Managed IT и политика хранения паролей
Политика хранения паролей — критичное и уязвимое место любой ИТ-инфраструктуры. В большинстве компаний сотрудники ежедневно используют в работе сразу несколько сервисов с авторизацией и аутентификацией, и, как правило, количество таких сервисов только растет. Отдельная проблема — синхронизация информации, т. е. одновременная работа с одними и теми же паролями нескольких пользователей: сотрудники присылают пароли друг другу в мессенджерах и по электронной почте, не задумываясь об уязвимостях такого обмена. Если речь идет о доступе к, допустим, биллинговой системе финансовой организации, перехват пароля — инцидент с глобальными последствиями.
Перед компаниями, бизнес которых развивается, встает вопрос безопасного учета и хранения логинов, паролей, прав доступа, идентификационных и других данных. Вопрос этот решается по-разному, но, как и в случае с управлением ИТ-сервисами, его можно делегировать провайдеру managed services (MSP) — и выиграть от этого.
Закручивание гаек
Компании, которые пытаются навести порядок в парольной политике, обычно идут по пути наименьшего сопротивления, выбирая специализированный софт — менеджер паролей. У такого софта одно неоспоримое преимущество: он облегчает работу штатному администратору. При этом редко берется в расчет очевидный минус: внешний или внутренний злоумышленник, получив главный доступ к парольному сервису, получит полный контроль над паролями всей организации.
Продвинутые компании учитывают подобные риски и приходят к выводу, что проблемы парольной политики решаются не на уровне софта, а на уровне процессов, корректная настройка которых — задача посложнее, чем покупка ПО. Такая работа требует тесного взаимодействия с персоналом, ведь персоналу нужно объяснить, чем лучшие практики действительно лучше принятых в компании.
Что происходит дальше? Например, администратор пытается внедрить жесткие правила, запрещающие использование стандартных и легких паролей: фильтрацию по словарю и по символам, установку длины и срока годности пароля, обучение сотрудников техникам запоминания сложных паролей (мнемоническим, шаблонным и др.). Но эти меры приводят к тому, что сотрудники записывают сложный пароль на бумажку, которую прячут, скажем, в ящик стола — и это в лучшем случае. В худшем — записывают пароль на стикер, который приклеивают к монитору. Выдача токенов авторизации (USB-ключей) — опять же, не идеальное решение: токен можно потерять или дать попользоваться «проверенному» коллеге, начальнику и так далее. Иными словами, усилия администраторов по усложнению жизни работникам компании ужесточению парольной политики разбиваются о всемогущий человеческий фактор.
Двойная ответственность
Учитывая собственный опыт ITGLOBAL.COM, а также опыт наших клиентов, можно утверждать, что самая эффективная парольная политика в отношении ИТ — такая, при которой доступ сотрудников с ключевыми объектами инфраструктуры строго разграничен, более того, минимизирован.
Поскольку провайдеру приходиться хранить информацию о доступах не только к своим объектам, но и к объектам ИТ-инфраструктуры клиентов, для MSP вопрос политики хранения паролей стоит более остро, чем для компании, чей бизнес не связан с ИТ-услугами.
Для оперирования клиентскими правами и паролями ITGLOBAL.COM использует строгие правила, в том числе специализированные инструменты — ПО, которое создает разные доступы для отдельных сегментов инфраструктуры. У каждого инженера ITGLOBAL.COM доступ только к своему сегменту.
Добавим в заключение, что для всех сервисов, которые администрирует ITGLOBAL.COM в рамках Managed IT, используются корректные парольные политики, учитывающие экспертные рекомендации и актуальные стандарты информационной безопасности. Практикой применения этих политик мы готовы делиться с нашими клиентами.