Поиск

www.samag.ru

Web

0 товаров , сумма 0 руб.

	Журнал "Системный администратор"
	Журнал «БИТ»
	Подписка
	Архив номеров
	Где купить
	Наука и технологии
	Авторам
	Рекламодателям
	Контакты

Опросы

Статьи

День сисадмина

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

День сисадмина

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

Виртуализация

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

Книжная полка

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

Книжная полка

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

Разбор полетов

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

Принципы проектирования

Dependency Inversion Principle. Принцип инверсии зависимостей в разработке

Мы подошли к последнему принципу проектирования приложений из серии SOLID – Dependency

Рынок труда

Вакансия: Администратор 1С

Администратор 1С – это специалист, который необходим любой организации, где установлены программы

Книжная полка

Книги для профессионалов, студентов и пользователей

Книги издательства «БХВ» вышли книги для тех, кто хочет овладеть самыми востребованными

Принципы проектирования

Interface Segregation Principle. Принцип разделения интерфейсов в проектировании приложений

Эта статья из серии «SOLID» посвящена четвертому принципу проектирования приложений – Interface

1001 и 1 книга

19.03.2018г.

Комментарии: 0

Потоковая обработка данных

19.03.2018г.

Комментарии: 0

Релевантный поиск с использованием Elasticsearch и Solr

19.03.2018г.

Комментарии: 0

Конкурентное программирование на SCALA

19.03.2018г.

Комментарии: 0

Машинное обучение с использованием библиотеки Н2О

12.03.2018г.

Комментарии: 0

Особенности киберпреступлений в России: инструменты нападения и защита информации

12.03.2018г.

Комментарии: 0

Глубокое обучение с точки зрения практика

12.03.2018г.

Комментарии: 0

Изучаем pandas

12.03.2018г.

Комментарии: 0

Программирование на языке Rust (Цветное издание)

19.12.2017г.

Комментарии: 0

Глубокое обучение

19.12.2017г.

Комментарии: 0

Анализ социальных медиа на Python

Друзья сайта

Боремся с лишними правами

Архив номеров / 2014 / Выпуск №11 (144) / Боремся с лишними правами

Рубрика: Безопасность / Мониторинг

АНДРЕЙ БИРЮКОВ, ЗАО «НИП Информзащита», системный архитектор, mex_inet@rambler.ru

Боремся с лишними правами

Доступ к тому или иному ресурсу должны иметь только те сотрудники, которые с ним работают. Но очень часто бывает так, что доступ к ресурсу есть, но он пользователю при работе не нужен. Поговорим о том, как найти и удалить подобные «дыры» в системе безопасности

Современная ИТ-инфраструктура, особенно в крупных организациях, – сложная распределенная совокупностью различных систем, сервисов и приложений. Порядок доступа к ресурсам определяется правами доступа, процесс выдачи которых в каждой организации может быть различен – от устной просьбы до документально оформленной заявки.

Логично, что доступ к тому или иному ресурсу должны иметь только те сотрудники, которые с ним работают. Но есть одно обстоятельство, на которое обычно не обращают внимания, – «расползание привилегий». Эта проблема кажется на первый взгляд неочевидной, однако она присутствует практически в любой крупной организации. Например, сотрудник, работающий с папкой проекта, ушел в отпуск, на время его отсутствия права были предоставлены замещающему его специалисту. По возвращении из отпуска сотрудника доступ у его заместителя не отобрали. Другой пример – это «перемещение» сотрудника, как «по горизонтали», так и «по вертикали», внутри организации.

Обычно в таких ситуациях «перемещающийся» заботится лишь о том, чтобы получить доступ к новым ресурсам, а у администраторов, как правило, хватает другой работы, чтобы постоянно отслеживать, кому какой доступ необходимо закрыть.

В результате возникает ситуация, когда пользователь имеет доступ туда, куда не должен иметь. Это представляет серьезную опасность в случае компрометации аккаунта пользователя. Например, в случае заражения вредоносным кодом, таким как вирус-шифровальщик, который пытается зашифровать файлы на всех доступных данной учетной записи дисках.

Принцип действия подобных вирусов прост: попав на рабочие станции сотрудников, он идентифицирует файловые ресурсы, к которым имеет доступ, и в фоновом режиме запускает процесс шифрования корпоративных данных, хранящихся на файловых серверах организации. Злоумышленники используют стойкие криптоалгоритмы, поэтому процесс шифрования необратим.

А если учетные данные попадают к хакеру, то он сможет получить доступ к большему объему информации, чем если бы скомпрометированный пользователь имел только нужные права. Кроме того, при составлении различных моделей угроз предполагается, что аккаунт имеет только те права, которые ему необходимы для выполнения своих рабочих обязанностей, не учитывая при этом «расползание привилегий».

Таким образом, возникает необходимость в средствах эффективного аудита прав пользователей в целях контроля и своевременного отключения избыточных прав.

Еще одной важной проблемой, связанной с аудитом прав доступа, является тот факт, что необходимо при расследовании инцидентов выявлять, кто к каким ресурсам обращался. А еще лучше, когда система самостоятельно ведет мониторинг и обнаруживает подозрительные активности пользователей. Например, если пользователь за час открыл несколько сотен файлов, причем за все предыдущее время за ним такой активности не наблюдалось. Это возможный признак того, что данный субъект хочет переписать себе какие-либо конфиденциальные данные или же на его машине «поселилось» троянское ПО, с помощью которого злоумышленник похищает корпоративную информацию.

Штатные инструменты файловых ресурсов и СУБД не всегда позволяют вести полноценный аудит действий пользователей, определять места хранения критичных и конфиденциальных данных, наглядно отображать права пользователей, указывать на избыточность прав доступа и так далее.

Как правило, для решения этих проблем необходимо или самостоятельно разрабатывать или дописывать сценарии и процедуры для баз данных, или же использовать стороннее программное обеспечение.

Темы самостоятельной разработки приложений для подобных задач я в этой статье касаться не буду, так как она слишком специфична. Поговорим о том, какие именно решения предлагаются на рынке.

Статью целиком читайте в журнале «Системный администратор», №11 за 2014 г. на страницах 40-43.

PDF-версию данного номера можно приобрести в нашем магазине.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru