Семь практических рекомендаций по управлению привилегированным доступом

Управление привилегированным доступом (PAM) защищает наиболее важные системы и учетные записи организации от несанкционированного доступа, поэтому важно иметь эффективную стратегию PAM. К числу лучших методов разработки эффективной стратегии PAM относятся реализация доступа с наименьшими привилегиями, мониторинг привилегированных учетных записей, внедрение рекомендаций по обеспечению безопасности паролей, требование многофакторной аутентификации и регулярный аудит привилегий.

Продолжайте читать, чтобы узнать больше об управлении привилегированным доступом и о семи практических рекомендациях, которые следует внедрить вашей организации для защиты привилегированных данных.

Важность управления привилегированным доступом

Управление привилегированным доступом — это процесс управления и защиты учетных записей, имеющих привилегированный доступ к конфиденциальным системам, базам данных, приложениям и сетевой инфраструктуре. PAM играет важную роль в способности организации защищать конфиденциальную информацию и предотвращать нарушения системы безопасности. Благодаря PAM организации получают полную видимость всей инфраструктуры данных, что повышает безопасность и помогает соблюдать нормативные требования, такие как GDPR, HIPAA и SOX.

7 практических рекомендаций по использованию PAM, которым должны следовать организации

Чтобы разработать эффективную стратегию PAM, организации должны следовать этим семи практическим рекомендациям.

1. Реализуйте доступ с наименьшими привилегиями

Реализация доступа с наименьшими привилегиями сокращает поверхность атаки в организации, сводит к минимуму внутрисистемные угрозы и предотвращает горизонтальное перемещение. Принцип наименьших привилегий представляет собой концепцию кибербезопасности, согласно которой пользователям предоставляется только минимальный сетевой доступ к информации и системам для выполнения их работы и не более. Ограничивая доступ к привилегированным учетным записям и возможностям этих привилегированных учетных записей, организации могут сократить число потенциальных точек входа для несанкционированного доступа и смягчить последствия утечки данных. Чтобы реализовать доступ с наименьшими привилегиями, организациям необходимо приобрести решение PAM. Решение PAM — это централизованный инструмент, который позволяет организациям защищать привилегированные учетные записи и управлять ими.

2. Выполняйте мониторинг активности привилегированных учетных записей

Организациям необходимо идентифицировать все привилегированные учетные записи в сети и правильно управлять ими. После идентификации привилегированных учетных записей следует удалить те, в которых нет необходимости, чтобы ограничить их количество. Организации должны удостовериться, что привилегированные учетные записи имеют необходимый уровень доступа. Затем необходимо проверить, кто имеет доступ к этим привилегированным учетным записям и как они используются. Это поможет выявить любое не соответствующее норме поведение неавторизованных пользователей и немедленно удалить их из учетной записи. Решения PAM часто поставляются с функциями управления привилегированными учетными записями и мониторинга привилегированных сеансов, которые позволяют организациям управлять разрешениями привилегированных пользователей и отслеживать их действия.

3. Используйте доступ «точно в срок»

Доступ «точно в срок» — это когда привилегии пользователей и приложений повышаются в режиме реального времени, а продолжительность сеанса ограничивается заранее определенным временем. Таким образом, пользователи и машины будут иметь привилегированный доступ к ресурсам только тогда, когда он им нужен. При этом объем доступа к привилегированным ресурсам ограничивается определенным временем, а пользователи имеют привилегированный доступ не дольше, чем им нужно. Это помогает предотвратить неправомерное использование привилегированного доступа в результате внутрисистемных угроз и предотвращает горизонтальное перемещение внутри сети неавторизованными пользователями. С помощью решения PAM организации могут использовать доступ «точно в срок» для временного доступа к привилегированным учетным записям.

4. Сегментируйте сети

При сегментации сети организации разделяются и их части изолируются для контроля над доступом к конфиденциальной информации. Разделение на сегменты зависит от типа конфиденциальных ресурсов и пользователей, которым необходим доступ к ним. Организации могут создавать эти сегменты сети, используя решение PAM для мониторинга и управления доступом к ним. Таким образом ограничивается доступ ко всей сети, а пользователи получают доступ только к тем ресурсам, которые необходимы для выполнения их работы. Сегментация сети не позволяет злоумышленникам перемещаться горизонтально по всей сети и ограничивает неавторизованных пользователей только той сетью, к которой у них есть доступ. Чтобы еще больше защитить сеть, организации могут создавать микросегменты, изолирующие части сети внутри сегментов.

5. Применяйте практические рекомендации по обеспечению безопасности паролей

Чтобы защитить привилегированные учетные записи, организациям необходимо применять практические рекомендации по обеспечению безопасности паролей. Злоумышленники пытаются использовать атаки, связанные с паролями, такие как атаки методом подбора, чтобы взломать учетные данные привилегированных учетных записей. Организациям необходимо защищать привилегированные учетные записи с помощью надежных и уникальных паролей. Надежные, то есть длинные и сложные, пароли не позволят злоумышленникам легко угадать или взломать их. Чтобы предотвратить компрометацию нескольких учетных записей в результате подстановки учетных данных, каждая привилегированная учетная запись должна иметь уникальный пароль.

Организациям также необходимо обеспечить правильное хранение паролей в менеджере паролей. Менеджер паролей — это инструмент, который надежно хранит и контролирует пароли в цифровом зашифрованном хранилище. Хранилище паролей защищено несколькими уровнями шифрования, и доступ к нему возможен только с помощью мастер-пароля. Оно помогает предотвратить использование злоумышленниками вредоносного ПО для кражи паролей, хранящихся в незашифрованных местах. Менеджер паролей также помогает выявлять ненадежные пароли и предлагает пользователям усилить их. Некоторые менеджеры паролей также позволяют сотрудникам безопасно обмениваться паролями с помощью таких методов, как One-Time Share. Решения PAM часто поставляются с возможностями управления паролями, которые позволяют организациям понимать способы обращения с паролями сотрудниками и применять лучшие методы обеспечения безопасности паролей.

6. Требуйте использовать многофакторную аутентификацию

Требование многофакторной аутентификации (MFA) для привилегированных учетных записей необходимо для обеспечения дополнительных уровней безопасности, которые предоставляют доступ только авторизованным пользователям. Многофакторная аутентификация — это протокол безопасности, который требует от пользователей предоставлять более одной формы аутентификации для получения доступа к службе, приложению или базе данных. Многофакторная аутентификация требует от пользователей различные типы факторов аутентификации для подтверждения личности. Эти различные типы факторов аутентификации представляют собой то, что вы знаете, то, что у вас есть, то, чем вы являетесь и где находитесь. Например, пользователь должен предоставить что-то, что он знает, пароль или PIN-код, а также что-то, что у него есть, ключ безопасности или одноразовый пароль на основе времени (TOTP) из приложения для аутентификации. Решения PAM с возможностями управления паролями позволяют организациям применять многофакторную аутентификацию для привилегированных учетных записей.

7. Регулярно проводите аудит привилегий

После внедрения стратегии PAM организациям необходимо регулярно проводить аудит привилегий, чтобы предотвратить наслаивание прав. Наслаивание прав — это когда пользователи постепенно получают доступ к сети сверх того, что им необходимо для выполнения работы. Это часто происходит из-за отсутствия централизованной системы PAM. Регулярно проводя аудит привилегий с помощью решения PAM, организации могут проверять наличие у пользователей привилегий, необходимых для выполнения их работы, и удалять все привилегии, которые им больше не нужны. Регулярный аудит привилегий также помогает организациям определять, какие учетные записи необходимо удалить, поскольку они больше не используются.

Используйте Keeper® для управления привилегированными учетными записями

Лучший способ защитить привилегированные учетные записи и управлять ими — использовать решение PAM. С помощью решения PAM организации могут управлять тем, кто может получать доступ к привилегированным учетным записям, тем, к чему они могут получить доступ, а также безопасностью привилегированных учетных записей. KeeperPAM™ — это менеджер привилегированного доступа с нулевым доверием и нулевым разглашением, который обеспечивает организациям полную видимость, безопасность и контроль над каждым привилегированным пользователем в сети. Он объединяет Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager® (KSM) и Keeper Connection Manager® (KCM) для защиты паролей, учетных данных, секретов, привилегий и соединений организации в одном средстве.