Для доступа к ИТ-ресурсам используют, как правило, связку «учетное имя-пароль». У этого метода есть существенные недостатки: пароли могут подсмотреть, сотрудники могут передавать их друг другу, их можно подобрать. Скомпрометированные учетные данные — это очень распространенный способ начала кибератаки.
Недостатки парольной защиты снижает использование многофакторной аутентификации (MFA). MFA — это метод безопасности, требующий от пользователей предоставления не менее трех факторов аутентификации для доступа к системе. На практике чаще всего используют два фактора. Раньше само нахождение сотрудника в офисе могло служить дополнительным фактором подтверждения личности пользователя. Сейчас для этого используют биометрию, одноразовые пароли, аппаратные токены.
Фактически MFA сегодня стала обязательным элементом информационной безопасности практически любой компании. Она позволяет подтвердить личность сотрудника, который запрашивает доступ к информационной системе. Разнообразие используемых технологий позволяет выбрать удобный для сотрудников вариант: одноразовые пароли через SMS, подтверждение в мобильном приложении, звонки на телефон, аппаратные токены и др.
Компаниям с большим числом сотрудников и/или с частыми кадровыми изменениями требуется быстро управлять правами и разрешениями: быстро предоставлять нужные права для доступа к платформе обучения персонала, работы с базой данных, CRM-системой и т.д. Вручную это делать очень ресурсоемко, автоматизировать эти задачи позволяют системы управления идентификацией IdM (Identity Management) или IGA (Identity Government and Administration).
IdM автоматически создают и удаляют учетные записи, наделяют сотрудника нужными правами при изменении его бизнес-роли. Они также помогут при проверке оснований для наделения сотрудника правами и при реорганизации подразделений.
IGA обладают более широкими возможностями. Такие системы предупредят о появлении у сотрудника избыточных разрешений и сгенерируют отчет о соблюдении нормативных требований. Поэтому IGA не только минимизируют время простоя персонала из-за ожидания новых разрешений и снимают лишнюю нагрузку с ИТ, но и упрощают проведение аудита и гарантируют, что компания сможет продемонстрировать соответствие требованиям регулятора.
Пользователи компаний имеют разный уровень доступа к ИТ-ресурсам: есть пользователи, которые работают в офисных программах, имеют доступ к принтеру и могут скачивать файлы с сетевых папок компании. Их несанкционированные действия не могут нанести серьезный ущерб бизнесу. Но есть пользователи, которые могут изменять настройки оборудования и важных систем, скачивать, модифицировать и удалять критические данные и даже отключать инструменты ИБ. Такие пользователи называются привилегированными. Несанкционированные действия привилегированного пользователя, имеющего полный доступ к ресурсам, могут представлять угрозу всему бизнесу. Правами таких пользователей нужно управлять отдельно, а их действия — фиксировать и контролировать. Для решения этих задач применяют системы управления привилегированным доступом или PAM-системы.
Задача PAM — предоставить администраторам безопасный контролируемый точечный доступ именно к тому ресурсу, который необходим в данный момент. Такие системы представляют собой единую панель, с помощью которой администратор согласует доступ и подключается к различным системам. PAM-инструменты повышают эффективность работы ИТ-персонала, максимальный эффект от внедрения PAM достигается при полном охвате ИТ-ресурсов, для этого должна быть возможность интеграции с любыми, даже унаследованными системами.