Как управлять доступом к корпоративным ресурсам с помощью платформы Makves

Как управлять доступом к корпоративным ресурсам с помощью платформы Makves

Платформа Makves создаёт единый интерфейс для управления продуктами Makves IAM (Identity and Access Management) и Makves DCAP (Data-Centric Audit and Protection). Мы расскажем, как решение Makves помогает специалистам по информационной безопасности управлять доступом к корпоративным ресурсам в распределённой ИТ-инфраструктуре с большим количеством сотрудников.

 

 

 

 

 

  1. Введение
  2. Makves IAM
  3. Makves DCAP
  4. Сценарий № 1: распределённая сеть с большим количеством сотрудников
  5. Сценарий № 2: организация доступа сотрудников (в том числе удалённых)
  6. Сценарий № 3: привлечение аутсорсеров для решения бизнес-задач
  7. Выводы

Введение

Платформа Makves, разработанная одноимённой российской компанией, позволяет в режиме реального времени вести учёт и контроль аккаунтов пользователей, имеющих доступ в информационную систему организации.

Основная проблема заключается в том, что в крупных компаниях с большим числом сотрудников и распределёнными сетями количество учётных записей может измеряться десятками тысяч единиц — ежедневно совершается большое число кадровых операций (увольнение сотрудников и приём новых на работу), сотрудники переводятся в другие подразделения и офисы, направляются в командировки на удалённые участки и производственные площадки, изменяются должностные обязанности и предоставляются доступы к различным информационным системам. В такой ситуации крайне сложно осуществлять централизованный сбор и хранение информации о доступе к корпоративным ресурсам без специальных средств.

Если управление доступом и учётными записями сотрудников не автоматизировано, то на ИТ-отдел ложится большая нагрузка: могут возникать ошибки при предоставлении доступа в связи с ручным администрированием, трудно определять, какой пользователь владеет какими правами и по какой причине. Кроме того, появляются высокий риск приостановки затронутых бизнес-процессов и рост временных затрат.

Рассмотрим преимущества использования платформы Makves и её компонентов для автоматизации ведения учётных записей пользователей и контроля доступа. Все продукты Makves связаны с интегрированной консолью управления. Это благоприятно влияет на удобство работы администраторов и офицеров ИБ, а также на скорость реагирования на различные бизнес-задачи.

 

Рисунок 1. Централизованное управление доступом с помощью платформы MAKVES

Централизованное управление доступом с помощью платформы MAKVES

 

Makves IAM

Система учёта и управления учётными записями Makves IAM (Identity and Access Management) позволяет вести реестр всех аккаунтов, прав доступа, ресурсов (электронных сертификатов, оборудования), предоставленных сотруднику. Основные объекты Makves IAM — работники, подрядчики, стажёры. Нередко для стажёров при найме не заводят отдельную учётную запись, а выдают стандартную, тем самым лишая специалистов по ИБ возможности контролировать действия персон окончивших стажировку.

Источником первичных данных для Makves IAM служит корпоративный домен. Как правило, это Active Directory или другой LDAP-сервер. Автоматически при интеграции с AD формируется персонал организации — список учётных записей AD, перечень прав на основе AD.

Второй источник информации для Makves IAM — 1С. Самая важная информация, которую получает система из 1C, — это срок действия контракта / договора подрядчика или сотрудника, по истечении которого доступ пользователя в сеть должен быть отозван. При такой интеграции происходит сопоставление учётной записи с Ф. И. О. сотрудника или его табельным номером.

Третий источник информации — индивидуализированные информационные системы, системы контроля и управления доступом (СКУД), старые системы учёта прав и учётных записей на основе Microsoft Access, Excel и т. п.

Кроме того, данные учётной записи сотрудника можно занести вручную через панель управления Makves. Учитывая все источники данных, Makves IAM становится единой точкой сбора сведений обо всех учётных записях сотрудника, связанных с корпоративными ресурсами. Основная цель, которая достигается при использовании Makves IAM, — контролировать и предотвращать доступ пользователей не уполномоченных на выполнение действий, закрывать учётные записи уволенного или временного сотрудника.

Makves IAM полностью интегрируется с платформой Makves и её компонентами, решением для аудита информационных ресурсов Makves DCAP и системой учёта инцидентов Makves IRP. Сотрудники службы безопасности и другие специалисты могут работать в едином информационном поле под общим интерфейсом, обмениваясь данными в режиме реального времени.

Система Makves IAM зарегистрирована в реестре российских программ для электронных вычислительных машин и баз данных (Приказ Минцифры России от 25 декабря 2020 г. № 755).

Makves DCAP

Makves DCAP (Data-Centric Audit and Protection) является классической системой аудита и управления информационными активами предприятия, направленной на подтверждение соответствия ключевым требованиям и стандартам, предотвращение возможных утечек информации, анализ рисков и выдачу рекомендаций по их устранению. Подробнее с возможностями Makves DCAP можно ознакомиться в нашем сертификационном обзоре.

При интеграции Makves IAM с Makves DCAP специалисты по безопасности могут контролировать не только учётные записи пользователей, но и доступ к информационным ресурсам организации.

 

Рисунок 2. Консоль Makves DCAP, раздел «События». Отображение действий пользователей над файлами

Консоль Makves DCAP, раздел «События». Отображение действий пользователей над файлами

 

Помимо контроля доступа к ресурсам и формирования матрицы доступа Makves DCAP анализирует поведение пользователей и выявляет их аномальное поведение (подключение к сети в неурочное время, попытки подключения к закрытым для пользователя сегментам сети, массовое скачивание / удаление / изменение файлов).

Система Makves DCAP также зарегистрирована в реестре российских программ для электронных вычислительных машин и баз данных (Приказ Минцифры России от 07.04.2020 № 162).

Рассмотрим реальные сценарии применения платформы Makves, позволяющие упростить контроль за учётными записями сотрудников организации.

Сценарий № 1: распределённая сеть с большим количеством сотрудников

Данный сценарий актуален для крупных организаций с разросшимся штатом сотрудников (среднее значение — 5 000 сотрудников, но можно внедрять платформу уже на объёме около тысячи работников). В такие организации каждый день может приходить до сотни человек, которым требуется оперативный доступ к информационным ресурсам. Частый случай — смена должностных обязанностей — порождает десятки кадровых операций в день. Пользователям нужно менять параметры доступа в связи со сменой обязанностей. За месяц таких операций могут быть сотни, и если делать всё вручную, то появляется риск возникновения ошибок, а результат трудно проконтролировать.

Рассмотрим практическую задачу: необходимо объединить все филиалы в общую систему управления и контроля доступа в децентрализованной ИТ-инфраструктуре предприятия.

Решение на базе Makves IAM: для централизованного администрирования подключаются корпоративный домен Active Directory, 1С и система контроля и управления доступом (СКУД).

В консоли Makves IAM сводная информация по сотрудникам организации отображается на вкладке «Персонал». Отдел информационной безопасности получает ясную картину состояния учётных записей и возможных проблем (просроченные контракты, наличие прав у неактивного сотрудника), информацию об активных запросах на доступ.

 

Рисунок 3. Консоль Makves IAM, раздел «Управление доступом», вкладка «Персонал». Сводная информация по персоналу организации

Консоль Makves IAM, раздел «Управление доступом», вкладка «Персонал». Сводная информация по персоналу организации

 

На каждого сотрудника заведена карточка. Она содержит подробную информацию о работнике:

  • тип сотрудника;
  • Ф. И. О.;
  • табельный номер;
  • куратор;
  • организация;
  • контракты;
  • ресурсы, в т. ч. сертификаты и токены.

В карточке ИБ-специалист может контролировать права сотрудника, выданные на уровне учетной записи в AD и на уровне его должностных обязанностей. В случае перевода сотрудника на другую должность или в другой филиал, можно быстро изменить параметры доступа к ресурсам компании.

 

Рисунок 4. Консоль Makves IAM, «Карточка сотрудника»

Консоль Makves IAM, «Карточка сотрудника»

 

Рисунок 5. Консоль Makves IAM, «Карточка сотрудника», вкладка «Права»

Консоль Makves IAM, «Карточка сотрудника», вкладка «Права»

 

Платформа Makves позволяет назначать и изменять права в соответствии с ролевой моделью. Вкладка «Контракты» отображает, к какому департаменту по контракту относится сотрудник, дата начала контракта и дата его закрытия.

 

Рисунок 6. Консоль Makves IAM, «Карточка сотрудника», вкладка «Контракты»

Консоль Makves IAM, «Карточка сотрудника», вкладка «Контракты»

 

В некоторых организациях у сотрудников может быть несколько контрактов в разных подразделениях. В связи с этим под каждый контракт задаётся своя учётная запись. Например, за специалистом могут быть закреплены две учётные записи — административная и техническая. При увольнении сотрудника должны быть отозваны обе.

 

Рисунок 7. Консоль Makves IAM, «Карточка сотрудника», вкладка «Учётные записи»

Консоль Makves IAM, «Карточка сотрудника», вкладка «Учётные записи»

 

Все изменения контрактов записываются в отдельный лог. Менеджеры, выполняющие повторную выдачу прав или сертификатов, могут чётко прослеживать, как сотрудники получили имеющиеся у них права доступа.

 

Рисунок 8. Консоль Makves IAM, «Карточка сотрудника», вкладка «История»

Консоль Makves IAM, «Карточка сотрудника», вкладка «История»

 

Централизованное управление ключевыми носителями и сертификатами на протяжении всего их жизненного цикла является одной из приоритетных задач службы информационной безопасности.

Для безопасного хранения и использования токенов важно ограничивать доступ к ним других лиц, своевременно осуществлять замену при смене должности, фамилии сотрудника. Ручной контроль и учёт в компаниях с большим количеством работников создаёт нагрузку на ИТ-отдел, а также риск возникновения ИБ-инцидентов.

Makves IAM позволяет контролировать все ресурсы (сертификаты, токены), которые могут быть выданы пользователям, в едином окне и вести их централизованный учёт.

 

Рисунок 9. Консоль Makves IAM, раздел «Ресурсы»

Консоль Makves IAM, раздел «Ресурсы»

 

Свою роль играет и человеческий фактор: сотрудник может передать носитель с ключом коллеге, что является нарушением регламентов безопасности. Возможна попытка подключения к сегментам сети, к которым пользователь больше не должен быть допущен в соответствии с новыми должностными обязанностями. В этом случае помогает функциональность DCAP — фиксация аномалий. Система проинформирует администратора о подозрительных попытках подключения.

Makves IAM может направлять администратору уведомления об истечении срока действия ресурсов, например сертификатов.

 

Рисунок 10. Консоль Makves DCAP, вкладка «Аномалии». Администратору ИБ отображены аномалии по времени, месту и файлам

Консоль Makves DCAP, вкладка «Аномалии». Администратору ИБ отображены аномалии по времени, месту и файлам

 

Рисунок 11. Консоль Makves DCAP, вкладка «Аномалии». Аномальные события по пользователю

Консоль Makves DCAP, вкладка «Аномалии». Аномальные события по пользователю

 

Рисунок 12. Консоль Makves IAM, карточка сертификата

Консоль Makves IAM, карточка сертификата

 

Сценарий № 2: организация доступа сотрудников (в том числе удалённых)

Процесс организации доступа к информационным ресурсам в компании без автоматизации состоит из нескольких этапов:

  1. данные сотрудника заносятся в 1С при приёме на работу;
  2. в службе каталогов Active Directory создаётся учётная запись;
  3. доступ к папкам, приложениям, рассылкам новый работник получает через обращение в службу поддержки после согласования с руководителем.

Сотрудник может получить множество доступов за годы своей работы в компании, при этом переходя в другие филиалы, меняя персональные данные или должность. Учитывая тот факт, что кадровых изменений может быть много, ответственный сотрудник выполняет ряд операций с помощью разрозненных инструментов — идёт в таблицу Excel, вносит изменения сначала туда, потом в AD.

В географически распределённой инфраструктуре процедуры выдачи и изменения прав могут занимать длительное время. В организации такого процесса нет предсказуемости и прозрачности. Как результат — высокий риск возникновения инцидента, простои, ошибки, слишком дорого обслуживать такой процесс, сотрудник мог бы заниматься другими полезными задачами.

С помощью автоматизации процесса выдачи прав работник может пользоваться всеми системами в рамках полномочий его роли уже в течение нескольких минут.

Makves IAM позволяет легко и быстро организовать доступ для удалённых сотрудников. Для системы удалённые сотрудники ничем не отличаются от обычных, разница лишь в дополнительных правах (права на группу или индивидуальное правило для VPN).

 

Рисунок 13. Консоль Makves IAM, запрос на доступ по VPN

Консоль Makves IAM, запрос на доступ по VPN

 

Для удобства использования и сокращения времени реагирования в Makves IAM предусмотрен портал самообслуживания, на котором работник самостоятельно может запросить необходимые права, например доступ по VPN.

Возможность делегировать задачу бизнес-менеджерам сокращает время приёма на работу и вступления в должность нового сотрудника.

 

Рисунок 14. Консоль Makves IAM, «Карточка сотрудника», вкладка «Запросы»

Консоль Makves IAM, «Карточка сотрудника», вкладка «Запросы»

 

Все запросы от сотрудников обрабатываются администратором безопасности в консоли Makves.

Сценарий № 3: привлечение аутсорсеров для решения бизнес-задач

Для решения некоторых бизнес-задач целесообразно подключение к сети организации сторонних контрагентов и аутсорсеров. В этом случае важно следить, чтобы права доступа для таких субъектов были своевременно отозваны, но поскольку взаимодействием с аутсорсерами занимаются сотрудники непосредственно задействованные в бизнес-процессах (менеджеры, договорной отдел, бухгалтерия), очень часто специалисты по ИБ остаются в неведении, на каком этапе находится взаимодействие со сторонними контрагентами.

Makves IAM контролирует учётные записи по сроку действия контракта, заключённого с субъектом доступа. Поэтому, когда контракт контрагента подходит к концу, Makves IAM автоматически генерирует для домена скрипт завершающий работу аутсорсера. В случае необходимости контракт и, следовательно, учётная запись могут быть продлены для продолжения решения бизнес-задач.

Выводы

Мы рассмотрели самые популярные сценарии применения платформы Makves для централизованного управления учётными записями пользователей и их правами. Основной упор делается на автоматизацию процессов контроля и снижение нагрузки на ИТ-отдел. Конечно, это решение в первую очередь предназначено для крупных организаций с большим числом сотрудников и контрагентов, однако прочим предприятиям платформа Makves может помочь в контроле прав доступа к ресурсам сети.

Все компоненты платформы Makves внесены в реестр российских программ для электронных вычислительных машин и баз данных, т. е. могут применяться в условиях импортозамещения.

В результате применения платформы Makves организации получают:

  • автоматизированный процесс управления доступом к ресурсам компании;
  • прозрачность процесса — понятно, кто несёт ответственность за предоставление доступа, бизнес-персонал может чётко прослеживать, какие сотрудники имеют доступ к ресурсам, в понятном виде;
  • непрерывный контроль обращения к корпоративным ресурсам;
  • снижение рисков утечки конфиденциальной информации, связанных с наличием несанкционированного доступа;
  • предотвращение финансовых и репутационных издержек, связанных с нарушением требований Федерального закона «О персональных данных» № 152-ФЗ;
  • возможность долгосрочного планирования бюджета на ИТ вне зависимости от колебаний курса валют.

Также стоит отметить:

  • единое информационное поле для работы специалистов по ИБ, единую консоль управления всеми компонентами платформы Makves;
  • большое число источников данных для Makves IAM;
  • возможность разработки коннекторов к любым базам данных с открытым API в зависимости от требований заказчика;
  • полный реестр учётных записей и выданных прав доступа сотрудников организации;
  • фильтрацию данных о правах пользователей по любым доступным атрибутам;
  • своевременное выявление несоответствия, неиспользуемых учётных записей и «забытых» прав доступа.
Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru