Артемий ПономарёвВыстраивание процесса управления доступом
Ядро методологииАртемий ПономарёвАртемий ПономарёвУправление логическим доступом — важный аспект информационной безопасности. Неслучайно в перечень первоочередных шагов кибертрансформации (см. статью ) входит определение наличия у пользователей целевых систем избыточных прав доступа (привилегий). Необходимо контролировать получаемый пользователями, администраторами и информационными системами доступ к IT-сервисам и IT-ресурсам организации. Выделение привилегий требует согласования и регистрации. Ограничение прав доступа является также важной частью харденинга IT-инфраструктуры (см. статью «Выстраивание процесса харденинга в организации») и реинжиниринга бизнес-процессов с целью повышения защищенности целевых систем (см. статью «Реинжиниринг бизнес-процессов»).
Основные проблемы, возникающие при управлении доступом:
Указанные проблемы приводят к быстрой деградации защищенности организации: размывание прав доступа, неопределенность прав отдельных работников приводят к существенному снижению защищенности целевых систем. В этой ситуации даже обычная фишинговая рассылка может стать причиной реализации недопустимого события.
Управление доступом начинается с момента приема работника в организацию и заканчивается отзывом прав доступа работника перед его увольнением. Информация о приеме работника в организацию, его переводах и увольнении должна поступать в процесс управления доступом из соответствующих HR-процессов. Если назначение прав доступа не автоматизировано, то соответствующие задачи по управлению доступом должны назначаться администратору через процесс управления обращениями. Если процесс автоматизирован и для должности заранее определены роли или права доступа, то они будут назначены автоматически сразу после получения информации о приеме работника.
Все права доступа, роли и интеграции разрабатываются в рамках архитектурного проектирования информационных систем и должны быть согласованы функцией ИБ.
В случае наступления инцидента ИБ или подозрения на инцидент ИБ доступ учетной записи работника может быть отозван или учетная запись может быть заблокирована до завершения расследования инцидента ИБ.
Изменение установленного в информационной системе механизма управления доступом должно проходить через процесс управления изменениями и должно быть согласовано с функцией ИБ. Подробнее о контроле изменений можно почитать в статье .
Информационные системы могут использовать различные механизмы управления доступом. Обычно используются дискреционный, мандатный или ролевой механизм управления доступом. Кроме того, специализированные системы управления доступом могут использовать механизм управления доступом на основе атрибутов. В этом последнем случае доступ пользователю предоставляется в зависимости от атрибутов субъекта и объекта доступа. Атрибутами могут выступать различные факторы, такие как местное время, географическое положение пользователя, запрашиваемые права доступа и прочее (подробнее с механизмом управления доступом на основе атрибутов можно ознакомится в NIST SP 800-162).
Управление доступом на основе атрибутов (attribute based access control, ABAC) — метод управления доступом, при котором запросы субъекта на совершение операции над объектом одобряются или отклоняются на основании атрибутов субъекта и назначенных атрибутов объекта, условий инфраструктуры и набора политик, которые описываются для этих атрибутов и условий.
Ролевой механизм управления доступом рекомендуется использовать всем организациями с числом пользователей более 500. ABAC является сложным для внедрения и рекомендуется для организаций со сложными требованиями к бизнес-логике предоставления доступа. Иными словами, если деятельность организации предъявляет сложные требования по предоставлению доступа в зависимости от множества условий, то их удобнее учитывать через ABAC (например, для исполнения бизнес-требования «только главный бухгалтер филиала может одобрить выплату премии работнику, причем только в рабочее время и в размере, не превышающем 50% оклада»).
Некоторые высокорисковые операции могут быть проведены только с участием нескольких пользователей со специфичными правами доступа (ролями). В случае проведения оплаты, например, один работник создает платежное поручение, а другой подтверждает проведение платежа. Назначение таких ролей одному работнику вызывает конфликт полномочий. Для предотвращения конфликта полномочий современные системы управления доступом могут иметь механизм разделения обязанностей (segregation of duty, SoD). Простой механизм разделения обязанностей может быть реализован в виде SoD-матрицы, показывающей, какие роли из перечня всех ролей не могут быть одновременно назначены одному и тому же работнику.
