значительно облегчает как расследование инцидентов и внутренние проверки, так и рутинную работу по администрированию учётных записей.
Как решить эти проблемы? Аудит управления учетными записями
Все эти недочёты, хоть они и значительны и серьёзно подрывают возможности защиты информации, можно исправить, контролировать их отсутствие, а впоследствии и избежать вовсе. Задачи управления доступом эффективно решаются штатными средствами классических операционных систем, а также реализованы в подавляющем большинстве программных продуктов, где возникает такая необходимость. Рекомендуется проводить аудит управления учетными записями, то есть каждой операции, производимой в рамках системы управления учетными записями (изменение паролей или имени пользователя учетной записи, количества пользователей и т.п.).
Однако, для того чтобы качественно применять такие инструменты необходим достаточный уровень подготовки среди администраторов, а также поддержание дисциплины среди рядовых пользователей. При использовании такого подхода, важно качественное документирование процесса, ведение отчётов на бумаге или в отдельной системе, а также регулярные внутренние проверки соответствия реальных выданных прав их эталонным значениям.
Естественно, существуют и средства автоматизации управления доступом. Такой класс решений на рынке существует давно и носит названия IdM (Identity Management) или IGA(Identity Governance & Administration). Такие системы обычно автоматизируют целый ряд процессов, среди которых:
- Управление учётными записями;
- Централизованная парольная политика и управление доступом;
- Сбор логов, статистики и возможность создания отчётов на их основе;
- Отзыв прав по истечении срока предоставления;
- Реализация ролевой модели доступа и правил, запрещающих совмещение определённых ролей (например, операциониста и контролера).
Подобные системы зачастую с избытком реализуют весь необходимый организации функционал. Конечно, стоимость подобного ПО велика, а внедрение будет сопряжено с некоторыми трудностями, однако вряд ли существует более последовательный и эффективный подход к управлению доступом, чем использование IdM/IGA-систем.
Таким образом, аудит прав доступа является важным мероприятием, выявляющим серьёзные недочёты в системе управления доступом. Его регулярное проведение поможет поддерживать приемлемый уровень защиты информации. Большую часть ошибок и проблем можно избежать применением специализированных программных решений, которые также облегчат проведение проверок.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram