Безопасный аутсорсинг: предоставь доступ в ИТ-инфраструктуру так, чтобы не было стыдно

Аутсорсинг — передача компанией на основании договора части своих задач или функций другой компании, действующей в нужной области. Например, на аутсорсинг могут быть переданы такие функции, как ведение бухгалтерского учёта, уборка помещений, рекламные услуги, транспортные услуги, внедрение и сопровождение информационных систем и, даже, обеспечение информационной безопасности. Тех, кому передаются задачи/функции по договору подряда, еще называют подрядчики. И они составляют подмножество контрагентов, с которыми нужно и можно взаимодействовать безопасно, сокращая поверхность атак и снижая киберриски. Об этом мы писали в нашей статье «Киберугрозы при взаимодействии с контрагентами и как защититься от них». В статье мы выделяли основные киберриски:

• риск компрометации ИТ-инфраструктуры компании через каналы доверенного взаимодействия;

• риск утечки/утраты конфиденциальной информации;

• риск использования небезопасного ПО/сервиса.

Именно первые два риска связаны с тем, насколько безопасно компания предоставит доступ подрядчикам в свою ИТ-инфраструктуру, к информационным системам и к данным, обрабатываемым в них. Помимо безопасности есть еще вторая сторона – это быстрота предоставления доступа. Очень часто скорость предоставления напрямую влияет на сроки начала работ и SLA, прописанные в договорах. Бывают случаи, особенно в больших компаниях, когда предоставление доступа для подрядчиков требует множества заявок и согласований, поэтому процесс растягивается на недели. При этом не всегда понятно куда нужен доступ и не является ли предоставляемый доступ избыточным.   

Сегодня мы расскажем подробнее о том, как безопасно и быстро предоставлять доступ подрядчикам в лице их представителей (назовем такой доступ пользовательским). Отметим, что рассмотрение автоматизированного взаимодействия через ИТ-интеграции между системами компании и подрядчиков выходит за рамки данной статьи. 

Предположим, что доступ и работа представителей подрядчика могут быть организованы как непосредственно из офиса компании, так и удаленно. В случае организации работы только из офиса, при условии наличия в компании надлежащего пропускного режима, модель нарушителя сводится к внутреннему. Значит угрозы и векторы атак, связанные с внешним нарушителем, исключаются.

В любом случае предлагается предоставлять доступ в два этапа. 

Первоначальный доступ

Первым этапом рекомендуется предоставлять так называемый первоначальный доступ в ИТ-инфраструктуру компании. Такой универсальный доступ дается любому пользователю независимо от подрядчика и услуг/работ, которые он выполняет. Он будет включать в себя регистрацию пользователя в централизованном LDAP-каталоге (например, Microsoft AD или FreeIPA), получение учетных данных (логина и первоначального пароля), возможность удаленного подключения к ИТ-инфраструктуре (при необходимости). Иногда предоставление доступа к так называемым общедоступным сервисам и данным. К общедоступным в данном случае относим ресурсы компании, доступные по умолчанию любому пользователю в ИТ-инфраструктуре (например, корпоративный внутренний портал). Все права и роли доступа, требуемые для первоначального доступа в ИТ-инфраструктуру, рекомендуется объединить в один профиль (например, профиль BASE_OUTSOURCE). Данный профиль будет по запросу куратора контрагента^[1] автоматически (при наличии IAM/IDM-системы) либо вручную (администраторами) назначаться представителю любого подрядчика после заключения договора. Использование профилей очень удобно, так как сокращает количество заявок и согласований на разные роли/права, что, в свою очередь, экономит время подключения подрядчика к выполнению необходимых работ. 

На первом этапе можно выделить несколько важных моментов, связанных с информационной безопасностью:

• Ознакомление представителя подрядчика с правилами и требованиями ИБ, установленными в компании: их важно не только отразить в договоре, но и доводить до подрядчика в понятной ему форме. Например, проводить беседу-инструктаж или обучать на корпоративной платформе LMS (Learning Management Systems) в специально разработанном курсе. Можно закреплять результат обучения прохождением теста и подписью (включая простую электронную подпись).

• Передача первоначального пароля: не нужно передавать данную информацию в открытом виде (например, нужно использовать защищенный канал передачи, шифрованный архив со сложным паролем), а также контролировать обязательную смену данного пароля.

• Организация удаленного доступа: необходимо обязательно установить второй фактор при подключении и руководствоваться принципами концепции Zero Trust^[2]. Рекомендуем: 

  • с помощью решений NAC (Network Access Control) проверять подключаемое устройство на соответствие требованиям ИБ (например, на наличие актуальных обновлений ОС, наличие и работоспособность антивируса, отсутствие «плохого» ПО);

  • выделять для подключаемых отдельную подсеть, ограниченную от остальных сегментов (например, с размещенными в ней специальными VDI);

  • обеспечивать ИБ-мониторинг такого подключения.  

• Принцип наименьших привилегий: необходимо предоставлять минимально необходимые и достаточные права доступа, требуемые при первоначальном подключении в ИТ-инфраструктуру (как на сетевом, так и на прикладном уровнях).

^[1] Куратор контрагента – работник компании, ответственный за взаимодействие с контрагентом (представляет подразделение компании, которое непосредственно заинтересовано в контрагенте (его работах/товарах) и ведет коммуникацию с его представителями)

^[2] Zero Trust (нулевое доверие) – это концепция информационной безопасности, основанная на принципе «никому не доверяй, всегда проверяй». Она подразумевает отсутствие автоматического доверия пользователям или устройствам, даже если они находятся внутри корпоративной сети. Каждый запрос на доступ к данным строго аутентифицируется, авторизуется и шифруется.

Доступ к информационным системам и данным

Вторым этапом пользовательского доступа является предоставление прав доступа непосредственно к информационным системам компании и данным, в них обрабатываемым. Важно понимать, к чему у того или иного подрядчика должен быть доступ для успешного выполнения услуг/работ в соответствии с договором. Рекомендуется заранее под конкретную подрядную организацию определить профиль доступа и наполнить его соответствующими правами и ролями доступа. Данный профиль можно прописать в договоре (например, профиль COMPANY1), закрепив правовое основание для соответствующих прав доступа. После этого профиль по умолчанию выдается всем представителям соответствующего подрядчика, а права предоставляются корректировкой состава профиля при условии получения соответствующего согласования (с владельцами ИС/данных, подразделением ИБ). Данный процесс можно прекрасно автоматизировать с помощью IAM/IDM-системы. Такая система автоматизирует централизованное управление учетными записями, а также выдачу, пересмотр и отзыв прав доступа. 

Нельзя забывать про обрабатываемую в ИС компании конфиденциальную информацию (персональные данные, коммерческая тайна, инсайдерская информация и т.п.), к которой у подрядчика может быть доступ. Во-первых, руководствуясь принципом наименьших привилегий требуется понимать действительную необходимость доступа и, в случае, когда он не нужен и избыточен, такой доступ стараться не предоставлять. Хорошей практикой является маскирование или деперсонализация данных, доступных подрядчику. В случае деперсонализации, из набора данных убирают или маскируют признаки, позволяющие напрямую или косвенно идентифицировать конкретного человека, при этом данные часто сохраняют структуру и пригодность для работы. Во-вторых, такой доступ должен быть юридически правильно оформлен в соответствии с требованиями российского законодательства. Особенно важно это в отношении персональных данных, ведь нарушение обработки таких данных влечет не только административную ответственность, но и уголовную. При этом штрафы могут составлять до 3% от выручки компании. 

Стоит отдельно проговорить предоставление привилегированного доступа, то есть доступа, позволяющего выполнять подрядчику функции и задачи администратора в системах компании. Главная опасность заключается в том, что, обладая учетными данными, имеющими привилегированный доступ, злоумышленник значительно сокращает время на компрометацию ИТ-инфраструктуры и реализацию своих злонамеренных целей. Так как у компании нет возможности контролировать весь жизненный цикл использования учетных данных подрядчиком и быть уверенным в добросовестности его представителей, риск компрометации ИТ-инфраструктуры повышается.  В данном случае, эффективным решением безопасности будет применение jump-хостов^[3], а лучше полноценной PAM-системы (Privileged Access Management). Такая система требует второго фактора для проведения административных действий, может ограничивать время и состав таких действий, скрывает пароли, записываетсессии и помогает расследовать инциденты.

Всегда нужно помнить, что управление доступом подрядчика в ИТ-инфраструктуру компании является непрерывным процессом, который имеет не только стадию предоставления доступа, но и стадии выверки и отзыва доступа. При этом должен вестись учет подрядчиков и их прав доступа, производится регулярная (не реже 1 раза в квартал) проверка соответствия прав выполняемым работам, составу представителей и сроку действия договора. По завершению договора учетная запись должна своевременно блокироваться, права доступа отзываться, а пароли к используемым подрядчиком технологическим и системным учетным записям меняться. 

^[3] Jump-host – это промежуточный, более защищенный сервер, используемый администраторами для безопасного подключения из менее доверенной сети (например, интернета) к узлам в закрытом сегменте (например, частная сеть, DMZ). Он служит «мостом», через который пользователь сначала подключается к Jump-серверу, а затем – к целевому устройству, обеспечивая строгий контроль доступа и аудит.

Работу подрядчиков в ИТ-инфраструктуре компании необходимо рассматривать как фактор, расширяющий поверхность угроз и повышающий риски ИБ. Поэтому требуется осуществлять повышенный контроль и мониторинг с помощью имеющихся ИБ-инструментов (например, SIEM, DLP, DAM). Определить и фиксировать нетипичное поведение (так называемые аномалии), к которому можно отнести:

• работу в выходные и/или ночные часы; 

• множество событий выгрузки данных;

• единичную большую выгрузку данных;

• использование нетипичных сервисов и ПО (например, ssh/rdp при интеграционном взаимодействие систем);

• попытки выполнить недоступные или неразрешенные операции; 

• проведение сетевого сканирования со стороны подрядчика.

Для определения нетипичных поведенческих аномалий правильно использовать категорию подрядчика, учитывающую способ взаимодействия и доступ к данным/системам в соответствии с выполняемыми работами. О классификации контрагентов мы более подробно рассказывали в первой статье.

Итог

Итак, аутсорсинг и работа подрядчиков в ИТ-инфраструктуре компании могут быть организованы так, чтобы за это не было стыдно, то есть безопасно и быстро. Для этого нужно соблюдать следующие рекомендации: 

1. Определить (наполнить ролями/правами) профиль первоначального доступа в ИТ-инфраструктуру, который будет выдаваться любому подрядчику.

2. Перед выдачей первоначального доступа знакомить представителей подрядчика с корпоративными правилами и требованиями ИБ.

3. Руководствоваться концепцией zero trust при предоставлении подрядчику удаленного доступа.

4. Определить (наполнить ролями/правами) отдельный профиль(ли) под каждого подрядчика в соответствии с работами, выполняемыми по договору.

5. Не предоставлять избыточный доступ и применять принцип наименьших привилегий.

6. При предоставлении привилегированного доступа использовать jump-хосты или полноценную PAM-систему.

7. Формализовать процесс предоставления, учета и отзыва прав доступа для подрядчиков.

8. Осуществлять повышенный контроль и ИБ-мониторинг работы подрядчиков (особенно, работы, выполняемой с использованием удаленного доступа).