Защита менеджера хранения паролей всегда кажется на первый взгляд обязательной и неотъемлемой частью системы информационной безопасности (ИБ) для любой компании, но порой пренебрежение или чрезмерное давление на коллег в части использования менеджера может привести к образованию ненужных рисков и ошибок.
К примеру, вы подключили события менеджера хранения паролей к SIEM или иной системе сбора логов для мониторинга событий в сейфах с паролями. Но для того, чтобы получить правильное понимание о том, является ли действие с паролем легитимным, вам необходимо уточнить у коллег, для чего были произведены те или иные действия. Если не выставить грамотно правила реагирования, то в конечном результате это может превратиться в постоянный спам коллегам одних и тех же вопросов, которые в конечном итоге только добавят вам работы, но не помогут при возникновении реального инцидента ИБ. Либо коллеги просто устанут от вас и будут хранить пароли в нелегитимном месте, помимо менеджера, чтобы постоянно не отчитываться за каждое открытие сейфа. А это не дело.
Поэтому хотелось бы обратить внимание на те сценарии правил реагирования, которые действительно стоит рассматривать как потенциальный инцидент ИБ:
1. Брутфорс (множественная неуспешная авторизация в менеджере паролей). Как правило, авторизацию привязывают к доменной учетной записи вашей компании, и если у каких-то пользователей происходят постоянные сработки о неуспешной авторизации, это необходимо проверить.
2. Массовое удаление паролей или сейфов. Если производятся легитимные действия подобного характера, то на это должна быть поставленная задача (например, на массовую смену паролей в каком-либо сервисе). Если же действия делаются без поставленной руководством задачи, это может быть расценено как нелегитимные действия либо, в худшем случае, как атака на инфраструктуру компании.
3. Массовое изменение паролей. Причины и действия аналогичны предыдущему пункту.
4. Массовое копирование паролей. В зависимости от тех событий, что у вас имеются, копирование большого количества паролей за небольшой период времени может вызвать вопросы о характере подобных работ как минимум.
5. Массовая пересылка паролей (внутри менеджера). Пересылка паролей другим пользователям внутри менеджера может вызвать вопросы о том, имеют ли доступ к данным паролям люди, которым этот пароль отправляется. Это очень критичный момент.
6. Многочисленный просмотр паролей одним пользователем. Если пользователь открывает для просмотра множество паролей за короткий промежуток времени, это также является поводом для беспокойства. Большинство менеджеров работают по принципу копирования пароля без его просмотра, идентифицируя пароль по его названию или названию сейфа. Поэтому его просмотр вообще бывает излишним, не говоря уже о массовых просмотрах.
7. Экспорт паролей. Основная суть менеджера паролей в том, чтобы они хранились и использовались непосредственно в нем, поэтому любой экспорт пароля должен четко контролироваться и быть обоснован.
Надеюсь, данные советы будут полезны при выстраивании системы информационной безопасности в компании в отношении мониторинга менеджеров паролей. И помните: доверяй, но проверяй (но и про человеческий фактор не забывай).
Денис Богданов
Независимый эксперт по информационной безопасности