Управление доступом — один из самых непростых моментов в любой немаленькой компании. Для того чтобы все было по уму, должна быть налажена совместная работа между ИТ-отделами, подразделениями безопасности, кадровиками и руководителями групп и подразделений. И без аудита прав доступа здесь не обойтись. Он может быть как внутренним, так и внешним. Очевидно, что проблемы лучше выявить и устранить на этапе собственной проверки, чем потом получить по голове от регулятора или доиграться до утечки информации либо другого крупного инцидента.

В этой статье я расскажу о том, какие проблемы можно выявить при аудите прав доступа в компании и как можно упростить себе жизнь с помощью современных IdM/IGA-решений (Identity Management/Identity Governance and Administration).



Нарушения есть? А если найду?


Изначально термин «аудит» применялся в бухгалтерской деятельности и финансовой отчетности. Вообще, история его появления уходит корнями вглубь веков – для особых гурманов, мы завернули ее
сюда
Слово «ауди?т» произошло от латинского audit «слушает» – этот термин родился от публичного заслушивания отчётов о какой-либо деятельности и его одобрения слушателями. Потребность в таких слушаниях возникла очень давно, еще на заре товарно-денежных отношений.

Когда-то в средние века в Европе одни купцы (которые занимались торговлей и продавали свои товары жителям городов и деревень) просили третью сторону проверить бухгалтерские книги других купцов, чтобы засвидетельствовать их добросовестность и определить, можно ли с ними вступать в торговые отношения.



Суть аудитов не слишком изменилась с тех времён. Как говорит нам современный Вики-словарь: «Ауди?торская прове?рка — процедура независимой проверки и оценки отчётности, данных учёта и деятельности организации, а также системы, процесса, проекта или продукта».

Со временем термин проник и в другие сферы, в том числе в ИТ в целом и информационную безопасность в частности; есть специально разработанные стандарты для отделов информационных технологий в любой организации. COBIT – пакет международных и национальных стандартов и руководств в области управления IT и аудита IT-безопасности. Европейский стандарт GDPR, охватывающий широкий спектр вопросов безопасности и защиты данных. Международный стандарт безопасности данных индустрии платежных карт PCI DSS и т. д. Уровень соответствия таким стандартам можно установить с помощью аудита.

Аудиты, как я уже сказала, могут быть внутренними и внешними. Внутренние проводят сами сотрудники компании, чтобы оценить риски, связанные с соблюдением требований, а также определить, следует ли компания внутренним разработанным стандартам. Внешние аудиты — это проверки, которые проводят независимые организации. Отчеты показывают, насколько компания соблюдает государственные, федеральные или отраслевые нормативные акты, правила и стандарты. Заключение внешнего аудитора может содержать рекомендации или предписания, оценку возможных штрафов за несоблюдение требований.

Одна компания может проходить до нескольких десятков аудиторских проверок в год. И бизнес-, и ИТ-, и ИБ-подразделения вынуждены выделять большое количество ресурсов для их прохождения, а потом для устранения выявленных проблем. В идеале необходимо выстроить дальнейшие процессы так, чтобы к следующему аудиту не осталось прежних замечаний.

Зачем нужен аудит прав доступа


Но вернемся наконец от общего к частному. Когда процессы управления доступом организованы эффективно, они, как правило, остаются незаметными для тех, кто в них не участвует. Но, как только что-то идет не так, проблема с управлением доступом может оказаться в центре внимания. Поэтому очень важно проанализировать все составляющие процесса вовремя и сделать выводы, чтобы всегда была возможность улучшить ситуацию.

Аудит и отчетность — это не только про обязаловку и контроль ради контроля. Они все-таки имеют ценность с точки зрения безопасности, поскольку направлены на соответствие требованиям и стандартам в любой информационной среде. Аудит позволяет выявить аномалии, контролировать доступ пользователей и выбирать правильные инструменты для обеспечения бесперебойной работы.

В каждой компании есть бизнес-процессы, направленные на создание продукта или услуги, а также политики (поведенческие модели), направленные на достижение результата. Аудит призван выявить отклонения от действующей политики и помочь принять меры, которые предотвратят негативные последствия. Иными словами, цель аудита — найти и исправить слабые места, прежде чем кто-то их сможет использовать.

В крупной компании, где множество информационных систем и постоянно меняющаяся среда, проведение аудитов — довольно сложная задача. В ручном режиме сделать это практически невозможно, потому что нужно проанализировать огромные объемы информации.

Какие проблемы можно выявить с помощью аудита


Аудит прав доступа вскрывает проблемы как очевидные, так и не очень. Помимо истории с комплаенсом и регуляторами, в тех или иных условиях обнаруженные слабые места могут угрожать информационной безопасности и бизнес-процессам в компании. Пройдемся по списку.

Незаблокированные учетные записи


Ручное управление доступом и редкий аудит приводят к избыточному доступу к данным. Одна из частых причин возникновения инцидентов ИБ — незаблокированные вовремя «учетки» сотрудников, покинувших компанию. Объяснений может быть несколько. Например, проходит слишком много времени от момента увольнения до получения админом указания о блокировке. В некоторых компаниях до сих пор используют обходной лист: пока он гуляет по всем подразделениям, проходит около недели и больше. В других компаниях оформить заявку на прекращение доступа должен руководитель, но пока он выделит на это время, пока заявка отстоит в очереди в ИТ-отдел… Иногда учетные записи так и остаются активными, о них просто забывают. А всплывает это только во время аудита или — еще хуже — при расследовании инцидента ИБ.

Накопление прав


При изменении штатной позиции сотрудник, перешедший на новую должность, запрашивает новые права в информационной системе, а старые права не удаляются, их по-прежнему можно использовать. Бывает, когда сотруднику дали повышенные привилегии на время, например, на период отпуска руководителя, а удалить забыли. Это может приводить к печальным последствиям — от утечки важной конфиденциальной информации до злонамеренных действий с использованием повышенных и вовремя не удаленных прав. По статистике, бывшие сотрудники и смена подразделений — это ключевые зоны риска. Иногда дело заканчивается даже уголовными делами: например, в 2015 году, как сообщил портал Banki.ru, бывший сотрудник страховой компании «АльфаСтрахование» получил два года условно за то, что воспользовался доступом к корпоративной системе после увольнения, скачал базу данных заключенных договоров и передал ее посреднику для перепродажи.

Бесхозные учетные записи


Это те учетки, которые дают доступ к корпоративным системам, службам и приложениям, но не имеют реального владельца. Кроме учетных записей уволенных сотрудников сюда относятся технические, тестовые и другие учетки, которые не закреплены за конкретным сотрудником. Если проверки проводятся нерегулярно, в крупных компаниях выявляются сотни подобных аккаунтов. И вот почему это плохо:

  • Они дают доступ к почтовым ящикам, к учетным данным приложений, к конфиденциальной информации, и бывшие владельцы учетных записей или злоумышленники могут добраться до ценных ресурсов и нанести вред компании.
  • Иногда они функционируют, когда это уже не требуется, и потребляют ресурсы или пропускную способность. Такая проблема особенно часто возникает с техническими учетными записями определенных служб. Несколько приложений могут продолжать использовать бесхозную учетную запись из-за ошибки или неправильной конфигурации. Например, когда из-под технической учётки регулярно стартует задание: выгружает из центральной системы на клиентский сервер большой массив данных, которые когда-то были актуальны для обработки и аналитики, но со временем эту актуальность потеряли или были заменены на другие инструменты. Но задание так и продолжает молотить ежедневно, съедая ценные ресурсы и перегружая систему.
  • Бесхозная учетная запись, когда под ней долгое время никто не работает, выпадает из поля зрения действующей политики и требований безопасности. Требования не применяются к ней и не обновляются. Например, у такой учетки может оказаться слабый или скомпрометированный пароль.
  • Бесхозные учетки часто используются совместно несколькими сотрудниками. Это повышает риск несанкционированного доступа, а идентифицировать того, кто нанес вред компании, порой просто невозможно.

Слабые пароли и их ненадежное хранение


По данным свежего исследования «Ростелеком-Солар», около 80% компаний не соблюдают базовых правил парольной защиты. При проведении тестирования специалистам удалось получить администраторские права практически в каждой компании, что открывает слишком широкие возможности для злоумышленника.

Когда в компании используется множество приложений и для каждого из них — свой набор учетных данных и свои требования к паролям, процесс авторизации может быть длительным и не очень удобным для сотрудников. Поэтому, они часто записывают пароли и хранят в доступном месте, например, на приклеенных к рабочему месту стикерах, в блокнотах, на листке под клавиатурой и т. п., либо используют одинаковый пароль для входа в разные системы. Последнее приводит к тому, что все учетные данные сотрудника становятся уязвимыми, т. к. злоумышленнику достаточно узнать один пароль, чтобы получить доступ ко всем приложениям. Ну, и отдельная боль любого безопасника — простые пароли, которые злоумышленник может подобрать меньше чем за минуту. Свежий пример — взлом систем шведской компании Gunnebo AB, крупного производителя банковских сейфов и хранилищ. По данным издания SiliconAngle, причиной стал слабый пароль у одного из высокопоставленных сотрудников компании. В даркнет утекли схемы банковских систем защиты — лакомый кусок для грабителей.

Небезопасное хранение данных на сетевых ресурсах


Каждая организация за годы эксплуатации систем генерирует огромные объемы информации, которые с течением времени только увеличиваются. По оценкам аналитической компании Gartner, как минимум 80% корпоративных данных являются неструктурированными. 7 из 10 пользователей имеют доступ к данным, которого у них быть не должно. Аудиторские проверки во многих компаниях выявляют следующее: конфиденциальная информация, которая хранится на файловых серверах, в облачных хранилищах, на корпоративных порталах, в общих ящиках электронной почты и т. д., не защищена и доступна множеству сотрудников. А это может привести к серьезным инцидентам ИБ: личные данные клиентов и сотрудников, коммерческие предложения, закрытые исследования и прочие секретные сведения могут быть украдены. Кроме того, в некоторых случаях хранение данных должно соответствовать законодательству (например, персональные данные) или стандартам (например, PCI DSS).

Несанкционированный доступ


Часто аудиторы просят продемонстрировать, что пользователю были предоставлены та или иная учетная запись и права в информационной системе на основании утвержденной политики. То есть необходимо показать, что это была автоматизированная процедура или запрос в системе самообслуживания, кем были подтверждены/согласованы такие права, были ли учтены правила разделения обязанностей SoD, какими средствами запрос был исполнен и др. По сути нужна вся сохраненная история по всем этапам таких процессов. Подобные вопросы могут поставить в тупик сотрудников ИТ- и ИБ-подразделений, потому что нередко такую информацию очень сложно найти либо она вообще не сохраняется.

Используем решения класса IdM/IGA


Самое очевидное, что мы можем сделать со сбоящими в ручном режиме процессами, — автоматизировать их. Контролировать процессы управления доступом, обеспечивать соблюдение политик и процедур позволяет система класса IdM или IGA. Она получает кадровую информацию о работниках компании и автоматически управляет их учетными записями и правами во всех подключенных системах на основании действующей политики. Давайте снова пройдемся по списку проблем, которые можно выявить при аудите, и я расскажу, как их решает автоматизированная система управления правами доступа.

Проблема с незаблокированными учетками решается автоматической блокировкой. Она происходит моментально, как только увольнение зафиксировано в отделе кадров. Кстати, для ряда компаний, особенно финансовых, это одно из требований регуляторов, например, в части соблюдения стандарта PSI DSS (немедленный отзыв доступа для уволенных работников и необходимость деактивации неактивных пользовательских аккаунтов по истечении 90 дней).



