Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
на предприятии
Построение СОИБ
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Сетевая безопасность
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Анти-DDoS
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
для непрерывного анализа защищенности приложений
Apsafe
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
MFA
Многофакторная аутентификация
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
Разоблачение привилегий: как PAM помогает выявить скрытые риски
31 октября 2024
В мае 2024 года разлетелась новость о том, что российский инженер, используя свои навыки и личный ноутбук, смог одним нажатием кнопки отключить электричество для жителей почти 40 населенных пунктов. Этот инцидент вызвал широкий резонанс и стал предметом обсуждения в социальных сетях и СМИ на тему безопасности энергетических систем и ответственности за подобные действия.
С подобным инцидентом информационной безопасности может столкнуться любая организация, где есть сотрудники, обладающие привилегиями для работы в информационных системах (далее — ИС).
В этой статье расскажем о решении класса PAM (Privilege Access Management). А также рассмотрим, кто такие привилегированные пользователи и какую ключевую роль они играют в управлении доступом к критически важным системам и данным. Понимание особенностей этой роли и рисков, связанных с действиями привилегированных пользователей, является основой для разработки эффективных стратегий управления доступом и защиты информации.
В мае 2024 года разлетелась новость о том, что российский инженер, используя свои навыки и личный ноутбук, смог одним нажатием кнопки отключить электричество для жителей почти 40 населенных пунктов. Этот инцидент вызвал широкий резонанс и стал предметом обсуждения в социальных сетях и СМИ на тему безопасности энергетических систем и ответственности за подобные действия.
С подобным инцидентом информационной безопасности может столкнуться любая организация, где есть сотрудники, обладающие привилегиями для работы в информационных системах (далее — ИС).
В этой статье расскажем о решении класса PAM (Privilege Access Management). А также рассмотрим, кто такие привилегированные пользователи и какую ключевую роль они играют в управлении доступом к критически важным системам и данным. Понимание особенностей этой роли и рисков, связанных с действиями привилегированных пользователей, является основой для разработки эффективных стратегий управления доступом и защиты информации.
Кто такие привилегированные пользователи
Под привилегиями понимают учетные записи пользователей с административными правами или дополнительными полномочиями для работы в ИС.
Привилегированный пользователь – пользователь, использующий привилегии в работе с корпоративными ИС, включая их установку, настройку и обслуживание.
К таким пользователям относятся:
Привилегированный пользователь – пользователь, использующий привилегии в работе с корпоративными ИС, включая их установку, настройку и обслуживание.
К таким пользователям относятся:
- системные администраторы различных ИС
- сотрудники службы безопасности
- аутсорсинговые работники и аудиторы
- сотрудники финансово-юридического департамента и бухгалтерии
- руководители организаций (в некоторых случаях).
Риски использования привилегий
Отсутствие централизованного контроля действий привилегированных пользователей рано или поздно приводит к различным инцидентам, ведь привилегированные пользователи — это прежде всего люди.
У этих пользователей есть знание, где что лежит и ключи ко всем «замкам», а также понимание как все эти «замки» и «сигнализации» работают.
Это создает возможность не только украсть, изменить или уничтожить важную информацию, но и эффективно скрывать следы своих деяний.
Обойтись без таких пользователей в рабочем процессе не получается. При этом учетные записи с административными правами очень часто являются обезличенными.
При расследовании инцидента видно, что базу данных удалил пользователь «Admin» без привязки к конкретному пользователю. Администраторов на предприятии работает пять человек, и у всех есть доступ к этой учетной записи, поэтому выяснить, кто из них действительно причастен, довольно непросто.
Отличительной чертой в крупных организациях являются служебные расширенные права для администраторов. В некоторых случаях это встроенные учетные записи, а в других — учетные записи, созданные для автоматизации процессов при помощи скриптов. Чаще всего эти учетные записи остаются незаблокированными и со стандартными паролями, или эти пароли настроили один раз и не обновляли за все время работы.
В итоге привилегированных учетных записей много и обычно никто не знает, сколько именно этих записей и какими именно возможностями они обладают, не говоря уже о том, чтобы контролировать выполнение парольной политики в отношении таких записей.
У этих пользователей есть знание, где что лежит и ключи ко всем «замкам», а также понимание как все эти «замки» и «сигнализации» работают.
Это создает возможность не только украсть, изменить или уничтожить важную информацию, но и эффективно скрывать следы своих деяний.
Обойтись без таких пользователей в рабочем процессе не получается. При этом учетные записи с административными правами очень часто являются обезличенными.
При расследовании инцидента видно, что базу данных удалил пользователь «Admin» без привязки к конкретному пользователю. Администраторов на предприятии работает пять человек, и у всех есть доступ к этой учетной записи, поэтому выяснить, кто из них действительно причастен, довольно непросто.
Отличительной чертой в крупных организациях являются служебные расширенные права для администраторов. В некоторых случаях это встроенные учетные записи, а в других — учетные записи, созданные для автоматизации процессов при помощи скриптов. Чаще всего эти учетные записи остаются незаблокированными и со стандартными паролями, или эти пароли настроили один раз и не обновляли за все время работы.
В итоге привилегированных учетных записей много и обычно никто не знает, сколько именно этих записей и какими именно возможностями они обладают, не говоря уже о том, чтобы контролировать выполнение парольной политики в отношении таких записей.
Какие варианты действий можно применить?
Альтернативы системам PAM
- Встроенные средства контроля, часто обладают ограниченными функциями и низкой адаптивностью к быстро меняющимся требованиям бизнеса.
- Инструменты контроля персонала и системы предотвращения утечек данных (DLP) как правило ограничены контролем RDP-сессий с помощью агента на АРМ или сервере и не поддерживают перехват сессий на шлюзе и иные специальные протоколы привилегированного доступа (SSH, Telnet и другие).
- Перекрестный контроль, основанный на взаимодействии сотрудников службы безопасности, подвержен человеческим ошибкам и становится неэффективным в больших командах. Еще один из методов, видеонаблюдение, обеспечивает лишь фиксацию инцидентов и вызывает вопросы о конфиденциальности, требуя значительных ресурсов для мониторинга и хранения записей.
Поэтому для комплексного решения вопроса в дополнение к предыдущим средствам необходимо применять специализированные коммерческие системы контроля, такие как Privileged Access Management (PAM).
Возможности PAM: почему это важно?
Системы PAM – централизованные решения, которые позволяют управлять привилегированным доступом сотрудников к целевым ресурсам организации. Это означает, что сотрудники службы информационной безопасности могут контролировать, кто и как получает доступ к критически важной информации и системам, тем самым снижая риски инцидентов, в том числе риски утечек данных и несанкционированного доступа.
Основные функции систем PAM
- Централизованное управление доступом
Одним из главных преимуществ PAM является возможность создания единой точки управления привилегированными учетными записями.
Это упрощает процесс администрирования и позволяет более эффективно контролировать доступ к ресурсам.
- Обнаружение и контроль использования привилегированных учетных записей
Системы PAM обеспечивают мониторинг активности пользователей с привилегированными правами, что позволяет выявлять подозрительные действия и предотвращать потенциальные угрозы.
- Сокращение количества привилегированных учетных записей
Системы PAM помогают минимизировать количество привилегированных учетных записей, что в свою очередь уменьшает поверхность атаки и снижает риски безопасности. Это достигается путем назначения прав доступа только тем сотрудникам, которым они действительно необходимы для выполнения их задач.
- Многофакторная аутентификация
Применение многофакторной аутентификации при доступе к привилегированным учетным записям значительно повышает уровень безопасности. Даже если учетные данные будут скомпрометированы, дополнительные факторы аутентификации затруднят доступ злоумышленникам.
- Аудит действий пользователей
Системы PAM позволяют проводить аудит действий привилегированных пользователей, а также реализовывать механизмы расследования инцидентов. Аудит действий важен для понимания того, как используется доступ и какие действия могут привести к утечкам данных.
- Управление паролями
PAM включает в себя функции управления паролями, что позволяет автоматизировать процессы их создания, хранения и обновления.
- Реализация сложных политик безопасности
Системы PAM позволяют настраивать сложные политики безопасности, а интеграция с другими средствами информационной безопасности, такими как SIEM-системы, обеспечивает комплексный подход к защите данных и ресурсов.
- Соответствие требованиям регуляторов
Наконец, использование PAM помогает организациям выполнять требования регулирующих органов в области информационной безопасности, что особенно важно для компаний, работающих в данных отраслях.
Где можно применить PAM
- Единая точка удаленного доступа — внедрение управляемого привилегированного доступа к корпоративным ресурсам
- Контролируемый доступ подрядчиков — создание временного и безопасного доступа для внештатных пользователей в ИТ-системы компании, получение данных для оценки качества работы
- Защита доступа сегмента АСУ ТП и КИИ — обеспечение защищенного и контролируемого доступа к критической инфраструктуре
- Мониторинг и расследование — повышение эффективности реагирования благодаря фиксации действий привилегированных пользователей для расследования инцидентов
- Выявление аномалий для SOC и ЦОД — выявление и обеспечение качественной обработки поступающих событий, а также повышение скорости реагирования на инциденты ИБ.
Внедрение PAM-системы позволяет предотвратить потенциально опасные действия и архивировать записи сессий доступа к важным компонентам системы.
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных