Журнал "Information Security/ Информационная безопасность" #4, 2025

Кроме того, важно фиксировать ответ- ственность: кто именно из сотрудников компании запросил доступ для подряд- чика и какие задачи он должен был выполнить. Это не только повышает прозрачность, но и дисциплинирует обе стороны. В случае инцидента будет ясно, кто отвечал за процесс и какие меры контроля были включены. Причем следование этой рекоменда- ции защищает не только от преднаме- ренных злоупотреблений, но и от слу- чайных ошибок. Внешние специалисты, работающие по временным учеткам с ограниченными правами, создают мень- ше рисков нанести ущерб инфраструк- туре компании. А заказчик получает инструмент, позволяющий сохранять контроль над своей средой, независимо от количества и текучести подрядчиков. Конечно, этот пункт сложно реализо- вать вручную – только PAM может сде- лать это с должной степенью четкости и достоверности. Шаг 6. Проводите инвентаризацию и чистку доступов Но даже при внедрении PAM и дисцип- лины доступа со временем в любой ком- пании накапливается множество забытых учетных записей. Это могут быть тестовые учетки, созданные для разового проекта, временные доступы подрядчиков, учетные записи сотрудников, которые давно уво- лились или переведены в другой отдел. Часто такие записи остаются активными годами, создавая скрытые риски: зло- умышленнику достаточно найти один такой висящий аккаунт, чтобы обойти все остальные меры безопасности. Поэтому необходима регулярная инвентаризация всех учетных записей. Минимум раз в квартал нужно сверять списки сотрудников HR с каталогами пользователей, проверять учетные запи- си подрядчиков и сервисные учетки. Любая запись, у которой нет ответствен- ного владельца или которая давно не использовалась, должна либо блокиро- ваться, либо удаляться. Для упрощения задачи можно внедрить автоматические отчеты: система сама выявляет учетные записи без активности за последние 30–60 дней и выдает их на проверку. Еще один важный элемент чистки – пересмотр ролей и групп доступа. Часто сотрудники со временем обрастают лиш- ними правами, которые им уже не нужны. Ревизия помогает убрать избыточные права и снизить риски случайных дей- ствий или злоупотреблений. В идеале каждая учетная запись должна иметь только актуальные и минимально необходимые права. Периодическая инвентаризация не только снижает риски, но и упрощает администрирование. Чем меньше мусор- ных учеток в системе, тем быстрее рабо- тает аудит, тем проще управлять поли- тиками и тем меньше нагрузка на адми- нистраторов. Шаг 7. Контролируйте сервисные учетки и API-ключи Если с человеческими учетными запи- сями компании постепенно учатся рабо- тать, то сервисные учетки и API-ключи до сих пор остаются в тени. Именно они часто становятся самым уязвимым зве- ном в инфраструктуре малого и среднего бизнеса. Такие доступы создаются для интеграций между системами, для рабо- ты бэкапов, скриптов автоматизации и пр. Обычно у них расширенные права: доступ к базам, конфигурациям, серви- сам. И самое главное, у них нет вла- дельца, который бы отвечал за их акту- альность и безопасность. Риски здесь очевидны. Забытый API- ключ может годами давать полный доступ к системе, даже если человек, который его сгенерировал, давно уво- лился. Сервисная учетка, созданная на время, превращается в удобный канал для злоумышленника, особенно если ее пароль прост и никогда не менялся. И самое неприятное: такие учетки редко фиксируются в IAM или PAM, поэтому их невозможно отследить стандартными средствами управления доступом. Что можно сделать в небольших ком- паниях? Во-первых, провести инвента- ризацию: собрать все известные API- ключи и сервисные учетки, сопоставить их с системами и владельцами. Во- вторых, ввести правило: любая новая интеграция или сервисная учетная запись должна иметь паспорт: описа- ние, зачем создана, кто владелец и когда должна быть пересмотрена. В-третьих, настроить автоматическое отключение или уведомления о вися- щих ключах: если API по ключу не использовался, скажем, месяц, значит, его нужно отозвать. И, конечно, важно минимизировать полномочия. Большинство сервисных учеток и ключей можно ограничить толь- ко нужными действиями: чтением, а не записью; доступом к отдельному сег- менту, а не ко всей базе. Даже в усло- виях ограниченных ресурсов это снижает риски утечки и делает инфраструктуру более управляемой. Шаг 8. Начинайте с малого и двигайтесь постепенно Внедрение системы управления досту- пами необязательно начинать масштабно и с охватом всей инфраструктуры сразу. Эффективнее стартовать с малого – взять под контроль 2–3 ключевых узла, например сервер с критичными данными, бухгалтерскую систему или CRM, где хранится информация о клиентах. Это позволяет не перегружать команду и сразу получить ощутимый эффект – повысить уровень безопасности там, где риски особенно высоки. Далее можно постепенно расширить охват: подключить новые ресурсы, настроить более детальную политику доступа, ввести роли, уровни и допол- нительные механизмы контроля. Такой подход сделает процесс управляемым и гибким, позволяет адаптироваться под реальные задачи компании. Глав- ное – понимать, что защита привилеги- рованных доступов – это не разовая закупка и установка системы, а живой процесс, который развивается вместе с бизнесом. Информационная безопас- ность – это вложение в развитие биз- неса. Если вы пока не до конца пони- маете, как работает этот инструмент, лучше внедрять его постепенно и поэтапно. Вместо заключения Малый бизнес особенно уязвим: одна утечка или сбой в работе критичного сервиса, и компания может не восста- новиться. Особенно опасна потеря конт- роля над доступом к инфраструктуре, ведь тогда под угрозой оказываются все внутренние процессы. Поэтому полагаться только на доверие между сотрудниками – недостаточно. Вопрос не в недоверии, а в защите от ошибок, забывчивости и внешних угроз. Привилегированные доступы – это не только про безопасность, но и про ста- бильность: кто бы ни уволился, кто бы что ни забыл, компания всегда должна оставаться под контролем. Сегодня управление доступами уже не считается привилегией больших кор- пораций. Это базовая необходимость для любого бизнеса, в том числе и для небольшого, будь то сеть АЗС, аптеки или пункты выдачи онлайн-заказов. Там, где каждый сотрудник выполняет несколько ролей, а сбой может обер- нуться потерей клиентов и репутации, продуманная и грамотно выстроенная система доступа – это не избыточная мера, а способ сохранить устойчивость и продолжать расти. l • 47 IDM www.itsec.ru На правах рекламы