Проблемы с доступом редко возникают из-за одного крупного инцидента. Чаще всего они накапливаются из-за небольших исключений, которые казались разумными в тот момент: член команды может перейти на новую должность и сохранить права доступа от предыдущей. Для решения срочной проблемы может быть создано общее имя пользователя, которое продолжает передаваться и после того, как срочность исчезнет.
В малом и среднем бизнесе (МСП) подобные ситуации возникают быстро. Команды небольшие, обязанности часто пересекаются, а доступ предоставляется просто для того, чтобы работа не останавливалась. В таких обстоятельствах компания теряет четкое представление о том, кто может получить доступ к тем или иным системам, учетным данным, информации и аккаунтам поставщиков, и оправдан ли этот доступ до сих пор.
Когда контроль ослабевает, становится сложнее локализовать инциденты и восстанавливать работу после них. Скомпрометированный аккаунт все еще может иметь доступ к системам, которые ему больше не нужны, а общие учетные данные могут затруднить определение того, кто именно совершил действие.
Принцип наименьших привилегий позволяет компаниям предотвратить избыточное накопление прав доступа. Мы расскажем о том, что такое наименьшие привилегии, как внедрить этот принцип в вашей компании, и предложим практическое руководство для начала работы.
Что такое принцип наименьших привилегий?
Почему избыточный доступ часто настроен по умолчанию во многих компаниях малого и среднего бизнеса?
Риски слабого контроля доступа
Как внедрить принцип наименьших привилегий
Практический чек-лист по внедрению принципа наименьших привилегий для малого и среднего бизнеса
Упростите внедрение принципа наименьших привилегий с помощью Proton Pass for Business
Что такое принцип наименьших привилегий?
Принцип наименьших привилегий — это практика ограничения доступа до минимума, необходимого для выполнения определенной должности или задачи. Члены команды, системы и приложения должны иметь доступ только к тому, что им нужно, и только в течение того времени, которое требуется для работы.
Этот принцип означает, что решения о предоставлении доступа должны основываться на задачах, которые человеку действительно необходимо выполнить. Та же логика применима к сотрудникам, подрядчикам, администраторам, сервисным аккаунтам, сторонним интеграциям и автоматизированным рабочим процессам: у каждого должны быть только те права, которые необходимы для его должности или задачи.
Это также относится к совместному использованию паролей. Член команды, которому необходим доступ к аккаунту одного клиента, не должен автоматически получать возможность использовать логины финансовых систем, учетные данные инфраструктуры, административные аккаунты отдела кадров или другие конфиденциальные корпоративные учетные данные, не связанные с его непосредственной работой.
Почему избыточный доступ часто настроен по умолчанию во многих компаниях малого и среднего бизнеса?
Большинство компаний создают среды с избыточным доступом непреднамеренно, а постепенно. Когда приходят новые сотрудники, им предоставляют доступ к нужным системам. Постепенно они получают дополнительные права для участия в конкретных проектах или на время подмены коллег. Этот доступ никогда не удаляется, и в итоге он выходит далеко за рамки того, что требуется сотрудникам для повседневной работы.
То же самое происходит с общими учетными данными. Паролем делятся один раз для удобства, после чего он становится постоянной частью рабочего процесса сотрудника.
Подобная практика обычно складывается по нескольким распространенным причинам:
- Скорость кажется важнее структуры. Когда команды небольшие и загруженные работой, предоставить кому-то расширенный доступ кажется быстрее, чем точно настроить необходимые для него разрешения.
- Должностные обязанности не всегда четко определены. Если задачи меняются от недели к неделе, решения о предоставлении доступа часто тоже становятся неформальными.
- Слабый контроль учетных данных при смене должностей и увольнении. Когда член команды уходит, переходит в другой отдел или завершает контракт, общие пароли часто не меняются, доступ к хранилищу не пересматривается, и старые разрешения остаются активными.
В момент принятия ни одно мелкое решение не кажется опасным, но за недели, месяцы и годы избыточные привилегии создают серьезные риски для организации.
Риски слабого контроля доступа
Избыточный доступ создает угрозы для безопасности, операционной деятельности и соответствия нормативным требованиям. Вот некоторые из наиболее распространенных рисков:
Горизонтальное перемещение
Если злоумышленник получает доступ к одному аккаунту, избыточные разрешения позволяют ему проникнуть глубже в инфраструктуру. Вместо компрометации одной системы он может получить доступ сразу к нескольким.
