CyberArk: 5 типов удаленных пользователей, которых нужно знать в лицо

Физическое местонахождение пользователей все меньше влияет на то, как мы ведем бизнес. Несмотря на то, что сегодня наблюдается значительный рост числа удаленных сотрудников - все еще весьма вероятно, что количество сотрудников работающих частично удаленно будет также продолжать расти.

Следует также иметь в виду, что эти цифры не учитывают количество удаленных поставщиков, которые работают как сотрудники, выполняя важные задачи для компании. Этим пользователям часто нужен доступ к критическим системам так же, как и сотруднику. Конечно, с такой гибкостью для работников возникают большие риски для безопасности. Чтобы обеспечить доступ, организации часто полагаются на небезопасные и неэффективные методы, обычно полагаясь на VPN для обеспечения безопасного доступа.

Однако не все возможности удаленных работников равны. Некоторым может потребоваться доступ только к электронной почте и небольшому количеству бизнес-приложений, в то время как другим может потребоваться доступ к важным бизнес-процессам, таким как данные о заработной плате, кадрах, продажах и маркетинге. Внешним поставщикам ИТ-услуг, осуществляющим службу поддержки на стороне, требуется такой же широкий доступ, как и внутренним ИТ-поставщикам.

На сегодняшний день определены пять типов удаленных сотрудников, которым часто требуются повышенные привилегии систем, и обсудим, как управление привилегированным доступом (PAM) с помощью CyberArk Alero, который может помочь организациям обеспечить безопасный и простой доступ к критическим системам, управляемым CyberArk.

1. Удаленные сотрудники ИТ или безопасности компании

К таким пользователям относятся администраторы домена, сетевые администраторы и другие, которые обычно получают доступ к критически важным внутренним системам внутри офиса, но теперь им, возможно, придется делать это удаленно. Когда ИТ-отдел или служба безопасности работают за пределами офисных стен, они ежедневно бросают вызов администраторам безопасности. Определение точных уровней доступа, необходимых удаленным ИТ-специалистам и сотрудникам безопасности, и реализация прав с наименьшими привилегиями для обеспечения того, чтобы они получали доступ только к тому, что им нужно, является критически важным. Традиционные решения, такие как VPN, не могут обеспечить необходимый уровень детального доступа на уровне приложений, чтобы сделать это эффективно. Назначение такого типа детального доступа важно, поскольку оно помогает предотвратить ситуации, когда администратор Windows имеет доступ к учетным записям root. Интеграция инструментов безопасности со службой каталогов для обеспечения автоматического, специфического доступа должна быть установлена заранее, чтобы в случае незапланированного всплеска удаленной работы не было недостатка в функциях ИТ или безопасности, при условии работы на дому.

2. Сторонние поставщики оборудования и программного обеспечения

Сторонние поставщики оборудования и программного обеспечения, в том числе поставщики ИТ-услуг и служба технической поддержки, часто предоставляют удаленные услуги и обслуживание, требующие повышенных привилегий. Этим типам поставщиков обычно требуется доступ на уровне администратора для выполнения задач на множестве серверов баз данных, Windows или Linux, и они должны вносить исправления, обновления системы и многое другое.

Каждый из них по сути действует как администратор уровня домена и, таким образом, может нанести ущерб среде, если не будет должным образом контролироваться. Тем не менее, идентификация этих пользователей и учет их индивидуальных уровней удаленного доступа обычно выполняется администраторами на индивидуальной основе, что может занять много времени. Важно убедиться, что все эти пользователи идентифицированы и им обеспечен правильный доступ.

3. Поставщики цепочки поставок

Когда требуется поддержка производства или доставки товаров, обычно в помощь приходят специализированные поставщики цепочки поставок. Эти удаленные пользователи часто имеют доступ к сети для мониторинга запасов в розничных или производственных организациях. Они также могут иметь доступ к конфиденциальным данным, связанным с планированием, контролем качества и другими критическими системами, которые могут быть связаны с системами промышленного контроля и эксплуатационными технологиями (ICS / OT) или процессами цепочки поставок.

У поставщиков цепочки поставок есть доступ, который может быть использован злоумышленниками или может стать серьезной проблемой из-за непреднамеренного внутреннего неправильного применения.

4. Сервисные компании

Сервисным компаниям, которые выполняют задачи департамента, такие как юридические, PR и начисление заработной платы, может потребоваться доступ к определенным бизнес-приложениям для обеспечения их эффективности. Важно идентифицировать эти типы пользователей и применять к ним принцип наименьших привилегий, чтобы они не получали доступа к чему-либо за пределами своей компетенции или сохраняли доступ дольше, чем им это необходимо. Бессмысленно иметь юридическую компанию, имеющую доступ к информации о заработной плате; так как это лишь увеличит потенциальный риск.

Важные для бизнеса приложения, такие как Управление взаимоотношениями с клиентами (CRM), Планирование ресурсов предприятия (ERP), облачные консоли и другие, важны для непрерывности бизнеса, однако будучи в чужих руках, эти данные, живущие в приложениях, могут быть очень опасными. Определение того, кто имеет доступ к этим приложениям, очень важно.

5. Внешние консультанты

Бизнес-консультантам и ИТ-консультантам иногда потребуется привилегированный доступ для продуктивного выполнения задач, по которыми у них заключен контракт, однако, они должны иметь такой доступ только в течение периода времени, на который они заключили контракт. Эти типы поставщиков носят временный характер и часто требуют доступа только в течение нескольких дней, недель или месяцев, когда они выполняют свои обязанности. Однако в течение этого времени внешние консультанты часто получают широкий доступ к определенным областям бизнеса.

Определение на раннем этапе, кем являются эти консультанты и какой тип доступа им требуется (к чему и на какой срок) - помогает снизить риск и защитить бизнес. Кроме того, доступ внешнего консультанта должен тщательно контролироваться и защищаться, пока он активен, при этом, его доступ должен автоматически отменяться, как только заканчивается время работы в компании.

Представьте себе, консультант привлекается для трехнедельного проекта, и после плохого фидбека он получает компенсацию, которой не удовлетворен. Если права доступа не будут автоматически отменены, с поддержкой повышенного уровня доступа после истечения срока действия контракта, это может быть использовано для нанесения непоправимого вреда организации в качестве расплаты. Хотя это может показаться маловероятным сценарием, это всего лишь один пример, того, что может причинить расширенный доступ, если его не отслеживать и регулярно не обновлять.

Поскольку все больше и больше компаний полагаются на удаленных пользователей в рамках своей повседневной бизнес-активности, важно, чтобы они понимали различные типы пользователей, которые используют их системы за пределами своих офисов. И что более важно, контроль управления, мониторинга и защиты этого доступа. И хотя это может показаться сверх задачей, CyberArk Alero - это SaaS-приложение, помогающее организациям предоставлять и обеспечивать безопасный доступ удаленным пользователям, имеющим доступ к критически важным системам, управляемым CyberArk.

Хотите узнать больше? Обращайтесь в компанию Softprom, и наши менеджеры предоставят много полезной теоретической и практической информации о решении.