Контроль привилегированных пользователей и администраторов

Как контролировать привилегированных пользователей

Как контролировать привилегированных пользователей

В статье рассказано об аспектах контроля привилегированных пользователей в компании. Как грамотно организовать аутентификацию сотрудников с повышенными правами доступа? Почему пароль как таковой устарел и что использовать вместо него? Каким образом работают системы PUM/PAM? Ответы на эти и другие вопросы в данной статье — первой из небольшого цикла публикаций «Анатомия PUM».

 

 

 

 

  1. Введение
  2. Лучшие практики по аутентификации привилегированных пользователей
  3. Что использовать вместо пароля
  4. Средства управления идентификационной информацией для администраторов
  5. Управление паролями привилегированных пользователей при помощи PUM
  6. Выводы

 

Введение

Привилегированные пользователи — ключ к информационной системе. От их действий зависит работа информационных систем и доступность ресурсов предприятия. Если администраторы совершили ошибку или их учетные данные утекли злоумышленникам или конкурентам, это может подвергнуть риску весь бизнес. А если бизнес зависит не от одной информационной системы, а от целого сложного решения, работоспособность которого обеспечивается несколькими администраторами с различными полномочиями и компетенциями, то проконтролировать их действия становится очень сложно и затратно. Особенно если в компании не внедрена система аутентификации привилегированных пользователей и все администраторы пользуются общим паролем root или admin.

Конечно, если все они кристально честны и абсолютно компетентны, то такая ситуация еще может какое-то время устраивать руководство, но если случится инцидент, то будет непонятно, кого из них увольнять за некомпетентность. Поскольку, если вы наняли нового администратора, который не мог разобраться во взаимосвязях системы и разрушил ее работу, то он будет уверять, что виноваты другие — чтобы сохранить свое место. Поэтому всех привилегированных пользователей необходимо аутентифицировать отдельно и качественно, а также контролировать действия с максимально возможной гранулярностью — вплоть до конкретных команд, операций и кнопок в диалогах.
Дело в том, что для внешних злоумышленников возможность подделаться под администратора и является методом полного захвата информационной системы. Поэтому надежность механизма аутентификации администраторов и прочих привилегированных пользователей является ключом ко всей системе безопасности компании. Требования к аутентификации и авторизации пользователей и администраторов явным образом упомянуты в руководящих документах для построения систем, работающих в области АСУ ТП, ГИС, применяемых для обработки финансовых, персональных и медицинских данных.

Именно о вариантах используемых средств аутентификации и хотелось бы поговорить в данном обзоре.

 

Лучшие практики по аутентификации привилегированных пользователей

Впрочем, вначале нужно понять, какие же существуют требования к процедуре аутентификации привилегированных пользователей. Можно выделить требования стандартов и лучших практик в сфере информационной безопасности. Стандартов по ИБ много — PCI DSS, приказы ФСТЭК России, требования ФСБ, различные правила и регламенты. При этом в большинстве из них есть следующие требования:

  • Один человек одна учетная запись. Требование понятное, поскольку если есть коллективная или ролевая учетная запись, пароль от которой знают несколько человек, то установить точно, кто именно работал под ней и совершил те или иные действия, невозможно. Хорошо, если есть видео с рабочих мест, но возможность удаленного подключения компрометирует и этот способ установления личности, поскольку физически за компьютером может сидеть один человек, а удаленно с ним могут работать сразу несколько пользователей. В связи с этим система защиты должна точно знать пользователя, который скрывается за соответствующим логином.
  • Юридическая значимость. В некоторых случаях для привилегированных пользователей требуется юридически значимая процедура аутентификации, поскольку список пользователей должен передаваться российским регуляторам. В этом случае каждое протоколируемое действие должно быть подписано электронной подписью в соответствии с российским законодательством. Это необходимо для соответствия некоторым антитеррористическим законам, принятым в последнее время. Если с компьютера компании были совершены противоправные действия (например, был поставлен «неправильный» лайк или сделан репост), то руководитель должен предоставить сведения о том, кто именно эти действия совершил. В противном случае он несет ответственность за своего сотрудника.
  • Своевременное удаление. Стандарты безопасности требуют контролировать доступ пользователей к информационным ресурсам. Контроль — это не только разрешение доступа к ресурсам кому положено, но и своевременное удаление прав доступа. Своевременное удаление прав доступа — одна из сложных задач, особенно если приложений много и они доступны из внешней сети. Обычно для своевременного удаления прав используется ролевая модель, каталог пользователей с указанием ролей для каждого и система однократной аутентификации (SSO), которая позволяет удалить права пользователей сразу из всех приложений.
  • Неотказуемость. Некоторые стандарты требуют возможность отработки инцидентов, то есть проведения расследования. Это связано с таким свойством, как неотказуемость действий, которая также связана с юридической значимостью. Все действия привилегированных пользователей должны быть подписаны электронной подписью, сгенерированной на закрытом ключе пользователя — по правилам, это может сделать только конкретный пользователь, имеющий доступ к закрытому ключу. Желательно, чтобы этот ключ хранился на отчуждаемом носителе, тесно связанным с пользователем, например на пластиковой карте для СКУД.

Впрочем, кроме законодательных, есть еще и требования бизнеса, которые позволяют экономить различные ресурсы компании. К ним можно отнести следующее:

  • Удаленная работа. Привилегированным пользователям, таким как системные администраторы, совсем не обязательно находиться все время в офисе. Зачастую они могут совершать свои действия удаленно с помощью терминальных сессий. Для этого необходимо предусмотреть механизмы доступа к информационным ресурсам через интернет из любого места или с заранее определенных адресов. Понятно, что для этого необходимо предусмотреть надежные механизмы аутентификации, которые не позволят посторонним просто перехватить пароль и войти извне от имени администратора.
  • BYOD. В эпоху цифровизации бизнес вынужден держать часть информационных систем постоянно работающими, однако для этого нужно, чтобы и их администраторы также имели возможность в любое время с любого устройства исправить проблему. Поэтому бизнесу приходится допускать удаленное администрирование в том числе и с устройствами самих администраторов — это экономит ресурсы и позволяет сотрудникам работать в любом месте и в любое время. Однако для поддержки BYOD необходимо, чтобы система аутентификации была основана на стандартных технологиях, которые не привязаны к конкретному устройству, платформе или программе. Для упрощения BYOD необходимо пользоваться стандартными протоколами аутентификации, которые используют наиболее популярные средства удаленного администрирования.
  • Облака. Далеко не все ресурсы сейчас находятся внутри периметра. Пример, приведенный во введении статьи, связан с аутентификацией корпоративных пользователей в облачной среде. В случае корпоративного использования облака необходимо, чтобы аутентификация была связана с корпоративными механизмами проверки. Для этого операторы облачных сервисов предлагают использовать протоколы федеративной аутентификации, например SAML, которые позволяют при доступе к облачными сервисам пользоваться теми же аутентификаторами, что при доступе к корпоративной системе.

Все перечисленные требования приходится учитывать при построении корпоративной системы аутентификации, причем для привилегированных пользователей необходимо предусмотреть усиленные механизмы аутентификации. Хотя они стоят несколько дороже, но безопасность ресурсов в данном случае важнее цены отдельного идентификатора. Для полноценного соблюдения всех перечисленных требований лучшими практиками является внедрение системы однократной аутентификации (SSO), корпоративного IDM с ролевой моделью управления правами доступа и поддержкой протоколов федеральной аутентификации, а также специальных устройств для надежной аутентификации привилегированных пользователей.

 

Что использовать вместо пароля

Для привилегированных пользователей использовать пароль нельзя — его слишком легко перехватить или посмотреть с помощью троянской программы даже при пользовании всевозможных защищенных протоколов. Дешевизна этого метода аутентификации компенсируется большим риском компрометации, что неприемлемо для привилегированных пользователей. Поэтому стандарты настоятельно рекомендуют (вплоть до штрафов), чтобы простыми паролями не пользовались хотя бы администраторы ИТ и ИБ. Альтернативы могут быть следующие:

