Права администратора – это палка о двух концах: хотя IT-специалисты нуждаются в повышенных правах для выполнения своей работы, эти привилегии могут быть использованы не по назначению самими администраторами, а также злоумышленниками, которые скомпрометировали их аккаунты.
Первый шаг для защиты от этих рисков довольно прост: уменьшить количество учетных записей администраторов, отказав бизнес-пользователям в правах локального администратора. Хотя пользователи часто сопротивляются этой мере, они обычно не нуждаются в правах локального администратора для выполнения своей работы, а изъятие этих прав ограничивает возможности, которые получат злоумышленники, завладев их учетной записью. Например, они не смогут установить кейлоггеры или запустить вредоносное программное обеспечение.
Но остаются еще и другие учетные записи с повышенными привилегиями в IT-среде, которые представляют еще больший риск. Эти учетные записи предоставляют права, которые на самом деле нужны их владельцам для выполнения возложенных на них обязанностей, таких как корректировка конфигурации инфраструктуры, создание учетных записей для новых сотрудников или сброс паролей пользователей. Поэтому организации не могут просто отозвать эти повышенные права, так же как они удаляют права локального администратора; им также нужен механизм предоставления повышенных привилегий, когда это необходимо.
Эффективным подходом для решения этой проблемы являются нулевые постоянные привилегии (zero standing privileges, ZSP). Они заменяют рискованные привилегированные учетные записи временным доступом «just-in-time». В этой статье объясняется, как работают нулевые постоянные привилегии и как они преодолевают проблемы, присущие традиционным подходам к управлению привилегированным доступом (PAM).
Почему классические решения PAM оставляют огромную площадь для атак?
Традиционные решения управления привилегированным доступом предназначены для того, чтобы помочь организациям защитить учетные записи с повышенными правами доступа. Обычно организации имеют десятки или даже сотни таких учетных записей. Традиционные решения PAM часто хранят учетные данные привилегированных учетных записей в хранилище паролей. Уполномоченные лица ежедневно проверяют свои учетные данные, чтобы получить административный доступ к системам, которыми они управляют, например, к определенной базе данных или системе вроде Active Directory.
Однако попытка жестко контролировать привилегированный доступ с помощью традиционных методов PAM, таких, как хранилище паролей, оставляет значительные риски для безопасности. Когда уполномоченные учетные записи существуют постоянно, эти постоянные привилегии всегда уязвимы к злоупотреблениям со стороны их владельцев или со стороны злоумышленников.
Более того, даже при наличии строгого контроля доступа они имеют тенденцию накапливать гораздо больше прав, чем на самом деле необходимо. В результате они становятся легкой добычей для злоупотреблений со стороны их владельцев и поглощения злоумышленниками. Действительно, учетные данные администратора являются главной мишенью злоумышленников, поскольку они дают им возможность получить привилегированный доступ к конфиденциальным данным, системам и другим критически важным ІТ-ресурсам.
Что такое нулевые постоянные привилегии?
Нулевые постоянные привилегии (zero standing privileges) – это современный подход к PAM, который преодолевает недостатки традиционных инструментов. Его цель – свести количество учетных записей с повышенными привилегиями к нулю, насколько это возможно. Вместо этого привилегированный доступ предоставляется только тогда, когда он необходим, точно соответствует текущей работе и автоматически удаляется сразу после ее завершения. Как результат, такая стратегия позволяет уменьшить площадь поверхности атаки и снизить риск утечки данных и перебоев в работе. А благодаря строгому контролю привилегированного доступа инструменты нулевых постоянных привилегий являются ценным компонентом модели кибербезопасности Zero Trust.
Роль кассира в розничном бизнесе является полезной аналогией. Большую часть времени кассовый аппарат остается закрытым. Он открывается только тогда, когда транзакция требует доступа кассира к нему. После завершения транзакции ящик снова автоматически закрывается. Как и в случае с нулевыми постоянными привилегиями, нет постоянной кнопки, которую кассир может нажать, чтобы открыть ящик, когда захочет.
Пример нулевых постоянных привилегий
Чтобы увидеть, как работают нулевые постоянные привилегии приведен пример, что происходит, когда администратору по имени Роман нужно получить привилегированный доступ к конфиденциальному IT-ресурсу, чтобы выполнить назначенную задачу:
- Роман отправляет запрос, в котором подробно описывает задачу и привилегии, необходимые для ее выполнения.
- Когда запрос одобрен, решение создает временную учетную запись с достаточными привилегиями для выполнения задачи.
- Задача выполняется либо интерактивно Романом (например, с помощью RDP к серверу), либо системой от его имени (например, путем перезагрузки сервера).
- Когда задача выполнена, временный идентификатор удаляется автоматически.
Ключевые элементы нулевых постоянных привилегий
Как видно из примера, модель нулевых постоянных привилегий базируется на предоставлении ограниченного доступа на ограниченный промежуток времени. Соответственно, инструменты нулевых постоянных привилегий должны предоставлять как доступ «just-in-time» (JIT), так и достаточный уровень привилегий (наименьшие привилегии).
- Доступ JIT – пользователи не имеют постоянных привилегированных учетных записей. Вместо этого им предоставляется повышенный доступ, когда это необходимо, и только на время, необходимое для выполнения их конкретной задачи.
- Принцип наименьших привилегий – диктует, что каждой учетной записи предоставляются только те права доступа, которые необходимы для выполнения возложенных на нее задач. Решения нулевых постоянных привилегий должны придерживаться этого принципа при предоставлении привилегий JIT и предоставлять пользователю лишь те права доступа, которые ему нужны для работы с конкретными программами, системами или другими ІТ-ресурсами, необходимыми для выполнения поставленной задачи.
Дополнительные ценные возможности нулевых постоянных привилегий
Расширенные решения нулевых постоянных привилегий предлагают дополнительные ценные возможности, такие как:
- Рабочие процессы запросов и утверждения – в большинстве случаев запрос на привилегированный сеанс должен быть рассмотрен соответствующим сотрудником, который может одобрить или отклонить его. Автоматизированные рабочие процессы упрощают этот процесс и поэтому могут быть жизненно важными для принятия и утверждения решений.
- Мониторинг сеансов в реальном времени – непрерывный мониторинг привилегированной активности необходим для выявления и устранения подозрительного поведения, ошибок и других потенциально вредоносных действий в реальном времени.
- Запись и воспроизведение сеансов – возможность просматривать записи сеансов является бесценной для расследований и индивидуальной подотчетности. А наличие полного аудиторского следа привилегированной деятельности может понадобиться во время аудита на соответствие требованиям.
Как Netwrix может помочь
Решения Netwrix, как Netwrix Privilege Secure и Netwrix Password Secure позволяют внедрить лучшие практики PAM и уменьшить риски, связанные с привилегированным доступом. Они идентифицируют постоянные привилегии и заменяют их на доступ, который предоставляется вовремя и в необходимом объеме. Они также обеспечивают автоматизированные рабочие процессы запросов/утверждений и позволяют отслеживать, регистрировать и воспроизводить привилегированные сеансы, чтобы иметь возможность перехватывать угрозы до их эскалации.