При смене штатной позиции сотрудника решения класса IdM/IGA автоматически активируют процедуру пересмотра прав и смены полномочий. В случае с предоставлением временных прав система предупреждает о том, что срок временного доступа скоро истечет, а потом в нужный момент блокирует его. Так мы решаем вопрос с накоплением прав.

Если говорить о бесхозных учетках, то эту проблему система решает их автоматическим выявлением и возможностью назначить ответственного за ту или иную учетную запись. А при его увольнении решение класса IGA может сигнализировать о необходимости блокировки или смены ответственного.

Проблема простых паролей и их ненадежного хранения также может быть решена с помощью системы управления доступом. Она включает функциональные модули, которые определяют, как сотрудники могут использовать программное обеспечение. Такие системы способны полностью автоматизировать создание идентификаторов на крупном предприятии и ввести централизованную парольную политику для всех подключенных систем или контролировать выполнение отдельных политик для конкретных приложений.



Подключая дополнительные модули, мы можем вообще отказаться от кучи паролей, на радость сотрудникам. Например, служба аутентификации SSO (Single Sign-On) позволяет использовать один набор учетных данных для входа в несколько приложений. Система сама автоматически подставит сложные и безопасные пароли в нужное время и будет хранить их в секрете даже от самого пользователя. Если применять альтернативные средства аутентификации (смарт-карты, биометрию и т. п.), можно полностью отказаться от использования паролей самим сотрудником. А безопасность при этом не пострадает.

Решение класса IdM/IGA в комплексе с системами класса DAG (Data Access Governance) помогут разобраться с небезопасным хранением больших объемов неструктурированных данных, точнее, упорядочат сами данные и контроль за ними. Комплексные решения позволят выявить и категоризировать данные, обнаружить конфиденциальные и наиболее ценные для компании активы, а автоматизированные средства позволят проводить регулярный пересмотр прав доступа к ресурсам и отзыв прав у тех, кто в таком доступе не нуждается. Благодаря постоянному мониторингу пользователей, получающих доступ к критичным данным, мы сможем на ранней стадии выявлять угрозы, обнаруживать утечки и реагировать на них.

Автоматизированная система IdM/IGA способна решить проблему с несанкционированным доступом, внеся определенный вклад в приведение корпоративных систем в соответствие требованиям регуляторов. Сразу скажу, это не панацея, но одна из возможных составляющих решения задачи. Как это может помочь:

Во-первых, можно в любой момент получить исчерпывающую информацию о правах сотрудников или партнеров в информационных системах компании, включая всю историю изменений и ответственных за это специалистов.

Во-вторых, решения класса IdM/IGA позволяют безопасно разграничивать доступ на основании использования ролевой модели. То есть базовый доступ для сотрудников каждого отдела, управления, департамента и т. п. предоставляется на основании заранее определенных ролей. С помощью автоматизированной системы можно поддерживать и легко модифицировать ролевую модель при изменениях структуры компании или функционала сотрудника. Регулярные пересмотры прав доступа позволяют избежать накопления излишних прав и поддерживать их в актуальном состоянии. С помощью матрицы конфликтов полномочий (ролей) SoD (см. скриншот ниже) можно настроить различные сценарии реагирования на совмещение критичных прав.



Кроме того, система автоматически фиксирует отклонения от утвержденной модели доступа (предоставление прав в обход централизованной системы управления доступом), регистрирует нарушение и предлагает принять меры. Все заявки через систему самообслуживания проходят согласование по заранее утвержденным маршрутам, и система хранит всю историю по предоставлению и изменению прав.

Выводы


Автоматизация — это возможность избавиться от ручных процессов, которые мешают следовать стратегии по управлению доступом. Подразделениям безопасности будет проще обрабатывать постоянно растущие и меняющиеся наборы данных и вовремя реагировать на угрозы безопасности по мере их возникновения.

Когда мы переводим процедуры управления доступом в автоматический режим, повышается уровень соответствия внутренним политикам организации и требованиям регуляторов. А затраты на поддержание этого уровня снижаются. И тогда никакие аудиторские проверки будут не страшны.

Автор: Людмила Севастьянова, менеджер по продвижению Solar inRights