Единая экосистема защиты доступа: как применять продукты Компании Индид

Единая экосистема защиты доступа: как применять продукты Компании Индид
Введение

Современные компании используют множество информационных систем – как собственных, так и принадлежащих партнерам или государственным органам. В зависимости от своей должности или роли, каждый сотрудник имеет доступ к определенным сервисам или системам. Все они должны обеспечивать приемлемый уровень защиты, отвечающий требованиям в сфере кибербезопасности. Чтобы получить доступ к тому или иному ресурсу, обычно необходимы отдельные учетные данные – чаще всего логин и пароль.

Проблематика

Чем больше у сотрудников различных учетных записей, особенно защищенных паролем, тем ниже эффективность соблюдения требований безопасности. В таких обстоятельствах огромную роль играет человеческий фактор: чтобы упростить себе работу, некоторые пользователи пытаются «обмануть» системы идентификации и аутентификации. С этой целью они могут намеренно использовать простые или одинаковые пароли для доступа к разным сервисам либо записывать учетные данные на бумажные носители. Бывает и так, что пароли просто забывают.

Обеспечить достаточный уровень безопасности при использовании нескольких учетных записей способны технические специалисты и администраторы, поскольку они обладают необходимыми знаниями и навыками. Но, учитывая человеческий фактор, особую тревогу вызывает как раз то, что работать с десятками или даже сотнями учетных записей от различных ИТ-ресурсов в основном приходится именно привилегированным пользователям, обладающим широкими полномочиями.

Статистика

Описанные проблемы позволяют сделать вывод о том, что для эффективной защиты доступа к ИТ-инфраструктуре необходимо прежде всего обеспечивать безопасную аутентификацию и защищенное управление парольной информацией.
На это указывает и статистика компании Positive Technologies по итогам тестирований на проникновение, проведенных в 2021–2022 гг.
Вот, например, результаты внешнего тестирования:

  • атаки путем подбора учетных данных оказались успешными в 90% организаций, принявших участие в исследовании;
  • завладеть учетными данными сотрудников удалось в 74% организаций;
  • почти все техники и подтехники MITTRE ATT&CK, успешно использованные в ходе тестирования, связаны с учетными записями и паролями.

Внутреннее тестирование дало следующие результаты:
получить учетные данные сотрудников удалось в 85% организаций;

  • подбор учетных данных сработал во всех организациях без исключения;
  • получить максимальные привилегии в домене также удалось в 100% организаций;
  • в 93% организаций скомпрометированные доменные учетные записи были успешно использованы для повышения привилегий;
  • первая пятерка самых действенных техник MITTRE ATT&CK связана с подбором и последующим использованием учетных данных.

Общим итогом исследования стал вывод о том, что доля компаний, подверженных критическим и опасным уязвимостям, связанным с недостатками применения парольных политик, достигает 91%.

Единый доступ для рядовых пользователей

Чтобы обеспечить приемлемый уровень информационной безопасности в тех областях, где работают рядовые сотрудники, можно применить следующие специализированные решения:

  • Протоколы аутентификации, реализующие концепцию единой технологии входа: RADIUS, SAML, OpenID Connect и др. Когда применяется это решение, пользователю достаточно авторизоваться всего один раз. После этого он может подключаться к любому корпоративному сервису, поддерживающему указанные протоколы. Главный недостаток такого подхода заключается в том, что злоумышленник, завладевший одной учетной записью (логином и паролем), может получить доступ ко всем сервисам, доступным по соответствующим протоколам аутентификации.
  • Механизм усиленной (двухфакторной, многофакторной) аутентификации, призванный значительно снизить вероятность утечки учетных данных и защитить процесс авторизации, в частности при удаленном доступе. Существующие технологии усиленной аутентификации позволяют подобрать оптимальные методы защиты для различных категорий сотрудников и способов доступа (физического, локального, удаленного). Основной недостаток такого решения связан с тем, что усиленную аутентификацию поддерживают далеко не все приложения и сервисы, из-за чего у пользователя может оказаться несколько аутентификаторов для разных ресурсов.
  • Менеджеры паролей, позволяющие хранить пароли в защищенном хранилище, к которому пользователь может оперативно получать доступ. При этом поддерживаются генераторы паролей, обеспечивающие соблюдение требований безопасности. Главный недостаток в данном случае заключается в отсутствии инструментов, которые помогли бы автоматизировать обновление паролей и осуществить интеграцию с целевыми системами. Иначе говоря, такое решение просто упрощает работу пользователям, но не устраняет основных проблем, связанных с обращением паролей (к ним относятся, в частности, риск компрометации и отсутствие дополнительной защиты).
  • Решения класса Identity Governance & Administration (IGA), которые позволяют автоматизировать смену и выдачу паролей, а также наладить централизованное управление жизненным циклом учетных записей и их полномочиями. К сожалению, такие решения не обеспечивают защищенного обращения паролей, поскольку те все равно выдаются пользователям для последующей эксплуатации.

Каждое из упомянутых решений способствует преодолению отдельных проблем, но не обеспечивает удобного защищенного доступа и управления паролями в целом. Чтобы автоматизировать процессы и исключить влияние человеческого фактора, необходимо интегрировать указанные решения друг с другом.

