Лучшие практики управления привилегированными удостоверениями – часть вторая
Содержание
Это вторая в еженедельной серии из четырех статей практическая информация о том, как наилучшим образом реализовать эффективную программу управления привилегированными идентификационными данными.
[su_dropcap style = ”simple”] I [/ su_dropcap] В первом посте этой серии мы представили вводный обзор управления привилегированными идентификационными данными. На этой неделе мы рассмотрим основные требования для управления привилегированными идентификационными данными. Будущие посты будут посвящены упреждающему планированию и продвинутой киберзащите.
Термин «Управление привилегированными удостоверениями» теперь, по-видимому, охватывает широкий спектр возможностей и продуктов — от передовых решений для киберзащиты до рутинных инструментов ИТ-администрирования. Но в его самой основной форме есть несколько факторов, которые должен охватывать даже самый простой проект управления привилегированными удостоверениями. Мы рассмотрим четыре из них здесь.
Загрузите официальный документ Best Practices в управлении привилегированными удостоверениями, чтобы получить полное руководство по защите привилегированных удостоверений.
Хранилище для безопасного хранения привилегированных удостоверений
Легко понять, почему это первая вещь в списке. Вы хотите получить привилегию из рук людей и под контролем своих систем. Никто не должен нуждаться в богоподобной учетной записи администратора весь день, каждый день. В последний раз мы проверяли, что эти полномочия не требуются для чтения электронной почты или просмотра веб-страниц. Никому не нужно знать этот повышенный пароль учетной записи каждый момент.
Что вам действительно нужно, это что-то, что надежно хранит привилегированные идентификационные данные и имеет удобную мобильную проверку и регистрацию. Оно также должно иметь возможность автоматически управлять учетными данными, когда пользователь забывает самостоятельно проверять пароли.
Важно понимать, что это начало, а не конец. Простое помещение привилегированных удостоверений в управление не завершает задачу управления привилегированными удостоверениями. Простое хранение статических паролей администратора создает свои собственные проблемы безопасности.
Поверните привилегированные пароли по расписанию
Теперь, когда вы предоставляете привилегированные удостоверения в руки системы, пришло время использовать всю мощь этой системы, чтобы сделать вашу инфраструктуру максимально безопасной. Лучший способ сделать это — чередовать каждую из этих учетных данных как можно чаще.
Мир ИТ изобилует историями о электронных таблицах, которыми обмениваются ИТ-администраторы, и паролями, которые не менялись годами из-за страха вызвать сбой. В этом вряд ли можно обвинить, так как они измеряют время безотказной работы, а не безопасность.
С компетентной системой управления привилегированными идентификационными данными они могут непрерывно рандомизировать свои пароли, чтобы угадать плохих парней. Злоумышленник, который только что приземлился на ноутбуке человека, который достаточно глуп, чтобы открыть свою зараженную вредоносным ПО электронную почту, должен захватить привилегированные учетные записи, чтобы нанести реальный вред. Он сядет и соберет столько ключей от королевства, сколько сможет. То же самое относится и к инсайдерам, которые планировали войти в систему после того, как они были уволены с паролем, который, как они знали, никогда не менялся.
Как только вы начнете использовать этот пароль, вам не повезет как злоумышленникам, так и внутренним угрозам. Вращение и рандомизация должны выполняться как можно более агрессивно. Правильный вопрос, который нужно здесь задать, это не «как часто я должен вращаться», а скорее «в какое самое короткое время я буду вынужден что-то оставить на месте?»
Управление учетными записями служб, чтобы избежать устаревших учетных данных
Одним из худших нарушителей в политиках с плохими паролями являются учетные записи, на которых работают наиболее важные приложения. Учетные записи служб, учетные записи баз данных и другие учетные данные, встроенные в приложения, часто остаются нетронутыми из-за привычки измерять ИТ в основном по времени безотказной работы.
Многие думают, что это нормально, поскольку теоретически ни один человек не должен знать эти пароли. Но, как сказал Эйнштейн, «в теории теория и практика одинаковы, но на практике они редко бывают». ИТ-ветераны знают, что люди получают в свои руки эти пароли, поэтому им нужно столько же внимания, сколько любой другой привилегированной учетной записи.
Эти специальные учетные записи также требуют другого подхода. Простая смена этих паролей без внимания к службам, в которые они встроены, или к приложениям, которые они запускают, может привести к катастрофическим последствиям.
Совет здесь является продолжением совета выше — вращайтесь агрессивно. Разница в том, что ваш подход должен использовать сложные способы встраивания паролей в приложения. Необходимо требовать, чтобы службы могли использовать учетные записи, защищенные ротацией, чтобы эта ротация не мешала работе службы и ни в коем случае не означала раскрытие учетных данных.
Предоставить механизмы отчетности для аудиторов
Истинная цель Privileged Identity Management — сильная киберзащита за брандмауэром . Хорошая безопасность всегда будет больше, чем просто соблюдение нормативных требований. Конечно, хорошая безопасность также даст много информации, которая нужна аудиторам, и имеет смысл сделать эту информацию легко доступной для аудита.
Тем не менее, легко допустить, чтобы давление регулирующих органов исчезло с вашими усилиями по управлению привилегированными идентификационными данными. Требования к постоянно меняющимся отчетам могут сократить время проекта и привести к потере реальных целей безопасности.
Рекомендуется убедиться, что ваша система управления привилегированными идентификационными данными имеет адекватные готовые отчеты, а также позволяет проводить обширный анализ данных содержащейся в ней информации. Это обеспечивает правильный баланс между потребностями аудита и безопасности. Предоставляя вам открытую платформу для запроса данных, аудиторы могут применять любой инструмент, который они используют, для составления отчетов в большем объеме, чтобы получать все необходимые отчеты.
Куда мы пойдем дальше
В третьей части этой серии мы рассмотрим, как Privileged Identity Management может стать решением для упреждающей киберзащиты.
Узнайте больше об управлении привилегированными личностями
Узнайте больше, загрузив руководство — Лучшие практики в управлении привилегированными идентификационными данными .