Вооружен — значит защищен: предотвращаем утечки с помощью системы управления секретами

Согласно исследованию Роскомнадзора, только за первое полугодие 2022 года в РФ произошло около 60 крупных утечек данных. В результате подверглись опасности не только утекшие персональные сведения пользователей, но и подпортилась репутация «пострадавших» организаций. Зачастую сливы информации происходят по нескольким причинам:

- преднамеренная целевая атака злоумышленников на инфраструктуру компании;

- хранение паролей в репозитории и коде;

- хранение паролей в незащищенных Базах Данных;

- социальный инжиниринг и кража паролей.

Обезопасить бизнес возможно с помощью введения регулярных обучающих сессий по основам ИБ (в особенности для новых сотрудников) и внедрения системы управления секретами, способной предотвращать утечки конфиденциальной информации. О преимуществах инструмента рассказал Денис Ковалев, директор направления ИБ Лиги Цифровой Экономики.

Сегодня многие компании заботятся о благополучии своих сотрудников и позволяют им работать удаленно или предлагают гибридные условия. Объем секретной информации увеличивается на фоне распространения удаленки, ускорения и усложнения разработки, перехода на микросервисную архитектуру и применения CI/CD. Это означает, что вопрос кибербезопасности и контроля учетных данных является актуальным как никогда ранее.

Утечка критичных данных часто происходит из-за того, что сотрудники компании, обсуждающие в мессенджерах или социальных сетях рабочие вопросы, отправляют друг другу конфиденциальную информацию, включая SSH-ключи, логины, пароли, ключи API, секретные документы, токены и другие данные. В случае утери мобильного устройства или другого гаджета, «мискликов», незавершения сеансов на чужих устройствах, а также слабой защищенности личных аккаунтов — конфиденциальная информация организации легко окажется в чужих руках.

Избежать возможных рисков поможет обучение сотрудников базовым правилам цифровой гигиены. Так, секретные файлы и парольные данные должны передаваться только в рамках корпоративной сети или защищенного почтового сервиса. Когда в компании меняется команда, увольняются сотрудники, обязательно нужно обновлять пароли, так как есть угроза того, что уволенный специалист воспользуется сервисами организации в личных целях, включая незаконную передачу конфиденциальных данных сторонним лицам или конкурентам.

Критичные данные могут утечь и в момент разработки решений, например, в случае, если пароли хранятся в репозиториях и коде, при реверс-инжиниринге или при сборке проекта.

Чтобы защитить компанию от крупных утечек, нужно использовать системы управления и контроля секретами — программы, которые защищают пароли, логины, сертификаты, токены и другую конфиденциальную информацию от незаконного использования и передачи сторонним лицам.

Наша команда специалистов разработала подобное решение — «Центр управления пользователями», которое работает на открытом коде и обеспечивает централизованное управление учетными записями и рабочими станциями, а также позволяет разграничивать доступ для сотрудников. Система гарантирует безопасность, позволяя надежно хранить и передавать корпоративные данные.

Менеджер паролей базируется на языке программирования Golang и системе управления конфигурациями Ansible. Он использует микросервисную архитектуру, что соответствует CI/CD и гарантирует непрерывный процесс интеграции. Решение обеспечивает безопасное хранение и управление паролями, предотвращает риски, повышает защищенность и удобство разработки систем.

В рамках использования инструмент способен:

● После увольнения сотрудника напоминать ИТ-команде обновить пароли, разграничивать доступ к конфиденциальным файлам и корпоративным ресурсам;

● Оперативно генерировать парольные комбинации, подключать новых участников по запросу администраторов и проводить регулярный мониторинг;

● Работать в отказоустойчивом и катастрофоустойчивом режиме;

● Создавать мастер-ключ для доступа к полному хранилищу.

Системы управления секретами делятся на три основных группы: открытое ПО, отечественные и зарубежные enterprise-решения. Разделение связано с требованиями законодательства в области импортозамещения. Согласно рекомендациям региональных регуляторов, решение должно быть внесено в единый реестр российских программ. Помимо этого, программное обеспечение должно соответствовать требованиям Постановления Правительства РФ от 23.03.2017 №325.

После ухода крупных иностранных вендоров с российского рынка вопрос об импортозамещении ИТ-решений стал как никогда актуальным, так как обеспечение безопасности конфиденциальных данных — это непрерывный процесс, в котором нужно исключить возможные риски блокировки сервисов.

При выборе партнера нужно помнить, что его продукт должен создавать безопасные коды доступа, позволять обмениваться конфиденциальной информацией, которую в случае чего можно будет удалить быстро и безвозвратно. Хорошая система способна выдержать высокие нагрузки и справиться с вертикальным и горизонтальным масштабированием, подстраиваясь под запросы конкретной организации. Она может интегрироваться с субъектами и механизмами аутентификации как для передачи паролей, так и для ротации. Важно, чтобы система управления паролями поддерживала все типы приложений: классические, микросервисные, облачные и др.