Керування правами доступу користувачів є важливою частиною роботи будь-якого мережевого адміністратора. Забезпечення того, що кожен користувач має доступ лише до необхідних ресурсів, є найпростішим кроком у захисті будь-якої мережі. Колись комп’ютерні загрози виникали в Інтернеті та потрапляли в мережі за допомогою електронної пошти або шкідливих веб-сайтів. Хоча це все ще так, ризик для дорогоцінних корпоративних даних походить зсередини. Ваші користувачі можуть стати джерелом витоку ваших даних через злі наміри або через дурне незнання. Інструменти керування правами доступу можуть допомогти вам гарантувати, що користувачі мають доступ лише до того, що їм дійсно потрібно, і що до будь-якого ресурсу можуть отримати доступ лише ті користувачі, яким це дійсно потрібно. Читайте далі, коли ми розглядаємо деякі з найкращих інструментів керування правами доступу, доступних сьогодні.
Але перш ніж ми глибше розглянемо найкращі доступні інструменти, давайте спочатку розглянемо керування правами доступу. Ми пояснимо, чому це такий важливий аспект захисту ваших даних і з якими проблемами стикаються адміністратори мережі. Ми також розглянемо управління правами доступу з точки зору ITIL. Зрештою, управління доступом є одним із базових процесів фреймворку ITIL. І закінчимо обговоренням управління правами доступу з точки зору безпеки. Нарешті, ми розглянемо кілька найкращих інструментів керування правами доступу, які ми могли знайти.
Управління правами доступу
Кожен у спільноті інформаційних технологій знає, що порушення даних стали звичайним — і майже неминучим — випадком. І хоча у нас може виникнути спокуса думати, що це роблять лише зловмисні хакери та злочинці або спецслужби тіньових країн, які мають доступ до складних технологій, розроблених для проникнення навіть у найбезпечніші мережі, це, на жаль, далеко не так. Хоча ці зовнішні атаки існують, частина ризику походить зсередини. І внутрішній ризик може бути таким же високим, як і зовнішній.
Цей внутрішній ризик може мати багато форм. З одного боку, недобросовісні співробітники можуть шукати спосіб швидко заробити, продаючи конфіденційні дані конкурентам. Але окрім того, що зловмисне діяння осіб всередині компанії, порушення даних також можуть статися випадково. Наприклад, деякі співробітники можуть не знати політики безпеки. Ще гірше, вони можуть мати занадто великий доступ до корпоративних даних та інших ресурсів.
CA Technologies зазначає у своєму Звіт про інсайдерські загрози за 2018 рік (!pdf посилання), що 90% організацій відчувають себе вразливими до інсайдерських атак. Крім того, у звіті також зазначено, що основними причинами інсайдерських атак є надмірні привілеї доступу, збільшення кількості пристроїв з доступом до конфіденційних даних і загальне зростання складності інформаційних систем в цілому. Це свідчить про важливість управління правами доступу. Надання користувачам обмеженого доступу до спільних файлів, Active Directory та інших ресурсів в організації на основі фактичних потреб є одним із найкращих способів зменшити ймовірність як зловмисних, так і випадкових атак, а також порушення та втрат даних.
На жаль, це легше сказати, ніж зробити. Сучасні мережі часто поширюються на широкі географічні зони і складаються з тисяч пристроїв. Управління правами доступу може швидко перетворитися на величезне завдання, повне ризиків і всіляких підводних каменів. Тут можуть стати в нагоді інструменти керування правами доступу.
Управління правами доступу та ITIL
Бібліотека IT-інфраструктури, або ITIL, — це набір рекомендацій і рекомендованих процесів для команд з інформаційних технологій. Конкретно, метою ITIL є розробка ефективних та дієвих методів надання ІТ-послуг або, іншими словами, каталогу свого роду найкращих практик для ІТ-організації. Управління доступом є одним із тих процесів ITIL. Мета процесу дуже просто описана як «надання авторизованим користувачам права використовувати службу, запобігаючи доступ неавторизованим користувачам».
Управління правами доступу як захід безпеки
Хоча одні стверджують, що керування правами доступу є компонентом адміністрування мережі, інші скажуть, що це натомість частина ІТ-безпеки. Насправді це, ймовірно, і те й інше. Але насправді це має значення лише у великих компаніях, які мають окремі команди адміністрування мережі та ІТ-безпеки. У невеликих організаціях одні й ті ж команди часто займаються як адмініструванням, так і безпекою, ефективно обговорюючи це питання.
Найкращі інструменти керування правами доступу
Знайти спеціальні інструменти керування правами доступу виявилося складніше, ніж очікувалося. Це, ймовірно, пов’язано з тим, що багато інструментів насправді продаються як засоби безпеки або як інструменти аудиту AD. Ми вирішили включити в наш список інструменти, які можуть допомогти адміністраторам гарантувати, що користувачі мають доступ до того, що їм потрібно, і ні до чого іншого. Деякі є інструментами, які допомагають призначати права та керувати ними, а інші є інструментами аудиту, які можуть сканувати вашу мережу та повідомляти про те, хто має доступ до чого.
1. Менеджер прав доступу SolarWinds (БЕЗКОШТОВНА пробна версія)
SolarWinds не потребує знайомства з мережевими адміністраторами. Компанія, яка існує вже багато років, відома тим, що видає одні з найкращих інструментів адміністрування мережі. Його флагманський продукт, який називається SolarWinds Network Performance Monitor, стабільно входить в число найкращих інструментів моніторингу мережі. SolarWinds також славиться створенням чудових безкоштовних інструментів, які відповідають конкретним потребам мережевих адміністраторів. Серед цих інструментів одними з найвідоміших є безкоштовний калькулятор підмережі та простий, але корисний сервер TFTP.
The Менеджер прав доступу SolarWinds (що часто називають ARM) було створено з метою допомогти адміністраторам мережі контролювати авторизації користувачів і дозволи доступу. Цей інструмент обробляє мережі на основі Active Directory і спрямований на полегшення надання та скасування ініціалізації користувачів, відстеження та моніторингу. І це, звичайно, може допомогти звести до мінімуму шанси на інсайдерські атаки, пропонуючи простий спосіб керування та моніторингу дозволів користувачів і гарантуючи, що не надаються непотрібні дозволи.
Одна річ, яка, ймовірно, вразить вас під час використання Менеджер прав доступу SolarWinds це його інтуїтивно зрозуміла панель керування користувачами, де ви можете створювати, змінювати, видаляти, активувати та деактивувати доступ користувачів до різних файлів і папок. Цей інструмент також містить шаблони для певних ролей, які можуть легко надати користувачам доступ до певних ресурсів у вашій мережі. Інструмент дозволяє легко створювати та видаляти користувачів лише кількома кліками. І це лише початок, т Менеджер прав доступу SolarWinds не залишає багато функцій. Ось короткий опис деяких найцікавіших функцій інструменту.
Цей інструмент можна використовувати для моніторингу та аудиту змін як Active Directory, так і групової політики. Адміністратори мережі можуть використовувати його, щоб легко побачити, хто вніс які зміни в налаштування групової політики або Active Directory, а також відмітку дати та часу цих змін. Ця інформація, безумовно, дозволяє легко виявити неавторизованих користувачів, а також зловмисні чи неосвічені дії, вчинені будь-ким. Це один із перших кроків, щоб гарантувати, що ви зберігаєте певний рівень контролю над правами доступу та інформуєте про будь-які потенційні проблеми, перш ніж вони мають негативний вплив.
Атаки часто відбуваються, коли до папок та/або їх вмісту отримують доступ користувачі, які не мають — або не повинні бути — авторизовані на доступ до них. Така ситуація є поширеною, коли користувачам надається широкий доступ до папок або файлів. Менеджер прав доступу SolarWinds може допомогти вам запобігти подібним витокам і несанкціонованим змінам конфіденційних даних і файлів, надаючи адміністраторам візуальне зображення дозволів для кількох файлових серверів. Підсумовуючи, інструмент дозволяє побачити, хто має який дозвіл на який файл.
Моніторинг AD, групової політики, файлів і папок — це одне — і важливе — але Менеджер прав доступу SolarWinds йде набагато далі. Ви можете використовувати його не тільки для керування користувачами, а й аналізувати, які користувачі отримували доступ до яких служб і ресурсів. Продукт дає вам безпрецедентну видимість членства в групах у Active Directory і файлових серверах. Це ставить вас, адміністратора, в одну з найкращих позицій для запобігання інсайдерським атакам.
Жоден інструмент не є повним, якщо він не може звітувати про те, що він робить і що він знаходить. Якщо вам потрібен інструмент, який може генерувати докази, які можна використовувати в разі майбутніх суперечок або можливого судового розгляду, цей інструмент для вас. І якщо вам потрібні детальні звіти для цілей аудиту та відповідності специфікаціям, встановленим нормативними стандартами, які застосовуються до вашого бізнесу, ви також знайдете їх.
Менеджер прав доступу SolarWinds легко дозволить вам створювати чудові звіти, які безпосередньо вирішують питання аудиторів і відповідність нормативним стандартам. Їх можна швидко та легко створити лише за кілька кліків. Звіти можуть містити будь-яку інформацію, яку ви можете придумати. Наприклад, до звіту можна включати записи про дії в Active Directory і доступи до файлового сервера. Ви повинні зробити їх узагальнені або настільки детальні, наскільки вам потрібно.
The Менеджер активних прав SolarWinds надає адміністраторам мережі можливість залишити управління правами доступу для даного об’єкта в руки особи, яка його створила. Наприклад, користувач, який створив файл, може визначити, хто може отримати до нього доступ. Така система самодозволів сприяє запобіганню несанкціонованого доступу до інформації. Зрештою, хто знає, хто має отримати доступ до ресурсу краще, ніж той, хто його створює? Цей процес виконується через веб-портал самодозвіл, який полегшує власникам ресурсів обробку запитів на доступ і встановлення дозволів.
The Менеджер прав доступу SolarWinds також можна використовувати для оцінки в режимі реального часу та в будь-який момент часу рівня ризику для вашої організації. Цей відсоток ризику обчислюється для кожного користувача на основі його рівня доступу та дозволів. Завдяки цій функції адміністраторам мережі та/членам групи з ІТ-безпеки зручно мати повний контроль над діяльністю користувачів і рівнем ризику з боку кожного співробітника. Знаючи, які користувачі мають найвищий рівень ризику, ви зможете уважніше стежити за ними.
Цей інструмент охоплює не лише керування правами Active Directory, а й права Microsoft Exchange. Продукт може значно спростити моніторинг і аудит Exchange, а також запобігти злом даних. Він може відстежувати зміни в поштових скриньках, папках поштових скриньок, календарях і загальнодоступних папках.
І так само, як ви можете використовувати його з Exchange, ви також можете використовувати цей файл Менеджер прав доступу SolarWinds поряд із SharePoint. The ARM Система керування користувачами відображатиме дозволи SharePoint у деревоподібній структурі та дозволить адміністраторам швидко побачити, хто має право доступу до певного ресурсу SharePoint.
Наскільки здорово мати автоматизовану систему, яка контролює ваше середовище, ще краще, якщо вона матиме можливість сповіщати вас, коли буде виявлено щось дивне. І це саме та ціль, яку переслідує Менеджер прав доступу SolarWinds‘ система оповіщення. Підсистема буде інформувати допоміжний персонал про те, що відбувається в мережі, надаючи сповіщення про заздалегідь визначені події. Серед типів подій, які можуть викликати сповіщення, є зміни файлів і зміни дозволів. Ці сповіщення можуть допомогти пом’якшити та запобігти витоку даних.
Менеджер прав доступу SolarWinds ліцензується на основі кількості активованих користувачів у Active Directory. Активований користувач – це або активний обліковий запис користувача, або обліковий запис служби. Ціни на продукт починаються від 2 995 доларів США для до 100 активних користувачів. Для більшої кількості користувачів (до 10 000) детальні ціни можна отримати, звернувшись до відділу продажу SolarWinds, але очікуйте заплатити понад 130 тисяч доларів за таку кількість користувачів. І якщо ви віддаєте перевагу спробувати інструмент перед його покупкою, можна отримати безкоштовну 30-денну пробну версію без обмежень для користувачів.
2. Netwrix
Netwrix насправді це не інструмент керування правами доступу. За словами його видавця, це «платформа видимості для аналізу поведінки користувачів та зменшення ризиків». Оце Так! Це химерна назва, але насправді, Netwrix це тип інструменту, який ви можете використовувати для досягнення тих самих цілей, що й під час використання.
Конкретно можна використовувати Netwrix щоб виявити ризики безпеки даних і аномальну поведінку користувачів, перш ніж вони призведуть до порушення даних. Цей інструмент надасть вам уявлення про вашу безпеку з висоти пташиного польоту за допомогою інтерактивних інформаційних панелей оцінки ризиків. Він може допомогти швидко визначити ваші найбільші прогалини в безпеці та використати вбудований інтелект, щоб зменшити здатність зловмисників та інсайдерів, а також заподіяти шкоду.
Продукт також містить сповіщення, які можна використовувати для сповіщення про будь-яку несанкціоновану діяльність, коли це відбувається, що дає вам кращий шанс запобігти порушенням безпеки. Наприклад, ви можете отримувати сповіщення, коли хтось додається до групи адміністраторів підприємства або коли користувач змінює багато файлів за короткий проміжок часу, що може бути ознакою атаки програмного забезпечення-вимагача.
Інформацію про ціни на Netwrix можна отримати, звернувшись безпосередньо до постачальника. І якщо ви хочете спробувати продукт на смак, доступна безкоштовна пробна версія, хоча вона триває лише 20 днів, тоді як більшість пробних періодів — 30 днів.
3. Вароніс
Вароніс — це компанія з кібербезпеки, основна місія якої — захист ваших даних від втрати. Тож, незважаючи на те, що вони не мають доступного інструменту керування прямим доступом користувачів, ми вважали, що він заслуговує бути в нашому списку. Зрештою, хіба це не головна мета будь-якої системи керування правами доступу?
ВаронісПровідна в галузі платформа створена для захисту ваших найцінніших і найбільш вразливих даних. І щоб досягти цього, потрібно почати з самого серця: з самих даних. Використовуючи платформу, користувачі можуть захистити свої дані від атак як зсередини, так і ззовні. Система усуває повторювані процеси очищення вручну та автоматизує процедури захисту даних вручну. Концепція унікальна тим, що поєднує безпеку та економію коштів, що не надто поширене.
The Вароніс Платформа виявляє інсайдерські загрози та кібератаки, аналізуючи дані, активність облікового запису та поведінку користувачів. Він запобігає та обмежує катастрофу, блокуючи конфіденційні та застарілі дані, а також ефективно й автоматично підтримує ваші дані в безпечному стані.
4. STEALTHbits
STEALTHbits пропонує набір рішень для керування та безпеки Active Directory, які дозволяють організаціям проводити інвентаризацію й очищення Active Directory, перевіряти дозволи та керувати доступом, відкатувати й відновлюватися після небажаних чи шкідливих змін, а також відстежувати й виявляти загрози в режимі реального часу. Він пропонує всеосяжний захист ваших корпоративних даних. Процес очищення та керування доступом може ефективно захистити Active Directory від атак як зсередини, так і ззовні.
Основна функція інструменту включає аудит AD. Він проведе інвентаризацію, аналіз і звіти про Active Directory, щоб захистити й оптимізувати її. STEALTHbits також може виконувати аудит змін Active Directory, забезпечуючи безпеку та відповідність за допомогою звітів у реальному часі, сповіщень та блокування змін. Іншою корисною функцією інструменту є функція очищення Active Directory, яку можна використовувати для очищення застарілих об’єктів AD, токсичних умов і власників груп.
Аудит і звітність дозволів Active Directory цього інструмента можна використовувати для створення звітів щодо дозволів домену AD, організаційного підрозділу та об’єктів. Існує також відкат і відновлення Active Directory, щоб легко виправити небажані зміни Active Directory та консолідацію домену, що дозволить вам повернути контроль над Active Directory за допомогою легкого робочого процесу.