Solar inRights 3.0 контролирует конфликты полномочий пользователей

Solar inRights 3.0 контролирует конфликты полномочий пользователей

Компания «Ростелеком-Солар», национальный провайдер сервисов и технологий кибербезопасности, объявляет о выходе новой версии IGA-платформы Solar inRights 3.0. В мажорном релизе платформы для управления доступом к информационным системам (ИС) компаний реализован удобный механизм управления конфликтами полномочий – крайне востребованная рынком функциональность предотвращения SoD-конфликтов.

Конфликты полномочий пользователей в информационных системах компаний – одна из самых насущных и одновременно сложно решаемых задач сферы управления доступом. Предоставление тому или иному сотруднику полного контроля над процессом или активом повышает риски мошенничества в организации. Поэтому функциональность разграничения конфликтующих полномочий – SoD (Segregation of Duties) –– является необходимой составляющей эффективной стратегии управления рисками современной компании. В предыдущих версиях Solar inRights управление конфликтами полномочий осуществлялось с помощью сложных инженерных настроек, а начиная с версии 3.0 пользователи получают удобный автоматизированный инструмент для решения этой задачи.

В новой версии появился графический интерфейс, позволяющий формировать матрицу «критических» сочетаний прав (ролей) сотрудников в информационных системах компании. Данные о конфликтах могут быть импортированы из внешнего файла либо внесены в ручном режиме через интерфейс системы в форму «Настройка SoD-конфликтов». Матрица позволяет указывать на конфликты сочетаний с маркировками критичности. В случае критического сочетания (запрет) пользователь не может одновременно иметь конфликтующие роли, а в случае нежелательного сочетания (предупреждение) – может, но только при подтверждении уполномоченным сотрудником.

В Solar inRights 3.0 доступны различные сценарии реагирования на SoD-конфликты. Сначала система автоматически проверяет наличие критических и нежелательных ролей в заявке на предоставление прав доступа. Далее она анализирует, не запрашиваются ли роли, которые в комбинации с уже имеющимися у пользователя образуют критическое / нежелательное сочетание. Если такое сочетание обнаружено, то инициатору заявки выдаётся предупреждение о конфликте.

Затем система автоматически определяет, есть ли у пользователя авторизация, позволяющая создать заявку с SoD-конфликтами. Если такие права есть, можно продолжить оформление или удалить из заявки роли с критическим / нежелательным сочетанием. Если подобных прав нет, то конфликтующие полномочия с критическим сочетанием будут автоматически удалены, а полномочия с нежелательным сочетанием можно удалить или сохранить в заявке.

Система Solar inRights 3.0 регистрирует все события, связанные с возникновением или устранением SoD-конфликтов, в ней хранится полная информация по всем конфликтам полномочий. Отчёт можно в любой момент выгрузить из системы, сформировав нужную выборку с помощью удобных фильтров: по статусу конфликта, по подразделениям, сотрудникам, ролям и за определённый период времени.

Для своевременного оповещения о возникающих конфликтах Solar inRights 3.0 направляет уведомления владельцам ролей и офицерам ИБ. Система позволяет настроить доступ для просмотра и редактирования информации по SoD-конфликтам в зависимости от штатной позиции сотрудника.

Дмитрий Бондарь, директор Центра компетенций управления доступом компании «Ростелеком-Солар»: «В ответ на растущий спрос со стороны наших клиентов мы реализовали в новой версии возможность автоматизированного, достаточно простого и удобного управления конфликтами полномочий. Мы стремимся максимально облегчить решение этой нелегкой задачи для заказчиков как в технически, так и организационно, предлагая свой многолетний опыт и самую широкую на рынке экспертизу нашего Центра компетенций управления доступом».

Новую версию также отличает изменившаяся парольная политика. Теперь при смене пароля учетной записи пользователя в информационной системе будет применяться установленная для данной ИС политика. Если парольная политика для информационной системы не указана, то используются правила установки паролей, заданные в Solar inRights, – единственная опция в предыдущих версиях платформы. Более гибкие правила будут востребованы, если к некоторым системам в организации (например, содержащим строго конфиденциальные данные) предъявляются более жесткие требования установки паролей, чем к основной части систем. Или если в компании используются устаревшие или уникальные системы, для которых технически невозможно настроить централизованные парольные политики.

Для повышения удобства работы с платформой была значительно переработана функциональность управления e-mail-уведомлениями, поступающими пользователям от системы.

В базовых настройках Solar inRights уведомления содержат минимально достаточную информацию – номер заявки, назначение роли, дата создания. Однако система уведомлений может настраиваться под клиента и дополнительно включать информацию о точном времени создания запроса, ФИО, должности и подразделении инициатора, какие роли и для каких сотрудников требуются и т.п. Это позволяет получившему уведомление пользователю, быстро сориентироваться в сути запроса и оперативно его обработать.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры перехватывают 2FA с помощью хитроумной переадресации звонков

Специалисты по безопасности обнаружили, что злоумышленники отправляют жертвам вредоносную ссылку, которая автоматически настраивает переадресацию вызовов на нужный телефонный номер.

В свою очередь, как объясняют в 404 Media, это позволяет злоумышленникам перехватывать звонки и извлекать из них коды двухфакторной аутентификации.

Хакеры обманным путем заставляют своих жертв посредством нажатия на мошенническую ссылку с префиксом «tel://» набрать строго определенный номер телефона, указанный после слеша. Телекоммуникационные компании могли бы смягчить последствия атак, внедрив больше механизмов аутентификации.

Исследователь в области безопасности Джеймисон Винсенти О'Рейли отметил, что данные атаки представляют собой серьезную проблему, так как от жертвы требуется минимальное участие. После клика по ссылке и нажатия кнопки телефон самостоятельно набирает номер, а далее пользователю сообщается о переадресации звонков.

Самое интересное, что не срабатывает дополнительный механизм аутентификации, который бы позволил убедиться, что пользователь действительно хочет настроить переадресацию вызовов.

 

Специалист О'Рейли показал, как с помощью этой техники можно перехватить код двухфакторной аутентификации от Gmail. Этот и другие сервисы могут стать мишенью для атаки, поскольку иногда они передают такие коды голосом, а не просто текстом.

Представитель Google в своём сообщении отметил, что ограничение на использование голосовой верификации распространяется только на номера, указанные пользователем. Компания рекомендует проявлять осторожность в отношении неизвестных сообщений и ссылок от незнакомых пользователей. Для дополнительной защиты Google предлагает использовать одноразовые пароли, генерируемые приложениями, пуш-уведомления на телефоны, а также ключи доступа и токены.

В следующем видео О'Рейли рассказывает, что злоумышленник может позвонить жертве, представившись агентом службы поддержки или сотрудником телекоммуникационной компании, при этом подделав номер. Для перехвата телефонных звонков жертвы, хакер отправляет специально составленное СМС-сообщение с просьбой перезвонить.

 

В качестве дополнительных рекомендаций по предотвращению атак исследователь предлагает ввести ПИН-код, который был бы известен только пользователю, для настройки переадресации.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru