Сторонний удаленный доступ: рисками можно управлять
Одним из результатов пандемии COVID-19 стало то, что третьим сторонам все чаще разрешается доступ к корпоративным сетям и системам. Много написано о сотрудниках, которые работают удаленно и нуждаются в доступе к системе, который должен быть обеспечен безопасным образом. Но многие организации также разрешают доступ поставщикам и поставщикам услуг, потому что офисы остаются закрытыми или они ограничивают физический доступ в офис. Кроме того, этот сторонний удаленный доступ осуществляется через организации, передающие определенные задачи на аутсорсинг, чтобы они могли сосредоточиться на своих основных бизнес-функциях.
Третьи стороны предоставляют такие услуги, как ИТ/ИС, управление персоналом, поддержка программного обеспечения, продажи и другие сопутствующие услуги поддержки и бизнес-операций в зависимости от типа организации. Тем не менее, тип доступа не имеет значения; важно то, как управляется доступ третьих лиц и как бизнес обеспечивает безопасность доступа. Организация должна управлять рисками, связанными с деятельностью третьих лиц.
Пять шагов для управления удаленным доступом и управления рисками
Шаг 1. Сопоставьте удаленный доступ
Что, кто, откуда, когда и почему — все эти аспекты следует учитывать.
Начните с того, к чему есть доступ у третьих лиц. Это может быть система наподобие облака или внутренняя платформа. Это может быть приложение или даже некоторые данные, к которым организация предоставила доступ. Этот список формирует карту доступа (MoA). Это не должно быть сложным, а должно быть чем-то, что легко понять, над чем можно работать и адаптировать по мере необходимости в будущем.
Затем посмотрите, у кого есть доступ, зная, у кого есть доступ к тому, что важно, поскольку это помогает при определении правил того, кто может продолжать иметь доступ. Это также дает понимание того, как должен выглядеть доступ. Благодаря этому у организации появляется точка отсчета, которую можно использовать для аудита. Это начало жизненно важно для контроля доступа третьих лиц.
Затем продолжайте думать, откуда и когда будет осуществляться доступ. Далее следует, почему (по каким причинам) требуется доступ.
После того, как полная картина будет видна и понятна, можно установить элементы управления для соответствующего управления доступом.
В таблице ниже приведен общий пример матрицы, которую можно развить. Он обеспечивает простой способ начать процесс.
| какая | Кто | Отсюда | Когда | Причина, почему) | |
| 1 | Облачная офисная система | Сторонний А | Общественный | 24x7 | Для управления бизнесом |
| 2 | Внутренний файловый сервер | Внутренний персонал | Внутренний | 24x7 | Для управления бизнесом |
| 3 | CRM-система | Продажи и ИТ | Удаленный | 9-17:00 | Для управления бизнесом |
| 4 | Лиды продаж | Внутренние продажи | Внутренний | 9-17:00 | Для управления бизнесом |
| 5 | Файловый сервер | Внутренний персонал | Внутренний | 9-17:00 | Для доступа к файлам |
| 6 | ИТ-системы | Сторонние Б | Внешний провайдер | В определенное время | Поддерживать |
Шаг 2. Знайте, кто к чему явно обращается и по какой причине
Это должно быть связано с правилами брандмауэра, правилами управления привилегированным доступом (PAM), правилами доступа к данным или разрешениями приложений.
Шаг 3. Мониторинг и аудит удаленного доступа
После сопоставления доступа можно создать матрицу того , кто, откуда и когда получает доступ (затем можно определить связи). На этом этапе проводится рассмотрение систем, которые контролируют доступ, чтобы принять решение об эффективной системе для реализации.
Мониторинг должен быть сосредоточен на группе правил. Эти правила могут быть простыми, а затем меняться с течением времени, например, журнал аудита о том , кто получает доступ, к чему, когда и откуда. Этот журнал аудита следует вести, чтобы организация знала, когда третье лицо получило доступ к системе, откуда оно было получено и какое действие было выполнено.
Шаг 4. Сообщите о доступе третьих лиц
Сообщая о доступе, организация получает видимость и может определить, требуется ли доступ по-прежнему. Например, если доступа не было в течение нескольких месяцев, может быть принято обоснованное решение относительно того, требуется ли доступ третьей стороны в будущем. В некоторых организациях действуют политики, запрещающие доступ, если он не используется в течение 60 дней, и это становится видимым с помощью отчетов. Доступ может быть повторно подтвержден при повторном запросе. При этом площадь поверхности атаки уменьшается.
Шаг 5. Проверьте доступ третьих лиц
Очень важно иметь строгую и запланированную систему проверки доступа третьих сторон. Это означает, что доступ проверяется. Небольшой комитет, а именно заинтересованная сторона системы и власти, должен взять на себя ответственность за этот процесс. Вместе комитет с заинтересованной стороной решает, требуется ли доступ. Затем это документируется, и в ИТ/ИС отправляется инструкция разрешить продолжение доступа или запретить доступ. Следующий шаг включает в себя информирование третьей стороны о том, был ли удален их доступ к системе или он будет по-прежнему разрешен. Это служит отличной возможностью напомнить третьей стороне о ее обязательствах перед организацией в отношении безопасности.
Технические средства контроля для управления рисками
После выполнения процесса, описанного выше, организация должна знать, кто к чему обращается, откуда и когда. Кроме того, почему — по каким причинам. Организация имеет представление о причинах и показателях, что позволяет ей лучше управлять рисками. Технические средства контроля могут быть реализованы, чтобы помочь управлять рисками. К техническим средствам контроля относятся:
Многофакторная аутентификация (MFA)
При доступе к системам нет причин не использовать MFA. Это жизненно важно, так как злоумышленникам сложно преодолеть это препятствие. Это следует использовать в качестве первой линии защиты и обязательного контроля доступа третьих лиц.
Централизованное управление доступом
Централизованное управление доступом помогает выполнять необходимые технические и административные действия. Если доступ виден и контролируется централизованно, им легче управлять. При отсутствии центральной системы организация должна рассмотреть вопрос о ее внедрении, чтобы упростить управление. Простота и безопасность часто идут рука об руку.
Централизованный шлюз доступа
Шлюз, который используется третьими лицами для доступа к системам, полезен. Это помогает в управлении доступом, поскольку обеспечивает центральную точку фокусировки. Это эквивалент ворот в замок, где стоит охрана. Это не означает, что при установленном контроле другие области не нуждаются в наблюдении; однако его наличие создает фокус безопасности.
Виртуальные частные сети (VPN)
Обеспечение безопасности доступа к системам с точки зрения сети также имеет важное значение. Использование безопасности на уровне VPN или SSL/TLS для центральной точки является более безопасным способом, чем отсутствие этой защиты. Третьи стороны не всегда имеют эквивалентный или лучший уровень безопасности, который может иметь организация, и защита доступа через зашифрованные сети добавляет уверенности. Это не единственный необходимый контроль; для эффективного снижения риска должна быть реализована комбинация средств контроля. Некоторые организации склонны использовать тот или иной элемент управления; необходима комбинация.
Записанный доступ
Записанный доступ — отличный контроль. Он защищает как организацию, так и третью сторону. Кроме того, это помогает в регрессии, если это необходимо. Если у организации есть запись того, что произошло, она может проследить шаги и устранить проблему или, по крайней мере, устранить неполадку. Кроме того, с записанным доступом не должно быть вопросов о том, что произошло. Все это записано в цифровой записи. Поначалу некоторые люди могут сопротивляться этой идее, но однажды использованная ценность контроля быстро демонстрируется — он становится мощным инструментом.
Вышеупомянутые технические средства управления эффективны только при правильном использовании и при фактическом использовании. Без ресурсов для внедрения, эксплуатации, мониторинга и управления средствами защиты их преимущества не будут реализованы. Если организация представляет собой мягкую цель, вероятность взлома возрастает. Таким образом, жизненно важно обеспечить, чтобы внедренные средства контроля были адекватными для управления персоналом организации и доверенными третьими сторонами до уровня, необходимого для их работы таким образом, чтобы ограничить риск.