99 проблем, но Identity Security-ландшафт – не одна из них

Привет, Хабр! На связи Дмитрий Грудинин, ваш гуру многофакторной аутентификации. Почва для размышления на сегодня: легко ли уследить за правами доступа, когда в компании работают тысячи сотрудников, используется множество ролей, а количество систем насчитывает десятки, и даже сотни?.. 

Рынок решений по ИБ предлагает 100500 аббревиатур: IDM, IAM, IAG, DAG, etc.
Давайте вспомним (ну или запомним) самые распространенные из них:

PAM (Privileged Access Management):

• PAM (Управление привилегированным доступом): контроль привилегированного доступа. Система организованно хранит, отслеживает, обнаруживает и предотвращает несанкционированный привилегированный доступ к критически важным ресурсам.

IDM/IGA (Identity Management / Identity Governance & Administration):

• IDM (Identity Management): система управления учетными записями и доступом к корпоративным ресурсам предприятия.

• IGA (Identity Governance & Administration): Управление жизненным циклом учетных записей и правами доступа, включая управление доступом сотрудников, технологическими учетными записями, привилегированными и административными учетными записями.

DAG (Data Access Governance):

• DAG (Управление доступом к данным): управление доступом к неструктурированным данным: мониторинг, структурирование и аудит служб каталогов, файловых серверов и доступных извне хранилищ.

DS (Directory Service):

• DS (Служба каталогов): служба каталогов, предназначенная для хранения конфигурации и инфраструктуры и централизованного управления инфраструктурой, например, MS AD.

IAM (Identity & Access Management):

• IdP (Identity Provider): сервис, который управляет идентификационной информацией для пользователей в сети. 

• SSO (Single Sign-on): единая точка входа для веб-приложений, технологичных сервисов и API с неограниченным количеством пользователей.

• 2FA/MFA: многофакторная аутентификация в корпоративных системах.

SIEM (Security Information and Event Management): решение для централизованного сбора, анализа и оценки корреляции событий информационной безопасности, которое помогает организациям выявлять угрозы и оперативно на них реагировать.

IRP (Incident Response Platform): система автоматизации реагирования на инциденты информационной безопасности.
PoLP (Principle of least privilege): принцип наименьших привилегий. 

Не устали от этого мини-киберсловаря? Это мы ещё не пытались выбирать решения для внедрения, а просто перечислили их. 

Оценить влияние тех или иных решений на задачи ИБ и потребности бизнеса – та ещё головоломка. На основе чек-листа «100 Essential Prompts» (Rezonate, оригинал) мы разработали свой, улучшенный список, поэтому наш содержит подсказки, к каким классам решений относится тот или иной вопрос. Зачем это нужно? Чтобы принять решение о внедрении на основании вопросов, которые вызовут максимальное беспокойство или неуверенность в ходе вдумчивого чтения. 

Наливайте кофе, берите протеиновый батончик и поехали! 

I. Базовый уровень доступа 

1. Контролируете ли вы у кого в данный момент есть права администратора или другой тип привилегированного доступа? (IDM/IGA, PAM)

2. Все ли из администраторов по-прежнему работают на тех же должностях, и всем ли нужен расширенный доступ? (IDM/IGA)

3. Есть ли в системе учетные записи администраторов, которые не использовались последние 90 дней? (PAM, IDM/IGA)

4. Все ли пользователи имеют доступ, соответствующий их должностным обязанностям? (IDM/IGA, DAG, PAM)

5. Какие пользователи имеют разрешения, выходящие за рамки их ролей (наслаивание прав)? (IDM/IGA, DAG)

6. Есть ли у вас в организации неактивные учетные записи? (IDM/IGA, IAM)

7. Включены ли брошенные учетные записи бывших сотрудников, которые нужно удалить? (IDM/IGA)

8. Сохранен ли активный доступ для подрядчиков и сторонних пользователей? (IDM/IGA)

9. Были ли отозваны временные учетные записи и их привилегии по прошествии назначенного времени? (IDM/IGA, PAM)

10. Как вы решаете задачи изменения ролей и модификации прав доступа? (IDM/IGA)

II. Аутентификация и авторизация (Authn & Authz)

11. Включена ли многофакторная аутентификация для всех критически важных приложений? (IAM)

12. Используете ли вы политики применения надежных паролей для всех SaaS- и облачных приложений? (IAM, DS, IDM/IGA)

13. Есть ли у вас пользователи, которые входят в систему из подозрительных или необычных локаций? (IAM)

14. Когда последний раз проводился пересмотр прав доступа пользователей? Кто это делал? (IDM/IGA)

15. Правильно ли проведена настройка политик SSO (Single Sign-On) для всех приложений, подключенных к Identity Provider? (IAM)

16. Вы применили принцип наименьших привилегий (PoLP) для всех учетных записей? (IDM/IGA)

17. Ограничено ли использование ключей API доверенным списком пользователей и приложений? (IDM/IGA, IAM)

18. Активны ли истекшие токены API и сервисные учетные записи? (IDM/IGA, IAM)

19. Как часто проводится аудит и обновление политики авторизации? (IDM/IGA)

20. Создана ли понятная и прозрачная процедура отзыва неиспользуемых прав доступа и учетных записей? (IDM/IGA)

III. Управление доступом (Identity Management)

21. Настроены ли внешние Identity Provider, такие как ЕСИА, Яндекс ID, VK ID, СберID, СберBusiness ID, МТС ID и другие для автоматического создания в прикладных системах УЗ и/или предоставления прав на основе переданных scopes/permissions в токенах? (IAM, IDM/IGA)

22. Как реализована практика управления политиками и правилами аутентификации и жизненным циклом учётных записей для всех используемых платфор? (IAM, IDM/IGA)

23. Имеются ли дубликаты или конфликтующие профили пользователей в разных системах? (IDM/IGA, IAM)

24. Можно ли утверждать, что все политики идентификации соответствуют с политиками компании и требованиями регуляторов (IDM/IGA)?

25. Есть ли у вас сервисные учетные записи, привязанные к определенным профилям? Так ли они нужны? (IDM/IGA)

26. Есть ли у вас пользователи с конфликтующими или частично совпадающими ролями? (IDM/IGA)

27. Используете ли вы общие учетные записи? Для чего? (IDM/IGA, IAM)

28. Действительно ли профили пользователей актуальны и синхронизированы между облачными платформами и SaaS-приложениями? (IDM/IGA, IAM)

29. Консистентны ли группы пользователей и их права среди всех SaaS и облачных платформ? (IDM/IGA, IAM)

30. Как часто пересматривается и обновляется принадлежность пользователей к определенным ролям? (IDM/IGA)

IV. Привилегированный доступ

(Privileged Access Management)

31. Как реализован мониторинг привилегированных аккаунтов на предмет избыточной или подозрительной активности? (PAM, IDM/IGA)

32. Все ли привилегированные учетные записи настроены согласно принципу наименьших привилегий (PoLP)? (PAM, IDM/IGA)

33. Есть ли у вас бездействующие привилегированные учетные записи? (PAM, IDM/IGA)

34. Разработан ли процесс регулярного пересмотра прав привилегированных учетных записей? (IDM/IGA)

35. Как происходит контроль и аудит учетных записей, используемых для восстановления доступа в экстренных ситуациях? (IDM/IGA, PAM)

36. Какие привилегированные учетные записи не защищены с помощью MFA? (PAM, IAM)

37. Все ли сессии привилегированных учетных записей протоколируются и отслеживаются? (PAM, IAM)

38. Как вы работаете с root-привилегиями в облачных средах? (PAM)

39. Есть ли у вас какие-либо привилегированные права, которые можно отозвать или понизить? (PAM, IDM/IGA)

40.  Есть ли такие VM, на которых выданы избыточные привилегированные права доступа? (PAM, IDM/IGA)

V. Доступ к SaaS-приложениям

41. Используете ли вы провиженинг пользователей непосредственно в SaaS-приложениях или через SSO? (IAM, IDM/IGA)

42. Какие роли пользователей присваиваются в каждом из SaaS-приложений? (IDM/IGA, IAM)

43. Есть ли активные учетные записи, которые принадлежат бывшим сотрудникам или подрядчикам? (IDM/IGA)

