Как провести аудит паролей в компании: пошаговый гайд

Большинство компаний узнают о проблемах с паролями одним из двух способов: либо при проверке регулятора, либо после инцидента. Оба варианта неприятны. Аудит паролей — это способ узнать о проблемах самостоятельно, пока они не переросли в инцидент.

Аудит паролей — это не разовая акция. Это систематическая проверка того, насколько текущее состояние управления учётными данными соответствует требованиям безопасности и политике компании. Он включает инвентаризацию учётных записей, оценку качества паролей, проверку прав доступа и анализ потенциальных уязвимостей.

В этом гайде — пошаговый алгоритм, который можно применить в компании любого размера.

Перед тем как что-то проверять, нужно ответить на вопрос: что именно мы проверяем и зачем.

Цели могут быть разными. Подготовка к проверке регулятора — тогда фокус на соответствии конкретным требованиям ФСТЭК или 152-ФЗ. Расследование инцидента — тогда нужна история конкретных доступов. Плановая проверка гигиены безопасности — тогда полная картина состояния учётных данных.

Область аудита определяет, какие системы попадают в проверку. Для первого аудита удобнее сегментировать: начать с критически важных систем (серверная инфраструктура, базы данных, финансовые сервисы), затем перейти к остальным.

Зафиксируйте на этом шаге: кто отвечает за аудит, какие системы проверяются, какой результат ожидается на выходе и в какие сроки.

Это самый трудоёмкий этап, особенно если в компании до этого не было централизованного учёта. Цель — получить полный список всех учётных записей во всех системах.

Источники для инвентаризации: Active Directory или LDAP — здесь хранится большинство корпоративных аккаунтов. Корпоративный менеджер паролей — если он используется, в нём уже есть структурированный список. Облачные сервисы (Google Workspace, Microsoft 365, Jira, Confluence) — у каждого своя панель управления пользователями. Серверная инфраструктура — список SSH-ключей и системных учёток.

Типичная находка на этом этапе — учётные записи уволенных сотрудников, которые никто не удалил. В среднем в компании обнаруживается от 10 до 30% «мёртвых душ» — активных аккаунтов людей, которые давно не работают.

Это технически самая чувствительная часть аудита, потому что прямая проверка паролей (их чтение в открытом виде) невозможна и недопустима — пароли хранятся в хешированном виде. Поэтому проверяется не содержимое паролей, а косвенные признаки их качества.

Соответствие парольной политике. Выполняются ли требования по длине и составу символов — это можно проверить через настройки AD и политики групп.

Возраст пароля. Как давно был установлен пароль. Пароли, которые не менялись несколько лет — потенциальная уязвимость.

Совпадение с базами публичных утечек. Это наиболее ценная проверка. Если пароль сотрудника попал в публично доступную базу скомпрометированных паролей (haveibeenpwned и аналоги), он уязвим вне зависимости от своей сложности. Корпоративный менеджер паролей с функцией мониторинга даркнета автоматизирует эту проверку.

Повторное использование паролей. Если одна и та же учётная запись используется в нескольких системах — это риск. Прямо проверить это без доступа к паролям в открытом виде сложно, но косвенно можно через анализ инцидентов и опрос сотрудников.

Сервисные аккаунты с дефолтными паролями. Особенно актуально для серверной инфраструктуры — учётные записи, созданные при установке ПО, нередко сохраняют заводские пароли.

Параллельно с качеством паролей нужно проверить, кто вообще к чему имеет доступ. Нередко оказывается, что права выданы избыточно или не соответствуют текущим обязанностям сотрудника.

Соответствие прав должности. Сотрудник переведён из IT в продажи полгода назад — у него всё ещё административный доступ к серверам? Это типичная ситуация.

Принцип минимальных привилегий. Каждый пользователь должен иметь доступ только к тому, что нужно для работы. Проверьте учётные записи с расширенными правами — все ли они обоснованы?

Общие аккаунты. Один логин и пароль, который знают несколько сотрудников. Рекламный кабинет «на всю команду», сервисный аккаунт «от DevOps». Такие учётки невозможно атрибутировать — при инциденте вы не узнаете, кто именно совершил действие.

Временные доступы, ставшие постоянными. Подрядчику дали временный доступ три месяца назад. Работа давно закончена — доступ всё ещё активен.

Администраторские права без необходимости. Сотрудник попросил права администратора «для одной задачи» — и так и остался с ними.

Если в компании ведётся журнал событий по доступам, он даёт ценную информацию для аудита.

Авторизации в нерабочее время. Вход в системы глубокой ночью или в выходные дни — не обязательно инцидент, но точно повод разобраться.

Множественные неудачные попытки входа. Могут означать как попытку взлома, так и забытый пароль. В любом случае требуют внимания.

Массовый просмотр или копирование паролей за короткий промежуток времени. Сотрудник за один день открыл 50 паролей — это нетипичное поведение.

Доступ к паролям от критических систем со стороны неожиданных пользователей. Кто открывал пароль от production-базы данных за последние 30 дней?

Действия уволенных сотрудников. Если аккаунт был деактивирован, но в журнале есть попытки входа после даты увольнения — это серьёзный сигнал.

Если журнала событий нет совсем — это тоже важный результат аудита: нужно наладить логирование.

Технические проверки дополняются оценкой организационной стороны.

Есть ли актуальная парольная политика и когда она последний раз обновлялась.

Знают ли сотрудники о требованиях к паролям — проводилось ли обучение.

Есть ли процедура offboarding: чёткий алгоритм отзыва доступов при увольнении с назначенным ответственным и дедлайном.

Есть ли процедура реагирования на компрометацию пароля: что делать сотруднику, если он подозревает, что его пароль утёк.

Используется ли корпоративный менеджер паролей и охвачены ли им все отделы или только часть.

По итогам каждого шага формируется список находок. Их нужно приоритизировать по степени риска.

Отчёт об аудите — это не просто список проблем. Это документ, который позволяет принять решения о приоритетах и ресурсах.

Хороший отчёт об аудите паролей содержит: резюме для руководства (одна страница, ключевые находки и риски без технических деталей), детальный список находок с приоритетами, рекомендации по устранению каждой находки с оценкой трудозатрат, предложения по изменению организационных мер и процедур.

Храните отчёт в защищённом месте — он содержит информацию об уязвимостях инфраструктуры.

Ручной аудит паролей — трудоёмкий процесс, который сложно проводить часто. Большинство шагов можно автоматизировать с помощью правильных инструментов.

Мониторинг компрометации в реальном времени. Корпоративный менеджер паролей с функцией проверки по базам утечек уведомляет об обнаружении скомпрометированного пароля сразу, не дожидаясь планового аудита.

Автоматические отчёты по безопасности. Дашборды в менеджере паролей показывают долю слабых, старых и дублирующихся паролей в режиме реального времени. Руководитель ИБ видит актуальную картину без ручной проверки.

Журнал событий. Автоматическая фиксация всех действий пользователей позволяет в любой момент получить историю доступов без ручного опроса и восстановления по памяти.

Политики безопасности. Настроенные правила в менеджере паролей не позволяют создать пароль, не соответствующий требованиям. Это снимает часть задач аудита: нарушений просто не возникает.

В BearPass аудит паролей — это не разовое мероприятие, а постоянный фоновый процесс: мониторинг компрометации, отчёты по качеству паролей, журнал событий с фильтрацией и экспортом. Плановый аудит в таких условиях занимает часы, а не дни.

Для большинства компаний оптимальный ритм такой.

Раз в квартал — полный аудит по всем восьми шагам. Это позволяет держать картину актуальной и своевременно реагировать на изменения в составе сотрудников и инфраструктуры.

После каждого увольнения ключевого сотрудника — точечная проверка его доступов и связанных учётных записей.

После любого инцидента безопасности — внеплановый аудит с фокусом на затронутых системах.

При существенных изменениях инфраструктуры — добавлении новых систем, переходе на новые сервисы, слиянии или поглощении.

Аудит паролей — это восемь последовательных шагов: определение целей и области, инвентаризация учётных записей, проверка качества паролей, аудит прав доступа, анализ журнала событий, оценка организационных мер, приоритизация находок и составление отчёта.

Первый аудит почти всегда выявляет неприятные сюрпризы: аккаунты уволенных, избыточные права, пароли из публичных утечек. Это нормально. Ценность аудита не в том, чтобы всё было идеально, а в том, чтобы знать реальную картину и планомерно её улучшать.

Инструментом, который переводит аудит из разового события в постоянный процесс, служит корпоративный менеджер паролей с мониторингом компрометации, ролевой моделью и журналом событий.

Попробуйте BearPass бесплатно — до 5 пользователей бессрочно, весь функционал без ограничений.