Раскрытие данных
Если доступ к записям клиентов, внутренним документам или финансовым системам не ограничен кругом лиц, которым он необходим, всё больше аккаунтов становятся потенциальными точками входа для получения этих данных. Скомпрометированное имя пользователя может раскрыть информацию, к которой у человека не должно быть доступа, а простая ошибка, например предоставление совместного доступа к неверному файлу или изменение не той настройки, может повлечь за собой нежелательные последствия для критически важных систем.
Случайное удаление или неправильная настройка
Пользователь с избыточными правами администратора может случайно изменить настройки, удалить данные или подвергнуть системы угрозе. Принцип наименьших привилегий позволяет уменьшить масштаб последствий таких ошибок.
Внутренние угрозы
Внутренние угрозы бывают самых разных видов. Это могут быть преднамеренные попытки хакеров проникнуть в вашу сеть, кража данных недовольными сотрудниками или, что случается гораздо чаще, простые ошибки. Большинство сотрудников не действуют со злым умыслом, однако широкий доступ увеличивает риск нецелевого использования, избыточного распространения или небрежного обращения с конфиденциальной информацией.
Проблемы с управлением
Если ваша компания не может четко объяснить, кто имеет доступ к тем или иным ресурсам, почему они его получили и когда этот доступ проверяется или аннулируется, становится сложнее расследовать инциденты, проводить проверки безопасности, проходить аудит или доказывать, что меры контроля доступа работают должным образом.
Как внедрить принцип наименьших привилегий
Для большинства компаний малого и среднего бизнеса принцип наименьших привилегий — это не то, что вы внедряете за один раз. Это процесс, который вы выстраиваете постепенно, делая доступ более целенаправленным, ограниченным и простым для регулярной проверки.
Используйте управление доступом на основе ролей
Один из наиболее практичных способов реализовать принцип наименьших привилегий — использовать управление доступом на основе ролей. Это поможет вам определить роли на основе должностных обязанностей (например, финансы, отдел кадров, маркетинг, поддержка клиентов, ИТ-администратор или внешний подрядчик). Затем вы распределяете права доступа в соответствии с этими ролями вместо того, чтобы настраивать каждое разрешение индивидуально. Управление доступом на основе ролей — это не совсем то же самое, что принцип наименьших привилегий. Наименьшие привилегии — это сам принцип. А управление доступом на основе ролей — один из самых практичных способов его последовательного применения.
Разделяйте стандартный и привилегированный доступ
Одна из самых распространенных ошибок компаний — использование прав администратора для повседневной работы.
К привилегированному доступу следует относиться иначе, чем к обычному.
Если кому-то требуется больше разрешений, такой доступ должен быть привязан к конкретной задаче и максимально ограничен. Цель состоит в том, чтобы не предоставлять сотрудникам постоянный доступ высокого уровня только потому, что он может время от времени им требоваться.
Регулярно проверяйте права доступа
Принцип наименьших привилегий работает только тогда, когда права доступа соответствуют текущим обязанностям членов команды. Вот почему проверка доступа должна стать частью вашей рутины, а не разовым мероприятием.
Простая ежемесячная или ежеквартальная проверка позволяет выявить устаревшие разрешения, избыточный доступ к системам, неактивные интеграции или подрядчиков, которые больше не должны быть подключены. Такие проверки помогают обнаружить риски, которые могли бы месяцами оставаться незамеченными.
Сделайте временный доступ действительно временным
Краткосрочная работа не должна приводить к долгосрочному доступу. Подрядчики, консультанты, агентства и временные участники проектов должны иметь доступ только на тот период, пока этого требует их работа.
У временного доступа должен быть ответственный, который обязуется контролировать его, а также четкая цель и дата окончания. Без этого аккаунты, права доступа к хранилищам и общие учетные данные могут оставаться активными просто потому, что никто не отвечает за их проверку и удаление.
Относитесь к офбордингу как к процессу обеспечения безопасности
Принцип наименьших привилегий продолжает действовать и тогда, когда кто-то уходит из компании или меняет должность.
Офбординг должен включать удаление доступа ко всем аккаунтам, отзыв разрешений для хранилищ и проверку необходимости ротации критически важных учетных данных. Когда удаление доступа откладывается или выполняется непоследовательно, компании создают ненужные уязвимости спустя долгое время после того, как в доступе отпала необходимость.
Включите учетные данные в свою модель доступа
Принцип наименьших привилегий касается не только системных разрешений. Он также применим к учетным данным, которые открывают доступ к вашей компании.
Пароли, ключи доступа, коды восстановления, логины администраторов и общие аккаунты должны рассматриваться как контролируемые активы. Если контроль учетных данных все еще осуществляется неформально, то принцип наименьших привилегий применяется лишь наполовину.
Практичный чек-лист по внедрению принципа наименьших привилегий для малого и среднего бизнеса
Согласиться с необходимостью внедрения принципа наименьших привилегий в вашей компании легко, но реализовать его на практике гораздо сложнее. Это еще сложнее для малого и среднего бизнеса с ограниченным временем и ресурсами.
Но не волнуйтесь: большинству компаний малого и среднего бизнеса обычно не требуется масштабный пересмотр прав доступа. Вместо этого вашей организации следует начать с принятия нескольких четких решений о том, кому действительно нужен доступ к тем или иным ресурсам, где на сегодняшний день существуют избыточные риски уязвимости и как эти разрешения будут проверяться в дальнейшем.
Представленный ниже чек-лист разработан для того, чтобы помочь компаниям начать принимать решения и составить реалистичный план по внедрению принципа наименьших привилегий.
- Определите наиболее важные системы, общие аккаунты и учетные данные.
- Определите основные роли и минимальный уровень доступа, необходимый для каждой из них.
- Организуйте доступ к учетным данным по командам, ролям или функциям.
- Удалите устаревшие, унаследованные или ненужные разрешения.
- Установите четкий процесс предоставления временного доступа и доступа для подрядчиков.
- Регулярно проверяйте права доступа по установленному графику.
- Оптимизируйте процесс офбординга, чтобы доступ отзывался быстро и надежно.
- Проводите ротацию критически важных учетных данных после увольнения сотрудников или изменения их должностей.
- Отделяйте административные учетные записи от повседневных пользовательских аккаунтов.
- Назначьте четких ответственных за принятие решений о предоставлении доступа.
Эффективность подобного чек-листа определяется не его сложностью, а тем, насколько последовательно компания ему следует. Для многих малых и средних предприятий значительное улучшение ситуации происходит за счет замены неформальных привычек предоставления доступа процессом, который легче повторять, контролировать и поддерживать.
Упростите внедрение принципа наименьших привилегий с Proton Pass for Business
Соблюдение принципа наименьших привилегий часто нарушается, когда дело касается учетных данных. Например, у компании могут быть четко расписаны на бумаге уровни доступа, но при этом сотрудники продолжают делиться паролями без надлежащего контроля.
Команды могут хранить данные для входа в электронных таблицах, чатах, заметках или внутренних документах. Общие аккаунты могут передаваться неформально с минимальным контролем или вообще без него. Увольняющиеся сотрудники могут сохранять постоянный доступ к учетным данным, ротацию которых компания никогда не проводит. Все это — проблемы с доступом, которые можно решить с помощью принципа наименьших привилегий, регулируемого эффективным управлением доступом к учетным данным.
Во многих компаниях доступ к учетным данным по-прежнему зависит от обходных путей, которые трудно контролировать. Пароли отправляются в сообщениях, хранятся в документах, передаются между командами или остаются доступными после того, как в них отпала необходимость.
Со временем легко потерять контроль над тем, кто может использовать те или иные учетные данные, оправдан ли этот доступ и что именно нужно отозвать или обновить, когда кто-то меняет должность или увольняется.
Менеджер паролей для бизнеса предлагает управление учетными данными и доступом для команд любого размера. Вместо того чтобы относиться к учетным данным как к чему-то, чем команды управляют бессистемно, компании могут использовать специализированный инструмент для организации, совместного использования и отзыва доступа. Учетные данные можно группировать по командам, ролям или функциям, предоставлять доступ к конфиденциальным логинам меньшему числу людей и гораздо быстрее корректировать доступ при изменении обязанностей.
Proton Pass for Business поддерживает эти усилия, помогая организациям сократить хаотичное распространение учетных данных, ужесточить доступ к общим логинам и упростить соблюдение принципа наименьших привилегий в повседневной работе. Создавая группы, администраторы также могут управлять совместным доступом на уровне групп, что упрощает предоставление команде доступа к нужным хранилищам и его удаление при изменении бизнес-потребностей.Если ваша организация готова внедрить принцип наименьших привилегий, попробуйте Proton Pass бесплатно или свяжитесь с нашим отделом продаж.
