Выстраивание процесса управления доступом

aponomaryov.JPGАПАртемий Пономарёв

Проблематика

Управление логическим доступом — важный аспект информационной безопасности. Неслучайно в перечень первоочередных шагов кибертрансформации (см. статью ) входит определение наличия у пользователей целевых систем избыточных прав доступа (привилегий). Необходимо контролировать получаемый пользователями, администраторами и информационными системами доступ к IT-сервисам и IT-ресурсам организации. Выделение привилегий требует согласования и регистрации. Ограничение прав доступа является также важной частью харденинга IT-инфраструктуры (см. статью ) и реинжиниринга бизнес-процессов с целью повышения защищенности целевых систем (см. статью ).

Основные проблемы, возникающие при управлении доступом:

  1. Наличие избыточных прав доступа в целевых информационных системах.
  2. Масса заявок на получение доступа, отклоненных или отправленных на доработку из-за некорректности их заполнения.
  3. Отсутствие необходимых согласований или избыточное согласование в процессе управления доступом.
  4. Увеличение количества обращений пользователей из-за отсутствия информации об имеющихся и необходимых им правах и объектах доступа. Пользователь при запросе прав доступа может просто не знать, что именно ему запросить, это вызывает обращение в IT-департамент не по поводу самого доступа, а по поводу процедуры его получения.

Указанные проблемы приводят к быстрой деградации защищенности организации: размывание прав доступа, неопределенность прав отдельных работников приводят к существенному снижению защищенности целевых систем. В этой ситуации даже обычная фишинговая рассылка может стать причиной реализации недопустимого события.

Связь с другими процессами

Управление доступом начинается с момента приема работника в организацию и заканчивается отзывом прав доступа работника перед его увольнением. Информация о приеме работника в организацию, его переводах и увольнении должна поступать в процесс управления доступом из соответствующих HR-процессов. Если назначение прав доступа не автоматизировано, то соответствующие задачи по управлению доступом должны назначаться администратору через процесс управления обращениями. Если процесс автоматизирован и для должности заранее определены роли или права доступа, то они будут назначены автоматически сразу после получения информации о приеме работника.

Все права доступа, роли и интеграции разрабатываются в рамках архитектурного проектирования информационных систем и должны быть согласованы функцией ИБ.

В случае наступления инцидента ИБ или подозрения на инцидент ИБ доступ учетной записи работника может быть отозван или учетная запись может быть заблокирована до завершения расследования инцидента ИБ.

Изменение установленного в информационной системе механизма управления доступом должно проходить через процесс управления изменениями и должно быть согласовано с функцией ИБ. Подробнее о контроле изменений можно почитать в статье .

Кратко об управлении доступом с точки зрения используемого механизма

Информационные системы могут использовать различные механизмы управления доступом. Обычно используются дискреционный, мандатный или ролевой механизм управления доступом. Кроме того, специализированные системы управления доступом могут использовать механизм управления доступом на основе атрибутов. В этом последнем случае доступ пользователю предоставляется в зависимости от атрибутов субъекта и объекта доступа. Атрибутами могут выступать различные факторы, такие как местное время, географическое положение пользователя, запрашиваемые права доступа и прочее (подробнее с механизмом управления доступом на основе атрибутов можно ознакомится в NIST SP 800-162).

Управление доступом на основе атрибутов (attribute based access control, ABAC) — метод управления доступом, при котором запросы субъекта на совершение операции над объектом одобряются или отклоняются на основании атрибутов субъекта и назначенных атрибутов объекта, условий инфраструктуры и набора политик, которые описываются для этих атрибутов и условий.

Ролевой механизм управления доступом рекомендуется использовать всем организациями с числом пользователей более 500. ABAC является сложным для внедрения и рекомендуется для организаций со сложными требованиями к бизнес-логике предоставления доступа. Иными словами, если деятельность организации предъявляет сложные требования по предоставлению доступа в зависимости от множества условий, то их удобнее учитывать через ABAC (например, для исполнения бизнес-требования «только главный бухгалтер филиала может одобрить выплату премии работнику, причем только в рабочее время и в размере, не превышающем 50% оклада»).

Разделение обязанностей

Некоторые высокорисковые операции могут быть проведены только с участием нескольких пользователей со специфичными правами доступа (ролями). В случае проведения оплаты, например, один работник создает платежное поручение, а другой подтверждает проведение платежа. Назначение таких ролей одному работнику вызывает конфликт полномочий. Для предотвращения конфликта полномочий современные системы управления доступом могут иметь механизм разделения обязанностей (segregation of duty, SoD). Простой механизм разделения обязанностей может быть реализован в виде SoD-матрицы, показывающей, какие роли из перечня всех ролей не могут быть одновременно назначены одному и тому же работнику.

Обзор систем управления доступом

В зависимости от степени зрелости организации для управления доступом пользователей могут использоваться следующие информационные системы:

  1. системы электронного документооборота и другие неспециализированные системы (например, направление заявки на получение нужного доступа через служебную записку в системе электронного документооборота организации);
  2. системы управления IT-услугами (ITSM-системы);
  3. специализированные системы управления доступом.

Преимущества и недостатки различных информационных систем приведены в таблице.

 

Тип системыПреимуществаНедостатки
Система электронного документооборота (и другие неспециализированные системы)В большинстве организаций данные системы уже развернуты, поэтому не требуются дополнительные затратыБольшое количество отклоненных заявок по причине отсутствия стандартизации. Возможна неверная интерпретация заявок, результатом которой могут быть избыточные или недостаточные права доступа
ITSM-системаВ системе имеется информация об используемых информационных системах (сервисах) и уже имеющихся в них правах доступа и ролях. Эту информацию можно использовать для организации процесса управления доступомОграниченная функциональность ITSM-систем не предназначена для управления доступом. Например, механизм управления доступом на основе атрибутов в таких системах будет недоступен. Ручная настройка прав доступа в случае согласования заявки (для большинства реализаций) чревата ошибками со стороны администраторов систем
Специализированная система управления доступомСистема специально создана для управления доступом и имеет все необходимые для этого функции: гибкие механизмы согласования доступа и уведомлений, журналирование всех действий в системе, отчетность, предотвращение конфликтов полномочийНеобходимость внедрения дополнительной информационной системы и интеграции ее со всеми системами, в которых требуется управлять доступом

Рекомендации по управлению доступом

Для организаций, применяющих сервисный подход к управлению информационными технологиями, можно использовать следующую схему управления доступом в информационных системах:

  1. Для каждой IT-услуги или информационной системы, в рамках которой необходимо управление доступом, выделяются объекты доступа.
  2. Для каждого объекта доступа назначается владелец.
  3. Для каждого объекта доступа создаются права доступа, которые можно будет запрашивать через ITSM.
  4. Для больших и часто используемых наборов объектов доступа и прав доступа создаются роли (например, роль «базовый доступ», которая доступна всем работникам компании).

Схема управления доступом может быть сложной и включать помимо владельца объекта доступа, например, следующих участников: руководителя пользователя (для подтверждения производственной необходимости получения доступа), IT-специалиста (для подтверждения наличия лицензии или подтверждения достаточной производительности сервиса) и других должностных лиц.

Пользователь, заходя в ITSM, видит, какие объекты доступа он может заказать и с какими правами.

На начальном этапе необходимые объекты могут отсутствовать. Пользователь в этом случае создает заявку о необходимости получения доступа в системе регистрации обращений пользователей. Такие заявки проходят как обычное обращение, которое маршрутизируется в изменение ИТ. В рамках процесса изменения создаются необходимые объекты доступа и назначаются права доступа владельцу. Далее получение доступа пользователем согласовывается в установленном порядке.

Роль функции ИБ в процессе управления доступом пользователей

В случае низкой зрелости процесса управления доступом операции согласования доступа обычно проходят через функцию ИБ. При использовании специализированных систем управления доступом необходимость согласования заявок на получение доступа пользователем со стороны функции ИБ отпадает. Достаточно только согласования владельцев объекта доступа. В таком случае задачами функции ИБ являются:

  1. анализ фактических и согласованных прав доступа пользователей;
  2. выделение или согласование ролей и прав доступа к наиболее важным и часто используемым объектам доступа;
  3. согласование изменений в части создания новых объектов доступа и прав доступа к ним.

Управление доступом к административным учетным записям

В организациях помимо пользовательских учетных записей используются административные учетные записи. Административные учетные записи обычно обладают широкими полномочиями и могут иметь доступ к множеству информационных систем. Доступом к административным учетным записям также необходимо управлять.

Поскольку несанкционированное использование административных учетных записей приводит к появлению большого количества векторов атак на IT-инфраструктуру организации, то для отслеживания, обнаружения и предотвращения несанкционированного доступа используются специализированные решения управления привилегированным доступом (privileged access management, PAM). Архитектура PAM-систем обычно не позволяет получить административный доступ к целевой системе напрямую, что усложняет атаку злоумышленнику, так как для получения административных прав доступа ему необходимо атаковать непосредственно PAM-систему. В PAM-системах уровень журналирования действий выше (вплоть до записи сессии пользователя), что позволяет отслеживать действия привилегированных учетных записей. Для быстрого реагирования на инциденты ИБ, связанные с административными учетными записями, необходимо подключить PAM-систему к средствам мониторинга. События безопасности от PAM-систем должны получать более высокий приоритет и обрабатываться в первую очередь.

Управление доступом к API информационных систем

Взаимодействие информационных систем между собой может происходить различными способами. В статье показан пример разделения целевых систем по бизнес-процессам, где итоговая схема вводит дополнительную информационную систему — интеграционную шину. В рамках такой ИС можно управлять доступом между информационными системами, ограничивая объем данных, которые передаются между ними. В данном разделе рассмотрим прямое взаимодействие между ИС по интерфейсу прикладного программирования (application programming interface, API).

Получение доступа к ИС через API должно управляться аналогично получению доступа пользователем с теми или иными правами доступа. Наиболее популярными технологиями API сейчас являются REST API и GraphQL.

Разграничение доступа к API гарантирует, что только авторизованные пользователи или приложения могут взаимодействовать с API и выполнять определенные действия или получать информацию. В случае предоставления API пользователям приложения его функции должны быть ограничены разрешенными действиями пользователя в системе, доступными через графический интерфейс приложения.

Существует несколько распространенных методов реализации контроля взаимодействия между системами через API:

  1. Ключи API. Это уникальные идентификаторы, которые предоставляются авторизованным пользователям или приложениям. Ключ используется для аутентификации запросов, обеспечивая доступ к функциям API. Ключи API можно настроить с разными уровнями разрешений и при необходимости отозвать.
  2. Белый список IP-адресов. Ограничивает доступ к API на основе IP-адресов, с которых исходят запросы. Разрешены только запросы, поступающие с заранее одобренных IP-адресов, что эффективно блокирует несанкционированный доступ из других источников.
  3. Управление доступом на основе ролей (RBAC). Приложениям назначаются различные роли, на основе которых определяются их права доступа. Каждая роль имеет набор предопределенных прав доступа, разрешающих или запрещающих определенные действия в API.

Комбинация этих методов поможет обеспечить безопасность и целостность API, предоставляя доступ только авторизованным пользователям и приложениям.

Пересмотр прав доступа в целевых системах

Пересмотр прав доступа в целевых системах должен осуществляться в двух направлениях:

  • Технический пересмотр прав доступа. Необходимо сравнение прав доступа, согласованных в рамках процесса управления доступом, и фактически предоставленных прав доступа в целевых системах. При высокой зрелости процесса управления доступом расхождений быть не должно. В случае выявления расхождений (доступ не согласован, но предоставлен) должно быть инициировано расследование инцидента ИБ.
  • Организационный пересмотр прав доступа. Может производится как со стороны руководителя пользователя (на предмет необходимости для работы тех или иных прав доступа к целевым системам), так и со стороны владельцев систем (владельцев бизнес-процессов) — на предмет необходимости наличия в целевой системе тех или иных пользовательских учетных записей. Организационный пересмотр должен выполняться не реже одного раза в год. Для его осуществления в системе управления доступом или информационной системе, в рамках которой осуществляется пересмотр доступа, должны быть соответствующие функции, в частности возможность формирования отчетов о выданных правах доступа.

Заключение

Процесс управления доступом имеет решающее значение для поддержания кибербезопасности, предотвращая несанкционированный доступ, защищая конфиденциальную информацию, снижая внутренние и внешние угрозы. Он укрепляет общую безопасность, снижая риск кибератак и их потенциальное воздействие на организацию. С точки зрения результативной кибербезопасности процесс управления доступом в отношении целевых и ключевых систем помогает предотвратить реализацию недопустимых событий.