Журнал "Information Security/ Информационная безопасность" #3, 2025

Практически все компании используют ИТ-инструменты, а работоспособность цифровой инфраструктуры имеет для них критическое значение. По этой при- чине защита информационных систем становится жизненно важным условием существования бизнеса. Смысл любой системы безопасности заключается, прежде всего, в предотвра- щении ущерба. Обычно мы боремся со злоумышленниками, но большинство инцидентов так или иначе связано с ошибками в действиях собственных сотрудников. Исходя из этого, разумным подходом является создание ИТ-среды с безопасными траекториями поведения, минимизирующими вероятность такой ошибки. Внедрение инструментов безопасности часто накладывает ограничения или усложняет работу ИТ-специалистов, что тормозит бизнес-процессы и увеличи- вает время устранения ИТ-сбоев. Поэто- му современные производители систем безопасности стараются не только решить вопросы безопасности, но и оптимизировать работу персонала за счет автоматизации процессов. Таким образом, безопасность может быть не только надежной, но и эффективной. Производители стремятся создать удобные и безопасные траектории пове- дений в различных сферах. Хорошим примером могут быть системы быстрых электронных платежей, которые предо- ставляют высокий уровень безопасности и освобождают от необходимости запол- нения множества форм, а то и похода в банк. Современные PAM-системы создают удобные и безопасные траектории для привилегированных пользователей. При этом под привилегированным пользо- вателем может пониматься не только ИТ-персонал, но и бизнес-пользователи, имеющие доступ к критическим бизнес- функциям. От безопасности действий этих пользователей зависит функцио- нирование и прибыльность компании. Принципы безопасных траекторий реализации привилегий В основе безопасных траекторий реали- зации привилегий лежат пять принципов. 1. Надежная идентификация пользо- вателей. 2. Предоставление привилегий в мини- мальном объеме на ограниченное время для выполнения конкретных согласо- ванных задач. 3. Использование только доверенных инструментов управления. 4. Предоставление доступа в защи- щенной среде. 5. Мониторинг и аудит действий поль- зователей. Надежная идентификация пользователей Большинство инцидентов кибербезо- пасности связаны с компрометацией учетных данных, особенно в унаследо- ванных системах и старых интерфейсах управления. Эти недостатки исправляет использование многофакторной аутен- тификации (MFA). MFA – это метод безопасности, тре- бующий от пользователей предоставле- ния не менее двух факторов аутентифи- кации для доступа к системе: например, биометрию, одноразовые пароли или аппаратные токены. Чаще всего вторым фактором служит одноразовый пароль. Многофакторная аутентификация значительно затрудняет несанкциони- рованный доступ злоумышленников в систему, что сделало ее стандартным компонентом системы информационной безопасности практически любой ком- пании. Но ее применение не всегда воз- можно осуществить в старых системах. Использование многофакторной аутен- тификации при организации сеанса при- вилегированного доступа с помощью PAM-системы устраняет эту проблему. Привилегии в минимальном объеме на ограниченное время для конкретных согласованных задач Предоставление привилегий на ограниченное время в минимальном объеме предполагает, что для доступа к управлению ресурсами и данным сотруд- ник использует свою стандартную домен- ную учетную запись, у которой нет посто- янных привилегий. Привилегии предо- ставляются только на время выполнения рабочих задач и сразу же отзываются, как только задачи завершены. Для выполнения своих рабочих задач ИТ-персоналу нужен удаленный доступ к ИТ-ресурсам (серверам, сетевым устройствам, СУБД, базам данных, CRM, ERP, HR-системам, 1С и т.п.). Подключе- ние к ним требует ввода учетных данных. Для экономии времени ИТ-персонал часто использует один и тот же пароль/ключ, что входит в противоречие с парольными политиками компании, или самостоятельно установленные аген- ты для хранения ключей (теневое ИТ), что тоже может быть небезопасно. Биз- нес-персонал, от которого требуют регу- лярной смены пароля, часто использует единый принцип формирования паролей, привязанный, например, к месяцу или системе. Обычной практикой является использование единого пароля для досту- па к нескольким ресурсам. Это значит, что компрометация даже одной учетной записи может привести не только к про- никновению в ИТ-инфраструктуру ком- пании, но и к горизонтальному и верти- кальному распространению по ней. При использовании PAM-системы про- исходит автоматическая проверка: раз- решен ли сотруднику доступ, например, к СУБД или маршрутизатору в целом и в данное время в частности; запускается сеанс удаленного доступа к ресурсу. При этом данные привилегированной учетной записи пользователю неизвестны, они подставляются автоматически, что сни- мает с него задачи по управлению жиз- ненным циклом привилегированных учет- ных записей. Таким образом происходит снижение объема постоянных привиле- гий, что уменьшает поверхность атаки. 46 • СПЕЦПРОЕКТ Создание безопасной траектории реализации привилегий шибки привилегированных пользователей становятся заметной причиной ИБ-инцидентов. Современные PAM-системы пред- лагают эффективный подход – безопасные и удобные траек- тории доступа, которые не мешают работе, но исключают риски. Рассмотрим ключевые принципы такой модели и прак- тические шаги к ее внедрению. О Андрей Акинин, генеральный директор Web Control Фото: Innostage