  • Графические пароли. В последнее время начинают использоваться различные графические методы аутентификации, которые одновременно могут выполнять функции защиты от роботов. Графические пароли позволяют с помощью специально сформированных картинок проводить аутентификацию по определенным правилам. Этот метод достаточно дешев и не требует сложных протоколов, но в нем предусмотрены методы защиты от автоматизированного перехвата. Впрочем, запись сеанса аутентификации и знание правил дает возможность злоумышленнику угадать пароль. Кроме того, придать юридическую значимость этому методу затруднительно.
  • Одноразовый пароль. Наиболее дешевой альтернативой простому паролю является одноразовый код, или One Time Password (OTP). Получить такой код можно разными способами: по SMS, с помощью специального устройства или программы. Принцип генерации OTP также может быть разным: по номеру, по времени, по криптоалгоритму или даже полностью случайным образом при рассылке по SMS. У каждого из этих способов и принципов есть свои преимущества и недостатки, но в целом одноразовые пароли вполне соответствуют требованиям закона об электронной подписи как простая ЭП. При должной юридической проработке одноразовые пароли могут быть юридически значимыми, особенно если для наиболее важных операций будет запрашиваться свой отдельный пароль с привязкой к записи об операции.
  • Биометрическая аутентификация. В качестве идентификатора можно использовать биометрические параметры человека, такие как отпечатки пальцев, сетчатка глаза, рисунок вен на руке, распознавание лица и другие. При современном распространении фотообъективов, встроенных в мобильные телефоны, эти технологии позволяют добиться достаточно хороших результатов за приемлемую стоимость. Сканеры отпечатков даже встроены в некоторые смартфоны, а распознавание лиц есть в качестве варианта в Windows 10. Эти технологии позволяют установить связь между устройством и работающим за ним человеком, но, как уже было отмечено выше, при возможностях удаленного доступа не всегда можно гарантировать, что команды, пришедшие с конкретного устройства, инициированы человеком, который за ним сидит.
  • Распознавание поведения. Оценить, тот ли человек работает за компьютером, можно с помощью анализа дополнительной информации о его действиях. Например, стиль работы на клавиатуре уникален для каждого человека, причем он может меняться в зависимости от используемого им устройства — на виртуальной клавиатуре планшета и за клавиатурой ноутбука стиль работы и скорость набора могут отличаться даже у одного человека. Однако этот метод не может быть основном при аутентификации, но может быть использован как дополнительный фактор при наиболее важных операциях. К тому же при администрировании информационных систем действия пользователей являются рутинными операциями, и поэтому поведение пользователей можно проверить на «обычность».
  • Дополнительные устройства. Собственно, для аутентификации можно использовать дополнительные устройства, которые могут генерировать одноразовые пароли, хранить секретные ключи и даже подписывать документы. В частности, сейчас в качестве такого устройства вполне может выступать смартфон, в котором встроен TPM-модуль для хранения ключей шифрования. В некоторых случаях для мобильных устройств можно использовать внешние модули хранения идентификационной информации, взаимодействующие с устройством по Bluetooth. Для подключения к персональному компьютеру можно использовать USB-интерфейс или разъем SD-карты — производители аппаратных идентификаторов выпускают свои продукты в том числе и в таких форматах.

Следует отметить, что перечисленные альтернативы не исключают друг друга, но дополняют. Вполне можно себе представить многоуровневую аутентификацию, в которой графический пароль используется для доступа к базе образов для распознавания лиц, хранящихся в защищенной памяти устройства с одноразовыми паролями. При этом система может учитывать и характерные особенности набора команд от администратора и вовремя пресекать попытки внедрить такие команды со стороны. То есть все альтернативные методы аутентификации можно задействовать в одной системе, чем можно добиться высокой безопасности данной процедуры.

 

Средства управления идентификационной информацией для администраторов

Для администраторов существуют инструменты, которые позволяют автоматизировать управление аутентификацией как для обычных пользователей, так и для привилегированных. Среди таких инструментов:

  • Хранилище паролей. Это, как правило, локальное приложение, которое обеспечивает шифрование всех паролей для всех сервисов пользователя. Доступ к нему можно получить по локальному паролю, а дальше это приложение автоматически подставляет пароли во все сервисы, к которым подключаются пользователи. Это исключает необходимость вводить пароль руками с клавиатуры, то есть его сложно будет перехватить с помощью кейлоггера или в случае защищенного соединения. Пароли, которые хранятся в таком приложении, также сложно будет подобрать — они генерируются случайно, поскольку никогда не вводятся вручную. Но перехват с помощью вредоносной программы возможен, хотя и сложен. Администраторы могут использовать подобные приложения для хранения других паролей, без которых обойтись трудно.
  • SSO, или система однократной идентификации. По своей сути это развитие идеи защищенного хранилища паролей, но в сетевом исполнении. Хранилище располагается на входе в корпоративную сеть, и пользователи, особенно привилегированные, пройдя процедуру аутентификации в ней, дальше уже получают доступ ко всем другим корпоративным ресурсам. При этом пользователю нет необходимости знать пароли от всех систем — они от него вообще скрыты, поэтому в обход системы SSO привилегированный пользователь не может подключиться к конкретному ресурсу напрямую. Кроме того, корпоративная SSO также может поддерживать протоколы федеративной аутентификации для проверки личности пользователей, подключающихся к корпоративным облачными сервисам — такие решения иногда называют Web-SSO. Данные о том, какие корпоративные ресурсы должны быть доступны пользователями, SSO получает либо из каталога пользователей, либо из отдельной системы IDM.
  • IDM, или управление правами доступа. Необходима в большой информационной системе для управления правами доступа с помощью ролей. Для привилегированных пользователей создаются специальные роли, где описаны минимально необходимые им полномочия. Чтобы организовать доступ конкретного пользователя к администрируемому ресурсу, достаточно привязать к нему соответствующую роль. Причем современные IDM позволяют выдавать временные права, предоставлять доступ к ресурсам по расписанию, быстро блокировать доступ пользователей, заподозренных в компрометации, и многое другое.
  • PUM, или контроль привилегированных пользователей. Некоторые системы для контроля привилегированных пользователей включают в себя встроенные механизмы SSO — с ними можно ознакомиться в нашем недавнем сравнении. В частности, они позволяют совместить требования к аутентификации и требования к авторизации, дать возможность использовать привилегированные учетные записи и соотносить их с личными учетными записями исполнителей. Это позволяет сделать PUM необходимым элементом — привилегированные пользователи не могут подключаться напрямую к ресурсам корпоративной сети и их действия будут полностью протоколированы. Однако современные протоколы аутентификации позволяют подключить к PUM и внешние системы SSO и IDM, интегрировав тем самым привилегированных пользователей в общую систему контроля доступа.

Для крупных информационных систем с множеством администраторов, аутсорсеров, руководителей подразделений и других привилегированных пользователей лучше всего использовать все указанные инструменты, однако в конкретных случаях можно обойтись минимумом специализированных решений, например, PUM со встроенной SSO для решения всех задач.

 

Управление паролями привилегированных пользователей при помощи PUM

Система управления паролями привилегированных пользователей позволяет отделить администраторов от контролируемых ими систем. Дело в том, что у администраторов всегда остается возможность создать в обслуживаемой системе дополнительный административный аккаунт и уже с его помощью выполнять несанкционированные действия. Чтобы исключить такую возможность, нужно обеспечить взаимодействие администраторов не напрямую с системами, но через посредника, который уже взаимодействует с целевой системой, но также фиксирует все действия администраторов — это и есть инструменты контроля привилегированных пользователей PUM. Попытки создания дополнительных привилегированных аккаунтов будут как минимум зафиксированы в хранилище PUM и в дальнейшем использованы во время разбирательства.

Однако важно, чтобы авторство всех записываемых команд было определено точно, без возможности отказаться. Для этого необходимо возложить на PUM задачи по надежной аутентификации. Конечно, PUM можно подключить к уже развернутой системе SSO по протоколам федеративной или корпоративной аутентификации, однако для этого нужно иметь соответствующую систему развернутой. При этом для привилегированных пользователей лучше использовать более строгие методы аутентификации, чем для авторизации обычных пользователей. Таким образом, наличие в PUM собственной отдельной системы аутентификации делает ее более надежной и безопасной. 

Для самой PUM важно обеспечить «необходимость» — гарантию того, что пользователи не пытаются подключиться к целевым системам напрямую, в обход контроля. И система аутентификации как раз и обеспечивает подобную гарантию: администраторы просто не знают паролей от административных аккаунтов в целевых системах — эта информация хранится в PUM. В результате, у PUM появляется возможность не только фиксировать действия, но и блокировать доступ для администраторов, если они пытаются выполнить с системой гарантированно опасные действия. Таким образом, для PUM наличие встроенной и интегрированной системы SSO является дополнительной особенностью, удобством и, в конечном счете, конкурентным преимуществом.

 

Выводы

Сейчас нельзя наплевательски относиться к процедуре аутентификации. Для привилегированных пользователей это наиболее важно. К счастью, таких пользователей в организациях мало, поэтому для них можно использовать более сложные и дорогие методы аутентификации вплоть до специальных устройств со встроенными криптографическими функциями, сложными протоколами аутентификации и распознаванием аномального поведения. Для компаний, которые заботятся о защите от внутренних угроз, есть все необходимые компоненты для аутентификации практически любого количества привилегированных пользователей. При этом хорошо было бы не просто аутентифицировать привилегированных пользователей, но и фиксировать действия, поэтому логично сразу внедрять не просто систему SSO с поддержкой строгой аутентификации для администраторов, но полноценный PUM с интегрированным строгим SSO.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru