Авторка: Юлія Гриць, Netwrix Brand Manager
Дуже багато компаній, особливо enterprise із власним «ресурсом» розробки, пишуть собі власні продукти.
Від кастомного вебпорталу, тестового середовища й аж до операційних систем чи продуктів власного кіберзахисту. Комусь це допомагає економити бюджет, комусь закриває питання вразливостей. Або ж складно підібрати готовий софт під свій внутрішній складний процес. І це хороший варіант, якщо він реально потрібен.
Але (куди ж без «але») кастомні системи часто випадають із контуру безпеки. Чому?
Бо не для цього мама квітоньку ростила: власний софт завжди найкращий. 😊
Якщо серйозно, то зазвичай такий софт розробляють для конкретних, точкових бізнес-задач і не завжди його інтегрують з корпоративними системами кіберзахисту або управління доступами.
У результаті креди доступів (облікові записи) до них можуть зберігатися у:
- файлах Excel
- корпоративних чатах
- документації
- персональних password-manager’ах співробітників
Відповідно, зберігаються без будь-якого централізованого контролю, навіть якщо для основної інфраструктури вже використовується Privileged Access Management (надалі PAM).
І це створює серйозні ризики для безпеки.
Основні ризики неконтрольованого зберігання паролів
- відсутність контролю доступу
- неможливо точно визначити, хто має доступ до критичних облікових записів
- неможливість швидко відкликати доступ
- після звільнення співробітника або зміни ролі часто складно оперативно змінити всі паролі
- відсутність аудиту, бо паролі використовуються безконтрольно
І саме при таких умовах формується відсутність відповідальності та підзвітності.
Централізоване сховище, як підхід до управління доступами
Краще, звісно, PAM з ефемерними акаунтами, але це не завжди варіант. Тож одним із традиційно ефективних підходів є використання централізованого сховища облікових даних (credential vault).
Таке рішення дозволяє:
- зберігати облікові дані у зашифрованому сховищі
- керувати доступом до них через ролі та політики
- вести аудит використання кредів
- централізовано оновлювати паролі
Цей підхід широко використовується в тих же самих класичних системах PAM для захисту облікових даних.
Переваги централізованого керування доступами
- Використання централізованого сховища дозволяє підвищити контроль над критичними доступами.
- Зменшення ризиків витоку облікових даних, адже паролі більше не передаються у відкритому вигляді між співробітниками.
- Повний аудит доступів, бо всі дії з обліковими записами можуть фіксуватися і використовуватися для внутрішнього контролю або аудиту.
Що пропонуємо як рішення?
Netwrix Password Secure дозволяє централізовано керувати обліковими даними до різних систем, включно з внутрішніми або самописними додатками.
Рішення працює як захищене сховище і підтримує доступ, наприклад, до:
- RDP-систем
- SSH-серверів
- вебдодатків
та більше…
Завдяки такому рішенню можна гарантувати єдиний підхід до управління доступами як для стандартної інфраструктури, так і для кастомних систем.
Плюси рішення:
- Можливість призначати дозволи за ролями, щоб користувачі мали доступ тільки до того, що їм потрібно.
- Розгортати можна на власних серверах, у хмарі або в гібридному режимі.
- Програма захищає паролі за допомогою наскрізного шифрування та багатофакторної автентифікації. Кожен обліковий запис шифрується індивідуально, а такі функції, як політики паролів, робочі процеси затвердження та запис сесій, мінімізують ризик порушення безпеки паролів або їх зловживання.
- Кожен доступ до пароля, його оновлення або спільне використання відстежується. Це допомагає відповідати вимогам GDPR, HIPAA, NIS2 та інших нормативних актів. Легке формування звітів допоможе пройти аудит.
Висновок
Внутрішні та самописні системи часто залишаються поза стандартними механізмами управління доступами. Проте саме вони можуть містити критично важливі бізнес-дані.
Централізоване управління обліковими даними за допомогою рішень на кшталт Netwrix Password Secure дозволяє включити такі системи до єдиного контуру безпеки та значно зменшити ризики компрометації доступів.
Якщо цікаво, як оптимізувати політику паролів та їх складність, пропонуємо прочитати цей допис з нашої бібліотеки.
