Боремся с лишними правами

 АНДРЕЙ БИРЮКОВ, ЗАО «НИП Информзащита», системный архитектор, mex_inet@rambler.ru

Боремся с лишними правами

Доступ к тому или иному ресурсу должны иметь только те сотрудники, которые с ним работают. Но очень часто бывает так, что доступ к ресурсу есть, но он пользователю при работе не нужен. Поговорим о том, как найти и удалить подобные «дыры» в системе безопасности

Современная ИТ-инфраструктура, особенно в крупных организациях, – сложная распределенная совокупностью различных систем, сервисов и приложений. Порядок доступа к ресурсам определяется правами доступа, процесс выдачи которых в каждой организации может быть различен – от устной просьбы до документально оформленной заявки.

Логично, что доступ к тому или иному ресурсу должны иметь только те сотрудники, которые с ним работают. Но есть одно обстоятельство, на которое обычно не обращают внимания, – «расползание привилегий». Эта проблема кажется на первый взгляд неочевидной, однако она присутствует практически в любой крупной организации. Например, сотрудник, работающий с папкой проекта, ушел в отпуск, на время его отсутствия права были предоставлены замещающему его специалисту. По возвращении из отпуска сотрудника доступ у его заместителя не отобрали. Другой пример – это «перемещение» сотрудника, как «по горизонтали», так и «по вертикали», внутри организации.

Обычно в таких ситуациях «перемещающийся» заботится лишь о том, чтобы получить доступ к новым ресурсам, а у администраторов, как правило, хватает другой работы, чтобы постоянно отслеживать, кому какой доступ необходимо закрыть.

В результате возникает ситуация, когда пользователь имеет доступ туда, куда не должен иметь. Это представляет серьезную опасность в случае компрометации аккаунта пользователя. Например, в случае заражения вредоносным кодом, таким как вирус-шифровальщик, который пытается зашифровать файлы на всех доступных данной учетной записи дисках.

Принцип действия подобных вирусов прост: попав на рабочие станции сотрудников, он идентифицирует файловые ресурсы, к которым имеет доступ, и в фоновом режиме запускает процесс шифрования корпоративных данных, хранящихся на файловых серверах организации. Злоумышленники используют стойкие криптоалгоритмы, поэтому процесс шифрования необратим.

А если учетные данные попадают к хакеру, то он сможет получить доступ к большему объему информации, чем если бы скомпрометированный пользователь имел только нужные права. Кроме того, при составлении различных моделей угроз предполагается, что аккаунт имеет только те права, которые ему необходимы для выполнения своих рабочих обязанностей, не учитывая при этом «расползание привилегий».

Таким образом, возникает необходимость в средствах эффективного аудита прав пользователей в целях контроля и своевременного отключения избыточных прав.

Еще одной важной проблемой, связанной с аудитом прав доступа, является тот факт, что необходимо при расследовании инцидентов выявлять, кто к каким ресурсам обращался. А еще лучше, когда система самостоятельно ведет мониторинг и обнаруживает подозрительные активности пользователей. Например, если пользователь за час открыл несколько сотен файлов, причем за все предыдущее время за ним такой активности не наблюдалось. Это возможный признак того, что данный субъект хочет переписать себе какие-либо конфиденциальные данные или же на его машине «поселилось» троянское ПО, с помощью которого злоумышленник похищает корпоративную информацию.

Штатные инструменты файловых ресурсов и СУБД не всегда позволяют вести полноценный аудит действий пользователей, определять места хранения критичных и конфиденциальных данных, наглядно отображать права пользователей, указывать на избыточность прав доступа и так далее.

Как правило, для решения этих проблем необходимо или самостоятельно разрабатывать или дописывать сценарии и процедуры для баз данных, или же использовать стороннее программное обеспечение.

Темы самостоятельной разработки приложений для подобных задач я в этой статье касаться не буду, так как она слишком специфична. Поговорим о том, какие именно решения предлагаются на рынке.

Статью целиком читайте в журнале «Системный администратор», №11 за 2014 г. на страницах 40-43.

PDF-версию данного номера можно приобрести в нашем магазине.

Комментарии могут оставлять только зарегистрированные пользователи