Выбрать страницу

В последнее время специалисты по безопасности много говорят о необходимости практического применения концепции нулевого доверия и подобных сложных вещах, но если их упростить, становится очевидным: защищать нужно всё и везде.

Раньше считалось, что можно построить надежную внешнюю оборону, не слишком заботясь о внутренних системах. Сейчас такой подход не пройдет — злоумышленники рано или поздно отыщут лазейку, а потенциальные инсайдеры присутствуют в локальной сети изначально. Существует множество способов обнаружить и пресечь их вредоносную активность, и сегодня мы поговорим о правильной организации доступа к файловым хранилищам.

Почему доступ к файлам так важен?

Недавно мы провели
исследование в банковских, страховых и инвестиционных компаниях, то есть организациях, которые имеют дело с критичной информацией клиентов и по определению должны серьезно заботиться о безопасности. Результаты оказались плачевными:

рядовому сотруднику в среднем доступно почти 11 млн файлов, причем в зависимости от размера ИТ-инфраструктуры этот показатель мог увеличиваться вдвое;

около 20% сетевых папок открыты для всех внутренних пользователей;

39% участвовавших в исследовании компаний имеют более 10 000 устаревших, но все еще активных учетных записей, а 60% — не менее 500 (в среднем около 1000) паролей без истечения срока действия.

Что касается общедоступных конфиденциальных файлов, их счет обычно идет на тысячи — злоумышленнику не нужно осуществлять сложный взлом, для доступа к важным данным ему достаточно попасть в локальную сеть одного из филиалов и получить права обычного пользователя. Как вывести файлы наружу — вопрос решаемый, особенно если в компании практикуется использование личных мобильных устройств. Но и без этого способов хватает, особенно если системы противодействия утечкам и защиты доступа к данным о критичности этих файлов еще ничего не знают.

С чего начать процесс изменения?

В первую очередь необходимо понять, какие данные нуждаются в защите. В распределенной ИТ-инфраструктуре крупной компании это может оказаться непростой задачей, ведь количество серверов и файловых хранилищ в ней обычно исчисляется десятками, а общих ресурсов на рабочих компьютерах могут быть сотни и тысячи. Даже провести аудит силами ИТ-департамента в такой ситуации сложно, а настроить права доступа, следить за их актуальностью и контролировать безопасность выдаваемых пользователям привилегий в ручном режиме и вовсе невозможно. Из-за человеческих и технических ошибок хаос будет нарастать даже в крайне маловероятном без специальных инструментов контроля случае, если ценой титанических усилий сотрудников ИТ удастся единоразово навести в сети порядок.

Помимо организационных мер, потребуются специальные технические средства для непрерывной классификации данных и управления правами доступа к ним. Начать, однако, стоит с разработки и утверждения «Регламента использования информационно-файловых ресурсов», а потом уже переходить к выбору и внедрению решений для автоматизированного контроля за его соблюдением.

Как организовать доступ?

Есть несколько важных моментов, которые необходимо учесть в процессе определения требований регламента организации файловых ресурсов. Если коротко, все они сводятся к простому принципу: пользователь должен получить минимум необходимых ему для работы прав.

К примеру, на сетевую папку всем пользователям можно назначить права (Share Permissions) на изменение, а полный доступ дать только локальным администраторам. Даже если внутри ресурса кому-то по ошибке разрешат полный контроль средствами NTFS, воспользоваться привилегиями по сети не получится. Крайне нежелательно создавать вложенные сетевые ресурсы, потому что они приводят к путанице с настройкой прав доступа — для этих целей есть DFS.

Советы по настройке прав доступа

• Определите стандарты для назначения прав доступа

Организации используют множество типов разрешений, включая чтение, запись, изменение, полный доступ и т. д. В большинстве случаев чтение и изменение — единственные разрешения, необходимые бизнес-пользователям. Они должны назначаться в зависимости от каталога, группы безопасности, а не на основе ролей. Использование групп безопасности при назначении прав доступа для конкретного каталога снижает риск появления прямых разрешений. Это уменьшает сложности администрирования, делает права пользователя более наглядными (убирает вложенные группы), сокращает размер токена (количество групп) для каждого пользователя, а также количество групп в AD. Другой вариант — для каждой папки верхнего уровня создать отдельную группу с правами только на просмотр содержимого.

Например, у производственной компании могут быть унаследованные права доступа к конфиденциальной информации, которые разрешают чтение, запись, изменение, выполнение и специальные разрешения. Потребителями этих данных могут быть пользователи из группы «Продуктовый менеджмент», руководители компаний, команды по управлению проектами и инженеры. В большинстве случаев только несколько ключевых членов каждой команды должны иметь право на изменение данных. Обеспечение стандарта доступа, при котором существует только одна группа с правом чтения для конкретной папки и одна – с правом изменения, гарантирует, что только привилегированные пользователи могут изменять данные.

• Определите структуру папок и разрешений

Стоит разработать структуру папок, в которой защищенные папки (наследование которых ограничено) размещаются на верхнем уровне. Данные должны быть сгруппированы по папкам, чтобы наследование можно было использовать на многих уровнях структуры папок. Это позволяет контролировать количество защищенных папок и облегчает процесс пересмотра прав доступа. Папки с ограниченным наследованием NTFS должны управляться как независимые объекты разрешений.

• Используйте глобальные группы только для общедоступной информации

Глобальные группы доступа следует использовать только для предоставления пользователям доступа к общедоступной информации. Если позволяют ресурсы сервера, нужно использовать ABE (Access-based Enumeration), когда пользователи видят только папки, к которым имеют доступ. Это помогает не разогревать излишнее любопытство и осложняет задачу злоумышленникам.

• Избегайте предоставления полного доступа обычным пользователям

Во многих случаях администраторы намеренно предоставляют разрешения на полный доступ обычным бизнес-пользователям. Такой подход в случае нарушения безопасности, проникновения вредоносного ПО или кибератаки Full Control может быть использован злоумышленниками для доступа к данным, их удалению, удалению всех разрешений из других групп и т. д. Бизнес-пользователи с разрешениями «Полный доступ» также могут случайно изменить настройки разрешений для папки, что приведет к потере доступа или удалению данных.

• Предоставляйте доступ к конфиденциальным данным, основываясь на их содержимом

Распространенной практикой является предоставление разрешений на общий доступ всей функциональной группе, бизнес-роли или глобальной группе доступа. Так как Microsoft требует, чтобы разрешения предоставлялись через группы Active Directory, этот метод гарантирует, что пользователи, которым он требуется, имеют достаточные права, но также создает угрозу безопасности. Многие пользователи получают доступ к конфиденциальным данным только потому, что им назначена определенная роль.

Для данных, содержащих конфиденциальные сведения, управление разрешениями должно основываться на содержании данных, а не на функциональной роли пользователей. Для них следует создавать группы безопасности и избегать прямых разрешений. Например, сервисная организация обрабатывает конфиденциальные данные о клиентах, которые должны быть доступны исключительно определенным лицам. Как только в системе появляются папки, которые содержат эти данные, права доступа предоставляются только пользователям из группы безопасности.

• Назначайте права доступа напрямую в ACL

Еще одна рекомендация по назначению прав доступа на конфиденциальные данные – прямое назначение разрешений через списки контроля доступа (ACL) вместо использования группы безопасности. Это гарантирует, что доступ имеют только легитимные пользователи, но в то же время чрезвычайно усложняет процесс пересмотра прав доступа. Предоставление прямых разрешений затрудняет эффективное управление доступом в файловой системе, особенно в отношении уволенных пользователей или пользователей, чья роль была изменена.

Еще одна ошибка — назначение прав доступа на уровне отдельных файлов внутри общедоступной папки. Рано или поздно попытки администрировать это безобразие вручную приведут к назначению ошибочных прав. Для хранения конфиденциальной информации лучше предусмотреть отдельные папки — так настроить доступ будет проще и легче станет отслеживать распространение файлов за пределы специально отведенных мест. При этом у каждой папки должны быть бизнес-владелец и его заместитель — в цепочке согласований именно они должны принимать решение по выдаче и аннулированию прав, а системные администраторы в данном случае лишь исполнители. Кстати, в их обязанности входит периодическая рассылка отчетов для проверки бизнес-владельцами корректности выданных сотрудникам полномочий.

Если на каком-то уровне у вас есть общая папка для внутреннего обмена, ее нужно назвать понятным именем и дать доступ сотрудникам на изменение через ACL. Желательно периодически очищать такие файлообменники в автоматическом режиме (например, по выходным дням), чтобы там не скапливались многолетние залежи конфиденциальной информации.

• Ограничивайте ИТ-администраторам полный доступ к конфиденциальным данным

ИТ-администраторам зачастую предоставляются разрешения на полный доступ ко всем данным, включая конфиденциальные. Такая практика допустима только в жестко контролируемых организациях. В текущих реалиях, когда объем ИТ-аутсорсинга начинает преобладать, административные группы получают избыточный доступ к конфиденциальным данным, а управлять этими группами и контролировать доступ становится все сложнее.

Если используемые технические средства в состоянии давать рекомендации по сокращению избыточного доступа, нужно обращать на них внимание. Ключ к правильной работе таких средств — все права должны назначаться через группы и только средствами NTFS (лучше избегать тонкого регулирования с помощью Share Permissions).

Смотреть все статьи по теме “Информационная безопасность”