В каждой компании есть люди, которым доверяют больше других. Они знают, где лежат данные, как устроена сеть, и могут перезапустить систему одним кликом. Это системные администраторы, DevOps-инженеры, разработчики. Их называют привилегированными пользователями, потому что от их действий зависит работа всей инфраструктуры.
Но что произойдет, если эти действия никто не контролирует? Ошибка, небрежность или злой умысел одного человека способны остановить бизнес на дни или даже недели. Такие ситуации происходят чаще, более 60% российских компаний ежемесячно или чаще сталкиваются с угрозами со стороны привилегированных пользователей. Разбираемся в проблеме, в чем дело и что с этим делать.
Почему вопрос стал критическим
Долгое время информационная безопасность концентрировалась на внешних угрозах. Компании ставили антивирусы, DLP и SOC, но оставляли внутренние процессы без внимания. Сегодня слабым звеном становятся сами администраторы и подрядчики с повышенными правами доступа.
Причин несколько. Технологии усложнились, инфраструктура стала распределенной, и контролировать всё вручную невозможно. Вторая причина — наследие ИТ-ландшафта. Много лет компании жили по принципу «работает — не трогай», не замечая старых учетных записей и неактуальных прав. И, наконец, контроль требует подготовки: нужно описать сеть, определить все привилегированные учетные записи, понять, где находятся критичные ресурсы.
К этому добавляется давление со стороны регуляторов: Роскомнадзор, ФСТЭК и закон 152-ФЗ требуют подтверждать защиту персональных данных. Без четкой системы логов и контроля сделать это сложно.
Управление привилегированными правами доступа
РАМ — полный контроль и прозрачность действий привилегированных пользователей.
Администраторы — зона риска
Системный администратор не злоумышленник. Но он обладает правами, которые при отсутствии контроля превращаются в источник угроз. Представьте пилота самолета без черного ящика. Он ведет самолет, на борту сотни пассажиров, а служба управления не видит, что происходит в кабине. Так же и в ИТ-инфраструктуре: если у администратора есть глобальный доступ, но нет записи действий, компания просто надеется, что всё пройдет благополучно
Последствия могут быть разными. Ошибка или случайное удаление данных парализует производство. Репутационные потери наступают, когда в сеть попадают сведения о клиентах или коммерческие секреты. Есть и юридические аспекты — нарушения 152-ФЗ караются штрафами миллионами рублей, а без журналов доступа компания не сможет доказать свою добросовестность.
Самый сложный сценарий — невозможность расследования. Если несколько администраторов работают под одной учетной записью, установить виновного после инцидента невозможно. В таких условиях любое расследование превращается в догадки.
Почему компании игнорируют проблему
Главная причина — привычка. Большинство инфраструктур создавались десятилетия назад, и любое вмешательство кажется опасным. «Работает — не трогай» остается негласным девизом многих ИТ-служб.
Кроме того, компании недооценивают объем подготовки. Чтобы начать контролировать действия администраторов, нужно провести инвентаризацию активов, сегментировать сеть, описать процессы и определить, кто к чему имеет доступ. Это требует времени и ресурсов. Но без этой работы риски будут только расти.
Показателен случай, когда в одной компании сохранилась тестовая учетная запись бывшего сотрудника с простым паролем. Через несколько лет злоумышленники воспользовались ею, чтобы проникнуть в сеть и получить доступ к ключевым базам. Всё это стало возможным лишь потому, что контроль за учетными записями не велся вообще.
Что дают решения класса PAM
Решения класса PAM (Privileged Access Management) позволяют компаниям видеть и контролировать действия привилегированных пользователей. Они создают «прослойку» между человеком и системой: доступ предоставляется только на время выполнения задачи, все действия записываются, а подключение к серверу происходит без раскрытия паролей и с обязательным подтверждением двухфакторной аутентификации. Даже если учетная запись будет скомпрометирована, злоумышленник не сможет подключиться напрямую.
PAM делает работу прозрачной. Руководитель ИТ-отдела видит, кто и зачем вносил изменения на сервере, сколько времени заняла задача. При работе с внешними подрядчиками система фиксирует, действительно ли они выполняли оплаченные часы.
Для самих администраторов PAM — это элемент защиты, нежели контроля. Если учетная запись будет украдена, система не даст злоумышленнику действовать от их имени. А если возникнет спор, запись сессии и текстовые логи докажут, что конкретный сотрудник не виновен.
Если в компании больше десяти человек с расширенными правами доступа, уже стоит задуматься о централизованном контроле. Особенно если:
-
используются общие или тестовые учетные записи;
-
невозможно точно ответить, кто и когда вносил изменения на сервер;
-
инфраструктура распределена между несколькими площадками;
при проверках сложно собрать доказательства корректного доступа.
Даже два из этих признаков — повод действовать.
Не ради контроля
Сопротивление ИТ-команд — обычная реакция. Людям кажется, что их хотят поставить под наблюдение. Но PAM стоит рассматривать как страховку.
Лучше внедрять его поэтапно. Начать с небольшой группы администраторов, объяснить, что система защищает и компанию, и их самих. Сначала включить только базовые функции, например, фиксацию сессий и запрет на выполнение критичных команд. Через несколько недель показать результаты: уменьшение количества инцидентов, прозрачность процессов, меньше споров между ИБ и ИТ. Когда сотрудники видят, что система помогает, а не мешает, переход проходит гораздо спокойнее.
Решения класса PAM помогают восстановить прозрачность, защитить критичные системы и самих специалистов, создать доказательную базу и уверенность в управляемости процессов.
Если вы хотите знать, что происходит в вашей инфраструктуре, начните с простого: проведите аудит, инвентаризацию и настройте базовый учет действий. А чтобы не тратить годы на построение этой системы с нуля, стоит обратиться к профессионалам.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.