Андрей Мишуков, генеральный директор ИБ-интегратора iTPROTECT, прокомментировал для CISOCLUB распространённые ошибки компаний в управлении цифровыми секретами. По его словам, проблема заключается не только в нехватке ресурсов, но и в устаревших подходах, которые давно не соответствуют уровню современных угроз.
«Самая частая ошибка компаний — это неверный подход к управлению паролями, токенами, секретами. Во многих организациях руководство не применяет надёжные парольные политики: разрешает сотрудникам использовать короткие пароли без специальных символов (только буквы и цифры), устанавливает слишком длинный жизненный цикл паролей (например, год вместо трёх месяцев), допускает их повторное использование и т.д. Это сильно снижает трудозатраты злоумышленников на взлом инфраструктуры», — пояснил он.
Эксперт также отметил, что медленное внедрение базовых средств защиты связано с нехваткой ресурсов.
«Вторая проблема — это нехватка финансовых средств и кадровых ресурсов на создание и администрирование инфраструктуры безопасности. Из-за этого компании медлят с внедрением двухфакторной аутентификации, систем управления учётными записями и т.д.», — добавил Мишуков.
Он подчеркнул, что традиционные практики безопасности становятся не просто неэффективными, а опасными, поскольку вычислительные мощности у злоумышленников постоянно растут.
«Устаревшие практики безопасности не то что перестали работать — они стали менее эффективными. У злоумышленников постоянно растут доступные мощности, что позволяет им быстрее подбирать слабые пароли. Например, пароль из 4-6 символов сегодня взламывается за несколько секунд, из 8 символов — за пару дней. Сильные пароли состоят минимум из 12 символов», — отметил эксперт.
По его словам, в условиях большого количества информационных систем организациям необходимо внедрять автоматизированные решения для управления доступом.
«В средней компании может быть развёрнуто 10 и более информационных систем, у каждой из которых есть собственный пароль. По требованиям безопасности в каждом случае пароли должны быть уникальными. На практике администраторы часто их переиспользуют, потому что запомнить 10+ паролей сложно. Если они ещё и меняются каждые три месяца, становится совсем непросто», — пояснил Мишуков.
Он отметил, что такие задачи эффективно решают решения класса PAM, берущие на себя управление авторизацией и паролями.
«Эту задачу решает внедрение систем класса PAM, которые берут на себя управление авторизацией в корпоративных системах: сама составляет сложные пароли, следит за их обновлением и т.д. Администратор входит в PAM-систему, а она уже авторизует его в целевой системе, с которой он хочет поработать. Злоумышленники, как правило, атакуют именно целевые системы, и применение PAM-решения сильно усложнит для них эту задачу, не создавая дополнительных барьеров для администраторов», — рассказал генеральный директор iTPROTECT.
Он также подчеркнул значимость регулярного мониторинга корпоративных учётных записей с помощью специализированных сканеров.
«Наконец, стоит сказать про сканеры поверхности атак, которые умеют проверять наличие корпоративных УЗ в утекших базах данных. Это позволяет компании вовремя обнаружить угрозу, обновить пароли или деактивировать утекшие УЗ», — заключил Андрей Мишуков.