В зависимости от степени зрелости организации для управления доступом пользователей могут использоваться следующие информационные системы:
Преимущества и недостатки различных информационных систем приведены в таблице.
Для организаций, применяющих сервисный подход к управлению информационными технологиями, можно использовать следующую схему управления доступом в информационных системах:
Схема управления доступом может быть сложной и включать помимо владельца объекта доступа, например, следующих участников: руководителя пользователя (для подтверждения производственной необходимости получения доступа), IT-специалиста (для подтверждения наличия лицензии или подтверждения достаточной производительности сервиса) и других должностных лиц.
Пользователь, заходя в ITSM, видит, какие объекты доступа он может заказать и с какими правами.
На начальном этапе необходимые объекты могут отсутствовать. Пользователь в этом случае создает заявку о необходимости получения доступа в системе регистрации обращений пользователей. Такие заявки проходят как обычное обращение, которое маршрутизируется в изменение ИТ. В рамках процесса изменения создаются необходимые объекты доступа и назначаются права доступа владельцу. Далее получение доступа пользователем согласовывается в установленном порядке.
В случае низкой зрелости процесса управления доступом операции согласования доступа обычно проходят через функцию ИБ. При использовании специализированных систем управления доступом необходимость согласования заявок на получение доступа пользователем со стороны функции ИБ отпадает. Достаточно только согласования владельцев объекта доступа. В таком случае задачами функции ИБ являются:
В организациях помимо пользовательских учетных записей используются административные учетные записи. Административные учетные записи обычно обладают широкими полномочиями и могут иметь доступ к множеству информационных систем. Доступом к административным учетным записям также необходимо управлять.
Поскольку несанкционированное использование административных учетных записей приводит к появлению большого количества векторов атак на IT-инфраструктуру организации, то для отслеживания, обнаружения и предотвращения несанкционированного доступа используются специализированные решения управления привилегированным доступом (privileged access management, PAM). Архитектура PAM-систем обычно не позволяет получить административный доступ к целевой системе напрямую, что усложняет атаку злоумышленнику, так как для получения административных прав доступа ему необходимо атаковать непосредственно PAM-систему. В PAM-системах уровень журналирования действий выше (вплоть до записи сессии пользователя), что позволяет отслеживать действия привилегированных учетных записей. Для быстрого реагирования на инциденты ИБ, связанные с административными учетными записями, необходимо подключить PAM-систему к средствам мониторинга. События безопасности от PAM-систем должны получать более высокий приоритет и обрабатываться в первую очередь.
Взаимодействие информационных систем между собой может происходить различными способами. В статье «Реинжиниринг бизнес-процессов» показан пример разделения целевых систем по бизнес-процессам, где итоговая схема вводит дополнительную информационную систему — интеграционную шину. В рамках такой ИС можно управлять доступом между информационными системами, ограничивая объем данных, которые передаются между ними. В данном разделе рассмотрим прямое взаимодействие между ИС по интерфейсу прикладного программирования (application programming interface, API).
Получение доступа к ИС через API должно управляться аналогично получению доступа пользователем с теми или иными правами доступа. Наиболее популярными технологиями API сейчас являются REST API и GraphQL.
Разграничение доступа к API гарантирует, что только авторизованные пользователи или приложения могут взаимодействовать с API и выполнять определенные действия или получать информацию. В случае предоставления API пользователям приложения его функции должны быть ограничены разрешенными действиями пользователя в системе, доступными через графический интерфейс приложения.
Существует несколько распространенных методов реализации контроля взаимодействия между системами через API:
Комбинация этих методов поможет обеспечить безопасность и целостность API, предоставляя доступ только авторизованным пользователям и приложениям.
Пересмотр прав доступа в целевых системах должен осуществляться в двух направлениях:
Процесс управления доступом имеет решающее значение для поддержания кибербезопасности, предотвращая несанкционированный доступ, защищая конфиденциальную информацию, снижая внутренние и внешние угрозы. Он укрепляет общую безопасность, снижая риск кибератак и их потенциальное воздействие на организацию. С точки зрения результативной кибербезопасности процесс управления доступом в отношении целевых и ключевых систем помогает предотвратить реализацию недопустимых событий.