Система управления учетными записями и правами пользователей

В I квартале 2023 года 22 % атак* на организации были связаны с компрометацией учетных данных сотрудников. Киберпреступники используют слабо защищенные аккаунты, забытые учетные записи и профили пользователей с расширенными правами, чтобы проникать в защищенную инфраструктуру и получать доступ ко критически важным ресурсам.

* по данным компании Positive Technologies

Решения класса Identity and Access Management (IdM, IAM) и Identity Governance and Administration (IGA) позволяют существенно снизить риски, связанные с организацией доступа сотрудников в информационные системы компании. Такие продукты автоматизируют процессы идентификации и аутентификации пользователя, а также предоставления ему прав доступа к определенным ресурсам. Они усиливают всю систему информационной безопасности за счет комплексного подхода к управлению всем жизненным циклом прав пользователей, что приводит к исключению «человеческого фактора», снижению риска ошибочных и вредоносных действий в этом процессе.

Ключевые функции систем управления доступом

Управление жизненным циклом учетной записи

Быстрое создание новых аккаунтов, предоставление необходимых прав доступа на основе политик безопасности и ролевой модели компании. Блокировка учетных записей уволенных или отстраненных от работы сотрудников. Выявление неиспользуемых, «брошенных» аккаунтов.

Создание единого инструмента безопасного доступа к ресурсам

Технология единого входа (Single Sign-On, SSO) дает сотрудникам компании возможность получить доступ ко всем необходимым ресурсам, один раз пройдя процедуру идентификации и аутентификации. Для входа применяются методы многофакторной аутентификации, а реальные пароли для доступа к целевым системам могут быть даже неизвестны пользователю. Подсистема SSO не входит в решение IdM / IGA, но, как правило, используется совместно с ним и может быть внедрена в рамках единого проекта.

Упорядочение системы предоставления и отзыва прав

Решения класса IdM / IAM / IGA позволяют создать прозрачную модель предоставления прав доступа к информационным ресурсам. Специалистам по безопасности и руководству организации доступна детальная информация о том, кто инициировал запрос на предоставление прав, кто и по какой причине его утвердил, почему те или иные привилегии были отозваны.

Ресертификация доступа и недопущение конфликтов полномочий

Регулярный аудит пользовательских аккаунтов с целью выявления избыточных прав, а также конфликтов полномочий (Segregation of Duties, SoD) позволяет определить наборы привилегий, которые несут потенциальные риски для компании, и, например, предоставить одному сотруднику право инициировать определенные операции и контролировать их правомерность. Конфликты полномочий могут быть выявлены не только на стадии аудита, но и при помощи превентивных механизмов во время обработки запроса.

Системы IdM, IAM и IGA обеспечивают ключевые с точки зрения информационной безопасности процессы — аутентификацию пользователей и предоставление им доступа к целевым ресурсам. Контроль этой сферы позволяет существенно снизить саму возможность проникновения злоумышленников в защищенную инфраструктуру и затруднить развитие атаки внутри сети. Это первый эшелон обороны, один из обязательных элементов системы реальной, результативной безопасности компании.

Внедрение и сопровождение систем класса IdM, IAM и IGA

Компания УЦСБ обладает расширенной экспертизой в области внедрения систем контроля доступа и управления правами пользователей. Более чем за 10 лет работы в этом сегменте рынка мы реализовали десятки проектов и накопили огромный опыт поставки, построения и сопровождения таких решений. Наши специалисты глубоко погружены в специфику подобных проектов, которые всегда выходят за рамки полномочий директора по информационной безопасности и затрагивают базовые бизнес-процессы организации.

Внедрение решений IdM, IAM и IGA включает в себя анализ жизненного цикла учетных записей сотрудников компании, исследование и оптимизацию процессов управления ими и предоставления доступа к информационным ресурсам, а также анализ ИТ-инфраструктуры. Такой проект предполагает командную работу с привлечением разных подразделений компании, а управление им требует не только экспертизы в сфере информационной безопасности и ИТ, но и понимания бизнес-процессов организации.

Наш опыт позволяет выполнять внедрение систем управления доступом как в крупных организациях с распределенной структурой информационных активов, так и в относительно небольших компаниях с нестандартными целевыми ресурсами. Портфолио УЦСБ включает в себя реализацию проектов в компаниях со штатом более чем в десять тысяч сотрудников. Сложность подобных внедрений зависит также от количества информационных систем, безопасный доступ к которым необходимо организовать. Специалисты УЦСБ успешно реализовывали подключения более 100 целевых ресурсов, включая нестандартные продукты, требующие разработки индивидуальных коннекторов.

Ankey IDM — полнофункциональное решение для управления доступом

В качестве основы для системы управления правами доступа мы используем российское решение Ankey IDM. Система отлично зарекомендовала себя на многих крупных проектах и по своим возможностям не уступает IGA-продуктам западных разработчиков с более протяженной историей присутствия на рынке (а следовательно, с большей длительностью разработки и множеством внедрений). Решение изначально создавалось для работы в распределенной инфраструктуре крупных компаний с большим числом разнородных целевых систем.

Основные функциональные возможности Ankey IDM

• Управление жизненным циклом учетной записи с отслеживанием кадровых событий (прием, увольнение, отпуск и т. д.).
• Настраиваемая электронная заявка на управление доступом с гибкой системой согласования.
• Развитая система отчетности по результатам аудита доступа пользователей.
• Ролевая модель доступа с широкими возможностями управления и контроля.
• Аудит доступа и управление ролевой моделью.
• Большой выбор готовых коннекторов для интеграции с целевыми системами.