+7 495 223 35 33 (Москва) | 8 800 550 52 23 (Бесплатно по РФ)

20.12.2021
Каковы передовые методы управления доступом поставщиков на основе политик?

ГлавнаяБлог — Каковы передовые методы управления доступом поставщиков на основе политик?

Каковы передовые методы управления доступом поставщиков на основе политик?

Рассмотрите политики и процессы, связанные с предоставлением и отзывом привилегированного доступа сторонних поставщиков, а также технологические решения, такие как Vendor Privileged Access Management (VPAM), которые могут быть использованы для определения и обеспечения их соблюдения.

Разработайте процесс, которому легко следовать, и внедрите политику управления привилегированным доступом вашей организации, затем задокументируйте его и распространите среди всех поставщиков.

Структурируйте процессы таким образом, чтобы они отражали ваши внутренние политики доступа:

  1. Существует ли установленная процедура предоставления привилегированного доступа сторонним поставщикам?
  2. Требует ли эта процедура, чтобы лицо, предоставляющее привилегированный доступ, имело достаточные права и полномочия для этого? Требуется ли авторизация на уровне высшего или руководящего звена для доступа к конфиденциальным данным или инфраструктуре?
  3. Автоматизирована ли эта процедура так, чтобы любые предпринятые действия поддавались возможности аудита и отслеживания?
  4. Как вы гарантируете, что поставщикам будет предоставлен только минимальный уровень доступа, необходимый для выполнения их работы?
  5. Можете ли вы записывать рабочие сеансы без необходимости установки какого-либо программного обеспечения на компьютеры поставщика?
  6. Эта процедура включает регулярный аудит с целью убедиться, что привилегированные учетные записи поставщиков все еще используются и что они по-прежнему имеют наименьшие привилегии, которые фактическим требуются поставщику?
  7. Как реализуется процедура расторжения рабочих отношений с поставщиком?

Включите в свою документированную комплексную PAM-политику сценарии использования поставщиков и рассмотрите их:

  1. Существует ли четко сформулированная политика в отношении того, как поставщикам предоставляется доступ к внутренним ресурсам?
  2. Политика доступа основана на стандартах, установленных внешними органами управления, такими как NIST, ISO, PCI-DSS, HIPAA или GDPR?
  3. Вы можете гарантировать, что поставщики, работающие удаленно, используют многофакторную аутентификацию?
  4. Политика доступа содержит достаточно сведений, чтобы ее можно было применять согласованно?
  5. Политика является достаточно гибкой, чтобы учитывать различные сценарии использования?
  6. Проводит ли политика оценку и разделение поставщиков по профилю риска, исходя из характера рабочих отношений, систем, к которым им потребуется доступ, и самого поставщика?
  7. Как рассматриваются исключения?
  8. Существует ли версия политики, доступная для третьих сторон и поставщиков, чтобы они могли получить информацию о своих правах и обязанностях, а также о любых последствиях в случае несоответствия установленным требованиям?
  9. Политика доступа поставщиков задокументирована, и ей легко могут воспользоваться все сотрудники организации, которые имеют соответствующие права?

Как VPAM может сдерживать и смягчать риски, связанные с доступом третьих лиц?

К счастью, грамотное применение VPAM-решений может помочь сдерживать риски, управлять привилегированным доступом и вести аудиторский учет для привлечения к ответственности в случае нарушения установленных политик.

  • Инструменты для организации рабочих процессов. Представьте себе жизненный цикл доступа поставщика: авторизация, предоставление, сохранение или реклассификация, отключение... и в конце цикла учетная запись может быть возобновлена, повторно утверждена, отключена или аннулирована. С помощью PAM-решений вы можете создать стандартный автоматизированный рабочий процесс, который будет использоваться каждый раз, когда третьей стороне потребуется доступ к определенным ресурсам. Автоматизируя рабочий процесс, вы можете быть уверены, что все подрядчики и поставщики предоставят всю необходимую информацию, подтвердят, что они ознакомлены с политикой допустимого использования (и подписали ее), а также получат разрешение руководства на предоставление им привилегированного доступа. Все эти операции можно проводить на центральном портале, чтобы отслеживать всех поставщиков и системы, даже если у них нет корпоративного компьютера или адреса электронной почты.

  • Роли на основе политики и доступ с наименьшими привилегиями. Первый шаг при предоставлении доступа — убедиться, что поставщику предоставлен только минимальный необходимый уровень доступа. Вы можете использовать решение Role-Based Access Control (RBAC) для настройки базового и стандартного доступа. Таким образом вы сможете определить, к каким системам поставщик может получить доступ и каковы его права в каждой системе. Вы даже можете установить, какие действия они могут выполнять, например, какую кнопку можно нажать, какой текст можно прочитать, какие формы можно заполнить, и многое другое. Вы можете установить временные ограничения для каждой учетной записи, автоматически аннулируя доступ, если он не будет пересмотрен и продлен.

  • Мониторинг. С помощью усовершенствованного решения PAM вы можете отслеживать активность привилегированных учетных записей каждого поставщика, включая то, к каким системам они имеют доступ и какие действия выполняются в этих системах. Оценка на основе риска может показать, у кого какой уровень доступа к каким ресурсам, чтобы вы могли определить приоритетность доступа с высокой степенью риска. В зависимости от их уровня привилегированного доступа, конфиденциальности их работы и общего профиля риска, рассмотрите возможность использования инструментов для мониторинга рабочих сеансов, их записи и регистрации нажатий клавиш.

  • Обнаружение аномального поведения. В сочетании с мониторингом рабочих сеансов вы можете включить функцию обнаружения аномального поведения. Пытается ли поставщик получить доступ к системам, к которым он не должен иметь доступа? Наблюдается ли внезапное увеличение доступа к учетной записи со стороны определенных пользователей или систем? Наблюдается ли нетипичный доступ к определенным привилегированным учетным записям? Осуществляется ли доступ к учетным записям в нестандартное время или из необычных мест? Автоматизированный мониторинг в сочетании с инструментами глубокой отчетности помогает выявить риски для привилегированных учетных записей, чтобы вы могли принять соответствующие меры.

  • Обнаружение. Вы можете использовать инструменты обнаружения привилегированных учетных записей для периодической проверки неиспользуемых или неизвестных учетных записей и для того, чтобы убедиться, что они включены в центральный портал. Только действующие сторонние поставщики с надлежащим статусом должны сохранять доступ.

Как управление доступом поставщиков работает в реальном мире?

Представьте себе несколько распространенных сценариев того, как поставщики могут работать с вашей организацией и как вы можете обеспечить их продуктивную работу.

Удаленный подрядчик, работающий над ограниченным по времени проектом.
Отдел маркетинга привлекает третью сторону — возможно, подрядчика по маркетинговым исследованиям — для работы над конкретным проектом в течение определенного времени. Подрядчик будет работать вне офиса, и ему необходим удаленный доступ к внутренним хранилищам данных, средствам коммуникации (например, внутренним доскам для обсуждений) и общим дискам. Подрядчик использует свой собственный ноутбук.

Подход к уменьшению рисков

  • Назначение соответствующих ролей и привилегий. Не создавайте индивидуальную роль или индивидуальные разрешения для каждого подрядчика. Как можно чаще определяйте и применяйте стандартные роли для подрядчиков. Это облегчает управление разрешениями для всех подрядчиков, включая изменение и обновление правил доступа. Это также гарантирует повсеместное применение и соблюдение политик.
  • Ограничение доступа. Выделите время, чтобы убедиться, что подрядчику предоставлен доступ только к тем ресурсам, которые ему необходимы. Вы также можете установить рабочее время поставщика, ограничив время, когда ему разрешен доступ к привилегированным ресурсам.
  • Мониторинг использования. Периодически проверяйте доступ и отмечайте аномальное поведение.
  • Установка срока действия доступа. Согласуйте время предоставления доступа с продолжительностью проекта удаленного поставщика. Установите автоматическую дату истечения срока действия доступа, когда контракт должен быть закончен. Лучше установить дату окончания и при необходимости продлить ее, а не оставлять участие в проекте бессрочным.
  • Аудит после расторжения рабочих отношений. Установите политику расторжения рабочих отношений, которая предусматривает периодический, регулярно проводимый аудит всех учетных записей поставщиков с истекшим сроком действия, чтобы убедиться, что учетная запись была удалена и не было зафиксировано случаев несанкционированного доступа (или попыток доступа) после завершения работы удаленного поставщика.

Постоянный подрядчик. Группа поддержки нанимает представителя службы поддержки клиентов в рамках долгосрочного контракта на оказание консультационных услуг, и он работает вместе с сотрудниками, занятыми полный рабочий день. Подрядчик работает на месте в центральном офисе компании, полностью в рамках корпоративной инфраструктуры, используя общий компьютер, выданный компанией.

Подход к уменьшению рисков

  • Назначение соответствующих ролей и привилегий. Постоянные подрядчики, работающие наравне со штатными сотрудниками, редко имеют право на такой же уровень доступа. Назначьте им роль и разрешения, которые отражают их ограниченный функционал.
  • Ограничение доступа. Постоянные подрядчики часто не должны иметь универсального доступа, как в случае со штатными сотрудниками. Ограничьте доступ только теми ресурсами, которые подрядчик должен использовать.
  • Защита конечного устройства. Поскольку постоянный подрядчик использует устройство, выданное компанией, у вас есть больше возможностей для блокировки самого устройства, включая установку агентов мониторинга, антивирусного программного обеспечения и ограничения того, что можно делать на ноутбуке.
  • Мониторинг использования. Проводите аудит использования, как и в случае со штатным сотрудником, обращая особое внимание на использование в нерабочее время, а также на попытки доступа к ограниченным или конфиденциальным ресурсам.
  • Установка срока действия доступа. Если постоянный подрядчик работает по срочному контракту, настройте его учетную запись и доступ таким образом, чтобы они автоматически блокировались по истечении срока действия контракта.

Персонал, привлеченный на договорной основе. Вся разработка программного обеспечения передана на аутсорсинг удаленной команде сторонних разработчиков. Команда работает над важным проектом, и ей требуется доступ к внутренним инструментам, системам и привилегированным учетным записям. Хотя количество людей в команде разработчиков остается постоянным, наблюдается большая текучесть кадров: одни специалисты уходят, а другие — приходят. Команда работает удаленно, используя собственное изолированное оборудование с безопасным удаленным доступом к важнейшим корпоративным системам.

Подход к уменьшению рисков

  • Назначение соответствующих ролей и привилегий. В дополнение к созданию и назначению стандартных ролей и разрешений, убедитесь, что каждый пользователь использует свою собственную учетную запись и что учетные записи не используются совместно и не передаются от одного человека к другому, особенно если среди сотрудников наблюдается текучесть кадров.
  • Ограничение доступа. Строго следите за предоставлением только наименьших необходимых привилегий, особенно если поставщику требуется доступ к критическим системам.
  • Защита конечного устройства. Обеспечьте безопасный доступ и, если возможно, установите программные агенты на все конечные устройства, которые поставщик использует для доступа к вашим корпоративным системам. Это особенно важно, если поставщик работает с несколькими заказчиками, чтобы избежать перекрестного заражения между проектами.
  • Мониторинг использования. Проводите аудит использования, как и в случае со штатным сотрудником, обращая особое внимание на использование в нерабочее время, а также на попытки доступа к ограниченным или конфиденциальным ресурсам.
  • Установка срока действия доступа. Если контракт не является бессрочным, настройте автоматическую блокировку доступа в конце срока действия контракта. Даже для бессрочных контрактов установление даты истечения срока действия доступа снизит риск того, что поставщик получит доступ после завершения работы.

Хотя в каждом сценарии характер работы разный: разная продолжительность, разные привилегии, разное владение привилегированными учетными записями, разная ответственность. Тем не менее существуют общие методики и процессы — аутентификация, авторизация, аудит — которые могут быть применены к любому сценарию. И их можно применять как к внутренним ресурсам, так и к веб- и облачным ресурсам.

Попробуйте сами!
Полная версия Thycotic Secret Server
на 30 дней

На время тестирования предоставляется техническая поддержка по телефону и электронной почте на русском языке

Мы поможем вам установить и настроить Secret Server

Москва, Россия
8 495 223 35 33
8 800 550 52 23

London, UK
44 2036 084323

Washington D.C.
1 202 802 9399