Хотя внешние атаки на кибербезопасность и вредоносное программное обеспечение попадают в сенсационные заголовки, самая большая угроза безопасности большинства организаций исходит от доверенных инсайдеров с привилегированным доступом к конфиденциальным данным. Отчет Cybersecurity Insider об инсайдерских угрозах за 2020 год показывает: 68% организаций сообщают, что инсайдерские атаки становятся все более частыми и что они чувствуют себя уязвимыми к ним.
Угроза безопасности от постоянных привилегий
Одним из основных принципов безопасности данных является предоставление наименее привилегированного доступа, что уменьшает поверхность риска, позволяя использовать определенные привилегии только для определенных целей. Однако этот принцип легко нарушается постоянными привилегиями – привилегиями учетной записи, которые всегда доступны, даже когда они не нужны, что создает постоянно доступную поверхность для атаки.
Использование учетных записей с постоянными привилегиями очень распространено. В частности, многие организации выдают привилегированные учетные записи всем администраторам, ошибочно полагая, что им нужен неограниченный доступ для эффективного выполнения своей работы. Эти учетные записи часто включают доступ к большему количеству систем, чем требуется, и всегда доступны для использования, что нарушает принцип наименьших привилегий.
Пока существуют учетные записи (и, соответственно, привилегии) – риск безопасности остается.
Что такое разрешения just-in-time?
Модель разрешений just-in-time (JIT) уменьшает поверхность атаки на привилегии только в то время, когда привилегии активно используются, в отличие от круглосуточной поверхности атаки, когда привилегии всегда включены.
Когда пользователю нужно выполнить действие, требующее повышенных привилегий, он заполняет запрос, в котором описывает задачу и ресурсы, необходимые для ее выполнения. Если запрос одобрен, пользователю предоставляется временная идентичность с достаточными привилегиями (JEP) для выполнения задачи. Когда задача выполнена, удостоверение выключается или удаляется.
Однако важно знать, что не все решения с JIT-доступом на самом деле уменьшают площадь поверхности атаки. Некоторые вендоры создают учетные записи, которые предоставляются пользователям по запросу, но после использования они остаются активными со всеми разрешениями, а не отключаются или удаляются. Это часто касается инструментов управления привилегированным доступом (PAM) и хранилищ паролей.
Пока существуют привилегированные учетные записи, все риски постоянных привилегий остаются в системе.
Почему разрешения just-in-time важны для организации?
Надежно внедренные разрешения JIT имеют множество преимуществ:
- Усиление кибербезопасности. Разрешения JIT значительно снижают риск похищения злоумышленниками учетных данных и использования их для доступа к конфиденциальным данным или перемещения через IT-экосистему. Это также снижает риск злоупотребления учетными данными, как злонамеренного, так и неосторожного, со стороны владельцев учетных записей.
- Упрощенное администрирование. Внедрение управления привилегированными учетными записями JIT позволяет администраторам быстро получать доступ к необходимым ресурсам, устраняя при этом все задачи управления, связанные с постоянными учетными записями, например, частую смену паролей.
- Соответствие нормативным требованиям. Реализация принципа наименьших привилегий и установление контроля над привилегированными учетными записями являются требованиями всех основных нормативных актов по комплаенсу. Аудиторы обращают особое внимание на эти сферы, и пробелы могут привести к большим штрафам. Устранение постоянных привилегированных учетных записей поможет избежать аудиторских проверок.
Подходы к предоставлению разрешений на администрирование по принципу just-in-time
Существует несколько различных подходов к предоставлению разрешений по принципу just-in-time. Следует искать тот, который лучше всего балансирует безопасность, риски и операционные цели организации. Также стоит учитывать усилия, которые понадобятся для изменения текущих процедур.
- Временное расширение. Собственной учетной записи пользователя предоставляются дополнительные разрешения на ограниченный период времени. По истечении этого времени дополнительный доступ отзывается.
- Посредничество и удаление доступа. Создается одна или несколько постоянных привилегированных учетных записей, а их учетные данные хранятся в центральном хранилище. Пользователи должны предоставить обоснование при запросе на использование одной из учетных записей для доступа к определенным системам в течение определенного периода времени.
- Нулевые постоянные привилегии. Постоянных привилегированных учетных записей не существует. Вместо этого временные привилегированные учетные записи включаются или создаются на основе конкретных потребностей и уничтожаются или отключаются после использования. Привилегированный доступ должен быть запрошен на время, необходимое для выполнения определенной задачи, которая требует повышенных разрешений для конкретной системы, базы данных или приложения. Если запрос одобрен, доступ предоставляется. После завершения задачи доступ отзывается.
Преимущества фреймворка Zero Trust
В рамках постоянной стратегии управления рисками и безопасности данных организации, нужно работать над тем, чтобы достичь цели нулевых постоянных привилегий. Отказ от постоянного привилегированного доступа в пользу JIT-разрешений поможет гарантировать, что системы и данные будут доступны только тогда, когда на это есть веская причина.
Качественное решение нулевых постоянных привилегий может помочь компании внедрить несколько лучших практик Zero Trust, в том числе и такие:
- Распределение обязанностей. Ни один пользователь или устройство не должно иметь полного доступа ко всем ІТ-источникам.
- Наименее привилегированный доступ. Пользователи и устройства должны иметь доступ только к тем ресурсам, которые им нужны.
- Микросегментация. ІТ-среда должна быть разделена на различные зоны безопасности, которые требуют отдельной авторизации.
- Доступ just-in-time. Пользователи и устройства получают повышенный доступ только тогда, когда это нужно, и только на то время, на которое это нужно.
- Аудит и отслеживание. Ведется журнал каждого запроса на получение расширенного доступа, независимо от того, был ли этот доступ предоставлен и когда он был отменен.
Как Netwrix может помочь
Программное обеспечение Netwrix Privilege Secure и Netwrix Password Secure заменяет постоянные привилегированные учетные записи на привилегированный доступ just-in-time. Администраторам предоставляется ровно столько привилегий, сколько требуется для выполнения конкретной задачи, и только на то время, пока эта задача не будет выполнена. В результате не существует высокопривилегированных учетных записей, которые хакеры могут взломать, а владельцы учетных записей – случайно или намеренно использовать не по назначению.