Продукты Indeed Access Manager и Indeed Certificate Manager

Компания Индид разработала платформу, которая поддерживает все описанные технологии. В основе этой платформы лежат два продукта – Indeed Access Manager и Indeed Certificate Manager. Подобное комплексное решение обеспечивает не только выполнение задач, описанных выше, но и централизованный контроль цифровых сертификатов и ключевых носителей, то есть поддерживает глубокую интеграцию с компонентами PKI.
Эта платформа внедряется в первую очередь для того, чтобы реализовать аутентификацию на корпоративных ресурсах с помощью единого устройства доступа (ЕУД) и полностью исключить пароли из обращения. Используя Indeed Access Manager вместе с Indeed Certificate Manager, можно эффективно решать следующие задачи:

  • единая аутентификация на всех корпоративных ресурсах с помощью ЕУД, представляющего собой смарт-карту или USB-токен с криптографическим чипом;
  • использование единого устройства со всеми необходимыми сертификатами для внутреннего и внешнего документооборота;
  • исключение всех паролей из обращения и полная автоматизация действий по соблюдению всех парольных политик;
  • оптимизация и автоматизация выдачи средств доступа (аутентификаторов и идентификаторов) пользователям;
  • централизованное управление доступом ко всем корпоративным ИТ-ресурсам;
  • централизованное управление всеми сертификатами и ключевыми носителями;
  • централизованный учет всех цифровых сертификатов, средств криптографической защиты информации (СКЗИ) и аутентификаторов.

Ниже показана упрощенная схема функционирования единой системы защиты доступа (ЕСЗД).

Единая экосистема защиты доступа: как применять продукты Компании Индид

Единый доступ для привилегированных пользователей

Чтобы обеспечить приемлемый уровень информационной безопасности в тех областях, где работают привилегированные пользователи, можно применить специализированные решения (в том числе те, которые были описаны ранее):

  • Менеджеры сессий, создающие единую точку входа для всех привилегированных пользователей. Они проксируют весь административный трафик и фиксируют действия привилегированных пользователей, позволяя осуществлять сквозную аутентификацию по определенным протоколам или на некоторых типах ресурсов. Главный недостаток подобных решений заключается в том, что привилегированные пользователи не обязаны их применять. Поэтому менеджеры сессий не подходят для систем защиты, в которых принято допущение, что администраторы могут являться источниками угроз наравне с другими пользователями.
  • Протоколы аутентификации.
  • Механизм усиленной (двухфакторной, многофакторной) аутентификации.
  • Менеджеры паролей.
  • Решения класса IGA.

И снова упомянутые решения подходят для преодоления отдельных проблем, но не обеспечивают удобного защищенного доступа и управления паролями в целом. Более того, привилегированные пользователи могут легко их скомпрометировать, поскольку в парадигме таких решений они являются доверенными лицами, что не соответствует изначально сформулированным условиям.

Продукт Indeed Privileged Access Manager

Компания Индид разработала специализированное решение – продукт Indeed Privileged Access Manager, который не только обеспечивает удобный защищенный доступ, но и может применяться при том допущении, что привилегированные пользователи являются источниками угроз. Продукт поддерживает различные способы фиксации действий привилегированных пользователей, что позволяет эффективнее расследовать сбои и выявлять инсайдеров.
Indeed PAM внедряется в первую очередь для того, чтобы реализовать аутентификацию на корпоративных ресурсах с помощью ЕУД и полностью исключить пароли из обращения. Он позволяет эффективно решать следующие задачи:

  • единая аутентификация во всех компонентах ИТ-инфраструктуры с помощью ЕУД;
  • исключение всех паролей административных учетных записей из обращения и полная автоматизация действий по соблюдению всех парольных политик;
  • оптимизация и автоматизация действий по предоставлению административного доступа привилегированным пользователям;
  • централизованное управление привилегированным доступом ко всем компонентам ИТ-инфраструктуры;
  • централизованная запись и ограничение действий привилегированных пользователей;
  • централизованный поиск и учет всех административных учетных записей.

Ниже показана упрощенная схема функционирования единой системы защиты привилегированного доступа (ЕСЗПД).

Единая экосистема защиты доступа: как применять продукты Компании Индид

Заключение

Продукты Компании Индид позволяют реализовать два полноценных контура управления доступом, отличающихся высоким уровнем защищенности и эффективности: один контур предназначен для рядовых пользователей, второй – для привилегированных. Описанные продукты позволяют в полной мере соблюдать все требования безопасности.
Одно из ключевых преимуществ решений Компании Индид – универсальность: они не только реализуют концепцию SSO, но и поддерживают «из коробки» различные сценарии усиленной аутентификации, что позволяет нейтрализовать главную уязвимость технологии SSO.
Кроме того, наши решения предоставляют широкий спектр функций для защиты паролей и управления ими. С их помощью можно полностью исключить пароли из обращения среди пользователей и «скрыть» пароли в логике работы.
Продукты Компании Индид поддерживают целый ряд способов аутентификации при помощи ЕУД, в качестве которого могут выступать USB-токены, смарт-карты или мобильные приложения.

Единая экосистема защиты доступа: как применять продукты Компании Индид Единая экосистема защиты доступа: как применять продукты Компании Индид Единая экосистема защиты доступа: как применять продукты Компании Индид

Используя наши решения, вы сможете нейтрализовать основные уязвимости информационных систем и предоставить пользователям удобный механизм доступа к необходимым ресурсам. Кроме того, вы значительно сократите трудозатраты на администрирование системы защиты доступа.

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии