Найти в Дзене
Экстрим Безопасность
12 подписчиков

Как эффективно контролировать удаленщиков и подрядчиков?

1
1 мин
#хакнутыефакты Есть класс продуктов PAM, при помощи которых администраторы могут выдавать подрядным сотрудникам определенные права и привилегии для выполнения действий на целевых ресурсах. Данный класс продуктов не дает возможности передачи паролей и учетных записей. Подрядным сотрудникам предоставляется контролируемый доступ. Как это работает? Имеется ряд определенных видов логирования, которые воспроизводятся при работе данного сотрудника. В целом, проблема удаленных сотрудников достаточно понятна. Их может быть большое количество, работа трудно контролируется. При передаче привилегированной учетной записи, у которой дополнительно не отслеживают действия, злоумышленник может перемещаться в рамках компании горизонтально и создавать большое количество угроз. Для снижения подобных рисков придуман класс РАМ, который при помощи ряда действий может ограничивать работу данного пользователя в определенном направлении. К примеру, одно из направлений — это выдача разрешений. Определенному сотр

#хакнутыефакты

Есть класс продуктов PAM, при помощи которых администраторы могут выдавать подрядным сотрудникам определенные права и привилегии для выполнения действий на целевых ресурсах. Данный класс продуктов не дает возможности передачи паролей и учетных записей. Подрядным сотрудникам предоставляется контролируемый доступ. Как это работает? Имеется ряд определенных видов логирования, которые воспроизводятся при работе данного сотрудника.

В целом, проблема удаленных сотрудников достаточно понятна. Их может быть большое количество, работа трудно контролируется. При передаче привилегированной учетной записи, у которой дополнительно не отслеживают действия, злоумышленник может перемещаться в рамках компании горизонтально и создавать большое количество угроз.

Для снижения подобных рисков придуман класс РАМ, который при помощи ряда действий может ограничивать работу данного пользователя в определенном направлении. К примеру, одно из направлений — это выдача разрешений. Определенному сотруднику разрешается подключаться только к конкретному целевому ресурсу и от имени конкретной учетной записи. Он не может пойти ни вправо, ни влево, у него есть прямой путь для подключения и работы.

Такие разрешения выдаются на определенное время. Пользователь или подрядный сотрудник не сможет подключиться к системе в неположенное для работы время. К примеру, у нас сегодня запланирована технологическая остановка для обновления программного обеспечения. Администратор PAM-системы получает информацию, выдает разрешение и подрядный сотрудник только в ограниченный период может выполнять задачи.

Дополнительно используется механизм защиты - ротация паролей. Один из частых сценариев:

- удаленный сотрудник подключился к системе от локальной учетной записи администратора с правами на изменение паролей;

- попытался себе его сменить, записать на листочек и подключиться вечером;

- система это увидела и после завершения сессии автоматически отсортировала пароль.

Тот пароль, который остался на листочке у сотрудника, автоматически станет неактуальным + дополнительно сработает планировщик задач. Он отменит пароль и пользователь никак не сможет подключиться.

Вот так шагами дополнительно обеспечиваем безопасность подрядных и удаленных сотрудников при подключении на работу с целевыми ресурсами.

Бизнес и финансы
1,13 млн интересуются