44. Соответствуют ли роли, выдаваемые в SaaS-приложениях, корпоративным политикам? (IDM/IGA)

45. Есть ли в системе пользователи с кастомными разрешениями, которые выходят за рамки стандартных ролей? (IDM/IGA)

46. Как реализовано ограничение доступа к чувствительной информации в SaaS-приложениях? (DAG, IDM/IGA)

47. Нет ли SaaS-приложений, которые открывают широкий и неограниченный доступ внутренним или внешним пользователям? (IDM/IGA)

48. Как часто происходит пересмотр разрешений доступа для каждого SaaS-приложения? (IDM/IGA)

49. Отслеживаете ли вы аномалии в протоколах доступа пользователей к SaaS? Насколько регулярно это делается? (PAM, IAM)

50. Ограничен ли доступ к панелям управления SaaS теми пользователями, которым это действительно необходимо? (IDM/IGA)

VI. Доступ на межсервисном уровне (M2M)

51. Как реализовано управление токенами OAuth? Настроено ли их отключение через определенные промежутки времени? (IAM)

52. Есть ли у вас неиспользуемые или устаревшие сервисные учетные записи, которые нужно отключить? (IDM/IGA, IAM)

53. Соответствуют ли сервисные учетные записи принципу минимальных привилегий (PoLP)? (IDM/IGA, IAM)

54. Как часто происходит ротация токенов API и ключей доступа? (IAM)

55. Привязаны ли токены API к определенным профилям или приложениям, чтобы избежать неправомерного использования? (IAM, IDM/IGA)

56. Контролируете ли вы использование секретов (ключей API, паролей и т.д.) в исходном коде/образах контейнеров/базах данных и т.д. и применение секретов посредством получения из внешнего защищённого хранилища? (SMT)

57. Как реализовано защищенное хранение секретов (ключи API, пароли и т.д.) в используемых платформах? (SMT)

58. Отслеживаете ли вы использование межсервисных профилей и УЗ на предмет нетипичного или неправомерного использования? (IAM)

59. Автоматизирован ли процесс отзыва или ротации скомпрометированных ключей? (IAM, IDM/IGA)

60. Сохраняет ли система протоколирования все действия, совершаемые сервисными учетными записями и УЗ, используемыми для межсервисной аутентификации и авторизации? (IAM)

VII. Нарушения политик доступа и требований регуляторов

61. Все ли политики доступа соответствуют требованиям регуляторов (ФСТЭК, положения ЦБ и так далее)? (IDM/IGA)

62. Бывают ли у вас случаи неавторизованного доступа к чувствительным системам? (IDM/IGA, SIEM/SOAR, IRP)

63. Как реализовано обнаружение нарушений прав доступа и информирование об инцидентах? (IDM/IGA, SIEM/SOAR, IRP) 

64. Есть ли у вас исключения в сфере прав доступа, которые нужно задокументировать для проведения аудитов? (IDM/IGA)

65. Используются ли автоматизированные инструменты для информирования о нарушениях прав доступа в реальном времени? (IDM/IGA)

66. Соответствуют ли ролевые политики доступа внутренним и внешним регулятивным правилам? (IDM/IGA)

67. Как часто пересматриваются и обновляются политики прав доступа для обеспечения соответствия регуляторным правилам? (IDM/IGA)

68. Разработана ли прозрачная схема аудита для всех изменений прав доступа и привилегий? (IDM/IGA)

69. Как вы работаете с исключениями в политиках доступа? Обеспечен ли их пересмотр? (IDM/IGA)

70.  У вас были случаи нарушения требований регуляторов в рамках текущих практик управления доступом? (IDM/IGA)

VIII. Наслаивание прав доступа и брошенные учетные записи

71. Есть ли у вас в системе учетные записи, у которых со временем накопилось много привилегий (наслаивание прав)? (IDM/IGA)

72. Удаляются ли роли у пользователей, чтобы избежать наслаивания прав? (IDM/IGA)

73. Есть ли у вас брошенные учетные записи, принадлежащие бывшим сотрудникам или системам, работу которых вы не отслеживаете? (IDM/IGA)

74. Как вы обнаруживаете и удаляете брошенные учетные записи по всем платформам? (IDM/IGA)

75. Наблюдаются ли случаи использования SaaS-приложений или облачных ресурсов пользователями, которым они на самом деле больше не нужны? (IDM/IGA, IAM)

76. Проводятся ли пересмотры прав доступа достаточно часто во избежание наслаивания прав? (IDM/IGA)

77. Внедрены ли практики обнаружения учетных записей с минимальной активностью? (IDM/IGA, IAM)

78. Как реализован мониторинг сервисных учетных записей на предмет доступа с заброшенных аккаунтов? (IDM/IGA, IAM)

79. Настроен ли механизм оповещения о неиспользуемых учетных записях для своевременного принятия мер? (IDM/IGA, IAM)

80. Разработана ли формальная процедура проверки старых учетных записей на предмет накопления избыточных прав доступа? (IDM/IGA, IDM) 

IX. Аудит и протоколирование

81. Журналируете ли вы все изменения прав доступа с отметкой о конкретных пользователях и временем внесения? (IDM/IGA)

82. Происходит ли регулярный аудит журналов предоставления доступа для обнаружения подозрительных изменений прав доступа? (IDM/IGA)

83. Документируются ли все запросы, одобрения и отказы в предоставлении доступа? (IDM/IGA)

84. Как вы поддерживаете состояние журналов изменения прав доступа для проведения аудита? (IDM/IGA)

85. Действительно ли журналы изменения доступа хранятся безопасно, а доступ к ним имеет только авторизованный персонал? (IDM/IGA)

86. Есть ли у вас процессы, позволяющие обнаружить аномалии в шаблонах доступа/ролевой модели? (IDM/IGA)

87. Производите ли вы централизованный сбор журналов изменения доступа от всех SaaS-приложений и облачных платформ для аудита? (IDM/IGA)

88. Как долго вы храните журналы изменения доступа для проведения аудита и соответствия требованиям регуляторов? (IDM/IGA)

89. Настроено ли достаточное журналирование для сохранения всех релевантных событий, связанных с доступом (в том числе попыток входа, изменения разрешений и т.д.)? (IAM, IDM/IGA, SIEM, IRP)

90. Как вы обеспечиваете контроль целостности журналов доступа и событий, связанных с доступом? (SIEM, IRP)

X. Автоматизация процессов пересмотра прав доступа

91. Есть ли у вас автоматизированные инструменты для проверки, пересмотра и составления отчетов о правах доступа пользователей? (IDM/IGA)

92. Как настроены автоматизированные процессы пересмотра прав доступа? (IDM/IGA)

93. Соответствуют ли автоматические отчеты о пересмотре прав доступа политикам компании? (IDM/IGA)

94. Созданы ли необходимые триггеры в автоматизированных системах для отключения брошенных учетных записей? (IDM/IGA)

95. Включены ли процессы автоматизированного предоставления и отзыва прав доступа для всех SaaS-приложений и облачных систем? (IDM/IGA) 

96. У вас настроены автоматические уведомления в случае нарушений политики доступа? (IDM/IGA)

97. Как часто происходит тестирование средств автоматического пересмотра прав доступа на предмет их эффективности? (IDM/IGA)

98. Настроена ли система автоматизированного пересмотра прав доступа на обеспечение минимальных необходимых прав для привилегированных учетных записей? (IDM/IGA)

99. Выполняется ли устранение нелегитимных прав доступа в облачных и SaaS-средах? (IDM/IGA)

Заключение

Да, 99 пунктов — это не мало. Мы заморочились с чек-листом выше, чтобы вы легко могли определить потенциальные угрозы, выявить слабые места и понять, какие решения будут наиболее эффективны для усиления безопасности именно у вас. 

Угадаете, какой класс решений упоминается в чек-листе чаще всего? (Правильный ответ: IDM). Нетрудно догадаться, что автоматизация и внедрение современных решений упростят управление доступом и сведут к минимуму риски утечек данных или несанкционированного доступа. 

Long story short, теперь уровень безопасности вашей ИТ-инфраструктуры станет выше (уверены на 99%).