SafeInspect_logo

Управление привилегированными пользователями

Сегодня на первый план выходят риски, связанные с неконтролируемым административным доступом к критичным информационным системам и ИТ-инфраструктуре компаний.

Привилегированные пользователи — учетные записи с высокими привилегиями (Administrator, Cisco, Root, Oracle и т.д.). Они есть в каждой организации, они открывают доступ к критичным данным, их невозможно отследить и, как правило, используются они своместно.

Привилегированные пользователи

Потребность организации в администрировании множества систем невозможно закрыть усилиями одного-двух собственных администраторов. Данные работы проводятся силами внешних сотрудников.

  • 90% всех вторжений в критичные ИС осуществляются с помощью привилегированных учетных записей
  • 74% администраторов признались, что с легкостью обходят меры безопасности, предпринятые для защиты конфиденциальных данных
  • 80% привилегированных учетных записей принадлежат автоматизированным системам, которые как правило никак не контролируются и которым трудно применить какие либо политики безопасности

ТРЕБОВАНИЯ РЕГУЛЯТОРОВ

Публичные организации обязаны отчитываться о любых инцидентах и рисках, связанных с потерей информации о клиентах!

Отраслевые нормы требуют защиты привилегированных учетных записей и систематизации их использования:

  • Учет всех привилегированных учетных записей на всех типах оборудования, в том числе, административных и используемых приложениями и службами;
  • Учет лиц, имеющих права доступа к каждому ИТресурсу и учетной записи;
  • Учет доступа в целях документального подтверждения выполнения принципа наименьших привилегий, показывающий, кто, когда и с какой целью обращался к каждому ИТ-ресурсу;
  • Введение прозрачного процесса смены паролей привилегированных учетных записей сразу после выхода из учетной записи, чтобы те не могли быть повторно использованы;
  • Введение механизмов оповещения руководства о подозрительной деятельности;
  • Документальное подтверждение соответствия оборудования и ПО политике по контролю доступа.
В документах Федеральной службы по техническому и экспортному контролю (ФСТЭК России) выдвигаются следующие требования:
Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
2.3.5. Регистрация - КСЗ должен быть в состоянии осуществлять регистрацию следующих событий: использование идентификационного и аутентификационного механизма; запрос на доступ к защищаемому ресурсу (открытие файла, запуск программы и т.д.); создание и уничтожение объекта; действия по изменению ПРД.
2.2.2. Идентификация Аутентификация - КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ. КСЗ должен подвергать проверке подлинность идентификации – осуществлять аутентификацию. КСЗ должен препятствовать доступу к защищаемым ресурсам неидентифицированных пользователей и пользователей, подлинность идентификации которых при аутентификации не подтвердилась.

РЕШЕНИЕ

Процесс управления привилегированными учетными записями должен быть непрерывным:

  • Выявление всех ИТ-ресурсов и соответствующих привилегированных учетных записей, а также взаимосвязей между ними;
  • Делегирование доступа таким образом, чтобы к ИТ-ресурсам мог обращаться только уполномоченный персонал в строго отведенное для этого время;
  • Выполнение политик и правил доступа к ИТ-ресурсам и ИТ-инфраструктуре;
  • Аудит, оповещение, отчетность Запись действий привилегированных пользователей с функцией аудита для ответа на вопросы: кто, с какой целью и как долго пользуется привилегированным доступом;

SafeInspect — решение, позволяющее контролировать зашифрованные подключения к ИС компании, её сетевой и серверной инфраструктуре. Визуализация действий суперпользователей и эффективное управление доступом ко всей инфраструктуре:

  • Управление привилегированным доступом (PAM);
  • Мониторинг привилегированных пользователей и сессий (PUM);
  • Мониторинг зашифрованных каналов;
  • Управление субканалами внутри зашифрованных соединений;
  • Внедрение безопасных Security Intelligence Enablement;

Полнофункциональная платформа для контроля привилегированных учетных записей и сессий в современных информационных системах – как классических, так и облачных:

  • Контроль широко используемых протоколов администрирования;
  • Регистрация действий в виде видеозаписи;
  • Индексация, быстрый поиск события;
  • Контроль зашифрованных каналов;
  • Работа без использования агентов;
  • Двухуровневый контроль подключений;
  • Двухфакторная аутентификация;
  • Контроль доступа в реальном времени;
  • Противодействие внутренним угрозам;
  • Аудит файловых операций;
  • Статистика и отчеты о действиях;
  • Сбор информации для расследований инцидентов.

SafeInspect1

ПРЕИМУЩЕСТВА РЕШЕНИЯ

Масштабируемость и универсальность:

  1. Может быть установлен как на «железе» (сервере), так и в виртуальной среде: VMware, Hyper-V, VirtualBox. Возможна оптимизация под Оpenstack;
  2. Три режима работы: Прозрачный (L2), Маршрутизатор (L3), Бастион;
  3. Отказоустойчивость;
  4. Распределенная архитектура.

Минимальное вторжение в бизнес-процессы и инфраструктуру:

  • Нет необходимости в специальном ПО, серверных агентах или шлюзах на клиентской стороне;
  • Не нужно обучать пользователей работе с системой, менять бизнес-процессы и сетевую инфраструктуру;
  • Обеспечивает защиту доступа к серверам Windows, Unix, Linux, Мainframe, базам данных, сетевым устройствам и другим устройствам инфраструктуры, использующим протоколы администрирования;
  • Отслеживаются как интерактивные пользователи, так и соединения «машина-машина» (передача файлов по расписанию, исполнение специальных команд на серверах, бекапы и др.);
  • Нет необходимости в дополнительных модулях или серверах.

ИНТЕГРАЦИЯ

3 варианта интеграции:

  • Прозрачный — система устанавливается в «разрыв» соединения с серверами;
  • Маршрутизатор — соединения с серверами направляются в систему, а она маршрутизирует их на сервера;
  • Бастион — для доступа к серверам необходимо явно подключаться к порталу системы.

SafeInspect3_s

ДОСТУП К КРИТИЧЕСКИМ РЕСУРСАМ

Двухуровневая авторизация:

  1. Привилегированный пользователь проходит аутентификацию в системе;
  2. Администратор SafeInspect подтверждает полномочия;
  3. Пользователь получает доступ к системе.

SafeInspect4_s

ИНТЕГРАЦИЯ С ДРУГИМИ СИСТЕМАМИ

Система интегрируется с современными системами SIEM, IPS, Web filters, DLP, позволяя повысить эффективность как своей работы, так и работы других подсистем:

  • DLP — режим IN-LINE с возможностью блокирования ненужных соединений;
  • ICAP — передаваемые файлы проверяются;
  • Подключение к IPS осуществляется в режиме зеркалирования;
  • Интеграция с SIEM — направление журналов в режиме реального времени.

SafeInspect5_s

ОДНА ИЗ ЛУЧШИХ СТОИМОСТЕЙ ВЛАДЕНИЯ

  • Разные варианты продукта: может быть установлен как Virtual Appliance (в разных виртуальных средах), а также на «железо» (сервера).
  • Высокая масштабируемость: коллекторы могут добавляться в соответствии с изменениями в сетевой или виртуальной инфраструктуре.
  • Простота применения: прозрачные режимы и возможность использования стандартных приложений упрощают внедрение. Нет необходимости в тренингах пользователей или изменении бизнес-процессов.
  • Без агентов: нет необходимости в инсталляции дополнительного ПО или агентов на серверах.
  • Простая интеграция: легко интегрируется как в инфраструктуру безопасности (SIEM, DLP, IDS), так и в сетевую инфраструктуру (не нужны jump-сервера, поддержка Vlan).

Даже если у компании уже есть решение Privileged Access Management (PAM), уникальные возможности SafeInspect эффективно дополнят его функции. При этом не потребуется установка дополнительных агентов и не изменится логика уже используемого решения.

  • Прозрачный мониторинг и управление;
  • Распределенная архитектура;
  • Детальный контроль SSH и RDP (полноценный разбор протоколов);
  • Поиск, расследование и видео-показ событий;
  • Простая работа с общими аккаунтами (например, root);
  • Интеграция с DLP для SSH, SFTP, зашифрованными SSL протоколами в режиме реального времени;
  • Интеграция с системами IDS, IPS.

РЕЗУЛЬТАТ

  • Эффективный контроль подключений привилегированных пользователей к критически важным объектам предприятия;
  • Возможность контролировать каналы SSH, RDP, HTTP/HTTPs, Telnet и др.;
  • Запись трафика (включая изменения конфигурации, выполненные команды) в журнал, архивация в зашифрованном виде;
  • Любые действия аудитор получает в лог файла со ссылками на события. Пройдя по ссылкам можно увидеть происходящее в формате видео;
  • Контроль не только внутренних, но и внешних подключений;
  • Работа без агентов, простое внедрение и эксплуатация;
  • Интуитивный интерфейс, быстрая смена настроек.