Работая с подрядчиком и предоставляя ему привилегированный доступ, компания фактически отдает ключ ко всему. Даже если вы сотрудничаете давно и полностью ему доверяете, это не исключает рисков — устройство подрядчика может быть скомпрометировано, а учетная запись использована злоумышленниками для проникновения в инфраструктуру. Именно поэтому все больше организаций внедряют решения для управления привилегированным доступом — PAM.
Разбираемся, что такое PAM-система и как с ее помощью можно контролировать работу поставщиков IT-услуг.
Пример атаки через подрядчика
Крупный ретейлер ведет учет товаров, клиентов и продаж в 1С. Система хранит не только сведения об остатках на складах, но и персональную информацию покупателей — включая историю покупок и контактные данные.
Техническое сопровождение 1С было передано внешнему подрядчику — это проще и дешевле, чем нанимать штатного специалиста. Подрядчику выдали учетную запись с правами администратора, чтобы он мог оперативно обновлять конфигурацию, настраивать отчеты и устранять сбои. Подключался он удаленно, с личного компьютера, как это часто бывает при аутсорсе.
Однажды подрядчик перешел по ссылке в фишинговом письме. Его устройство было скомпрометировано, а сохраненные учетные данные — украдены. Злоумышленники получили полный доступ к базе 1С, скачали данные тысяч клиентов и потребовали выкуп. Компания понесла серьезные убытки.
Этот инцидент показывает: привилегированный доступ, выданный подрядчику, может стать точкой входа для серьезной атаки. Но такую ситуацию можно было предотвратить — с помощью PAM-системы.
Что такое PAM и как она помогает минимизировать риски
PAM — это класс решений для управления привилегированным доступом и контроля действий сотрудников с расширенными правами. Система отслеживает такие действия в режиме реального времени, проверяет их по черным спискам запрещенных команд и приложений, а всю собранную информацию сохраняет для последующего аудита и расследования инцидентов.
Что может представлять опасность:
- Забытые учетные записи с правами высокого ранга. Например, после увольнения сотрудника его административная учетная запись остается активной. Такой аккаунт может обнаружить злоумышленник или даже другой сотрудник, который воспользуется учеткой ради любопытства или с целью навредить компании.
- Слабые и предсказуемые пароли. Их легко подобрать с помощью брутфорса или специализированных инструментов, получив тем самым полный контроль над критически важными системами.
- Использование одной и той же привилегированной незащищенной учетной записи для нескольких служб. Если такая учетка будет скомпрометирована, злоумышленник получит доступ ко всем связанным системам — от 1С до базы клиентов и серверов.
PAM-решения контролируют и хранят все учетные данные с повышенными привилегиями. А также устраняют риски, связанные с несовершенной парольной политикой:
- меняют пароли по расписанию,
- подставляют учетные данные без отображения на экране,
- обеспечивают их надежное хранение.
Таким образом, PAM превращает привилегированный доступ из главной уязвимости в контролируемый и безопасный процесс.
Solar SafeInspect для защиты удаленного подключения
Solar SafeInspect — PAM-система от «Солара», которая помогает безопасно управлять доступом сотрудников и подрядчиков с расширенными правами — особенно тех, кто подключается удаленно.
Какие функции она выполняет:
- Проксирование привилегированных сессий. Весь трафик проходит через защищенный шлюз — напрямую к системам никто не подключается.
- Мониторинг работы пользователей в режиме реального времени — можно наблюдать за сессией и при необходимости мгновенно ее прервать.
- Запись привилегированных сессий и сохранение сведений — это помогает проводить аудит и быстро разбираться в инцидентах.
- Сокрытие учетных данных — пользователь не видит логин и пароль, они подставляются автоматически при подключении.
- Защищенное хранение учетных записей.
Кроме того, Solar SafeInspect помогает соблюдать принцип наименьших привилегий: подрядчику назначаются ровно те права, которые понадобятся для выполнения его работы.
Преимущества Solar SafeInspect
Как решение помогает бизнесу:
- Защищает компанию от финансовых и репутационных рисков, снижая вероятность угроз со стороны привилегированных пользователей.
- Обеспечивает безопасность учетных записей и позволяет соблюдать регламенты в части привилегированного доступа.
- Упрощает расследование инцидентов: все действия привилегированных пользователей фиксируются. Это поможет быстро выявить причину и принять меры.
- Исключает обход PAM-решения при подключении: система подменяет аутентификацию пользователя и авторизуется на запрашиваемом ресурсе с применением собственных ключей и паролей.
- Помогает контролировать ситуацию: в случае подозрительных действий администратор может мгновенно прервать сессию — до того, как будет нанесен ущерб.
- Поддерживает гибкие правила доступа: для разных категорий привилегированных пользователей можно настроить гранулированный доступ. Например, настроить подключение по расписанию или разрешить только определенные операции с вызываемыми ресурсами.
Подрядчики — это неотъемлемая часть бизнеса. Чтобы их работа приносила пользу, а не создавала уязвимости, важно контролировать их действия в вашей корпоративной сети. Поэтому PAM — важный элемент киберзащиты.
Листайте дальше, чтобы перейти на сайт продукта и бесплатно протестировать Solar SafeInspect.