Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Контроль привилегированных пользователей

Процеcc предоставления доступа и фиксации действий привилегированных пользователей требует особого внимания, особенно, если доступ необходим к информационным системам с критически важными для бизнеса данными или процессами. Чем больше прав – тем больше рисков злоупотребить предоставленным доступом или совершить и скрыть ошибку, которая может стоит бизнесу очень дорого.

Кто такие привилегированные пользователи?

Все современные системы инфраструктуры или безопасности строятся по принципу разграничения прав, но всегда остаются так называемые немногочисленные привилегированные пользователи с абсолютными правами. Контролировать их затруднительно, так как для этого необходимо быть не менее опытным специалистом в области администрирования. Наблюдателей за сотрудниками, работающими удаленно, тем более не приставишь.

Процессы предоставления пользователям логинов и паролей, а также контроля удаленной сессии могут и должны быть автоматизированы, если ваша компания заботится о защите от внутренних угроз.

Мы рекомендуем внедрить современное PAM (Privileged Access Management) решение, особенно тем компаниям, которые прибегают к услугам внештатных специалистов поддержки и администрирования систем и которым необходимо передавать для работы администраторские учетные записи или root пользователей.

Во внедрении PAM заинтересованы не только специалисты безопасности компании, а в равной степени и руководители ИТ-подразделения, так как именно они отвечают перед бизнесом за непрерывность ИТ-процессов, выбор субподрядчиков и интеграторов для делегирования задач внедрения и обслуживания информационных систем. Определенная степень интереса есть и у внутренних заказчиков от бизнеса, если задачи их подчиненных связаны с определенными финансовыми или технологическими рисками (например, риском мошенничества). Хотя эти пользователи и не являются администраторами, они также являются привилегированными, и необходима возможность фиксации их действий с последующим использованием в качестве доказательной базы при расследовании инцидентов.

Какие вопросы в этой связи стоят перед руководителями ИТ и ИБ?

Кто имеет доступ к критически важным ресурсам и как контролировать работу этих людей? 

Зачастую контроль над учетными записями ведется слабо или не ведется вообще. Потенциально среди них могут оказаться backdoor-аккаунты, эксплуатируемые злоумышленниками или вредоносными программами. Забытая и недеактивированная учетная запись может позволить эксплуатировать эксплоиты систем и поднять привилегии. Это причинит большой вред всей инфраструктуре компании. PAM-решение поможет минимизировать количество технологических УЗ, вести их учет, а также тщательно журналировать факты их использования и деанонимизировать пользователей, так как технологические УЗ имеют очень «размытых» ответственных, максимум – зафиксированных на бумаге.

Как защитить системы и данные от ошибок пользователей, а также от злонамеренного умысла?

Никто не совершенен, все совершают ошибки. Для минимизации человеческого фактора в процессе обслуживания систем PAM дает возможность фильтрации команд и действий пользователей по черным и белым спискам, которые можно тонко настроить на группы систем и пользователей как политики. Есть и обратный эффект, если сбой или инцидент произошел не по вине человека, а из-за багов ПО системы, то PAM поможет доказать, что сбой произошел не по вине администраторов или пользователей.

Как расследовать инциденты, где брать доказательства?

«На лету» всех за руку поймать невозможно: нужна доказательная база, журнал событий, видеоархив сессий, логи, которые пользователь не сможет почистить за собой. Все это обеспечит детальную картину и последовательность действий, приведших к инциденту. Такой разбор позволит предпринять меры, чтобы в будущем ситуация не повторилась.

Кому известны пароли от привилегированных учетных записей, и как контролировать распространение паролей?

Смена и стойкость паролей – это извечный вопрос на стыке безопасности и удобства. Вместе с тем, пароли меняются с недостаточной периодичностью и надежностью, поскольку те легко забываются. Аутентификацию нужно проходить не в одной, не в двух, а более чем в десятках систем, и в результате часто сотрудники используют 3-5 «золотых» паролей «для всего». Отдельно стоит выделить работу с базами данных или иными системами, которые необходимо бэкапировать. Если пароли меняются, то вспомнить, какой пароль действовал для конкретного бэкапа в прошлом – почти невозможно, проще их вообще не менять годами, иначе бэкап может оказать бесполезным. PAM может защищенно хранить пароли и историю их изменений на любую дату в прошлом. Помимо этого, гранулировано предоставлять их пользователям или аутентифицировать пользователя по принципу SSO без раскрытия пароля от конечной защищаемой системы. Пользователю достаточно знать только свою учетную запись для входа в PAM, которая может быть и учетной записью AD, опционально усиленной дополнительным фактором аутентификации, например, значением OTP.

Эти вопросы могут быть контрольными для оценки необходимости внедрения PAM системы, если у вас нет уверенного ответа хотя бы на один из них, то стоит более пристально присмотреться к решениям и, возможно, организовать пилотный проект.

Ключевые возможности PAM

  • Управление паролями общих и привилегированных учетных записей.
  • Анализ и фильтрация вводимых команд и действий.
  • Аудит действий привилегированных пользователей.
  • Управление доступом привилегированных УЗ, по запросу, с ограничением времени доступа.
  • Изоляция целевых серверов и ресурсов.

Аудиторы и субподрядчики

Работа с субподрядчиками – большой тренд сегодняшнего дня: многие компании передают обслуживание ИТ-инфраструктуры на аутсорс, внедрение новых систем проводится силами компетентных интеграторов. Благодаря функционалу PAM ваша организация может контролировать SLA и быть уверена, что они не делают ничего сверх или, наоборот, менее того, что, согласно договору, должны делать.

К привилегированным пользователям можно отнести и внешних аудиторов – независимых или из проверяющих госорганов. Чтобы не предоставлять им абсолютные права, а только те, которые необходимы для проведения аудита или проверки. Такой подход позволит быть уверенным, что аудиторы не унесли с собой коммерческую тайну, не являющуюся целью аудита, и не оставили программных закладок.

Пароли и ключи

Изначально функциональность первых PAM-систем была ограничена менеджерами паролей корпоративного уровня – централизованным хранением паролей и безопасной выдачей их пользователям. От безопасности логинов и паролей администраторов (или root для *nix систем) зависела и всегда будет зависеть эффективность работы всей компании. Согласно статистике, большинство угроз информационной безопасности реализуется через хищение учетных записей – как пользовательских, так и администраторских.

PAM-решение выдает пользователю пароль для работы с системой, затем автоматически его меняет по расписанию или событию. Автоматизация изменения паролей важна, чтобы человек не мог использовать полученный пароль повторно и вне регламента, если он смог его изменить или узнать в ходе сессии, а поскольку сотрудник обладает правами администратора – такая ситуация вполне возможна. Функционал управления паролями также включает автоматическое сканирование сети и сбор новых паролей и, при необходимости, перенос в защищенное хранилище. Эта мера позволяет исключить появление тех самых backdoor-аккаунтов.

При управлении паролями важно обеспечение отказоустойчивости и резервирование системы PAM для обеспечения доступности парольной информации и возможности доступа к контролируемым системам. Радует тот факт, что большинство производителей уже в базовый функционал включают функции резервирования и аварийного восстановления.

Контроль сессий

Кроме обеспечения безопасности паролей стоит также позаботиться о контроле происходящего внутри сессий, будь то графический сеанс работы или текстовый лог команд. Первые подобные решения появились около 10-15 лет назад, но пик популярности в России они пережили относительно недавно.

Функционал некоторых PAM-систем подразумевает управление как доступом, так и паролями.

За рубежом большинство компаний выбирают решения по управлению учетными записями, а вот в России чаще склоняются к контролю за привилегированным доступом. Скорее всего, это результат того, что первыми на российский рынок вышли такие компании, предлагающие решения по управлению только сессиями.

Архитектура

Самая распространенная архитектура решений контроля сессий – прокси-сервер: система «слушает» или перенаправляет трафик сессий и выполняет так называемую роль «man in the middle», не внося изменений в саму сессию, но фиксируя видеопоток для графических сессий или текст для SSH-сессий. Для разбора происходящего внутри графических сессий применяется технология распознавания текста OCR. Есть нюанс: OCR всегда работает постфактум и, к тому же, если на экранах много текста, – будет выдавать ошибочное срабатывание. Технология очень чувствительна к шрифтам, их прозрачности и контрастности фона. Потому такие решения скорее являются средствами фиксации и расследования событий, и в меньшей степени применимы для предотвращения инцидентов в реальном времени.

Решения, которые работают по принципу terminal-сервера или jump-сервера, для разбора происходящего внутри сессий используют информацию из самого протокола: видят заголовки окон, запущенные фоновые процессы и клавиатурный ввод пользователя. Это позволяет в режиме реального времени анализировать все происходящее в системе и применять соответствующие политики.

Решения

Мировым лидером PAM-отрасли является CyberArk – производитель наиболее функциональных решений. Один из самых узнаваемых и распространенных в СНГ среди прокси-решений для контроля сессий – BalaBit SCB.

Для хранения паролей компаниям enterprise-сегмента (1000+ пользователей) можно рекомендовать Lieberman Software – пионера в отрасли управления учетными записями. С ним отлично интегрируется решение ObserveIT, которое обеспечивает контроль сессий по агентской схеме, когда нет выделенного прокси-сервера, и на каждую контролируемую систему устанавливается агент.

Компаниям СМБ-сектора для хранения паролей подойдет Thycotic – молодое решение, которое активно догоняет CyberArk по функциональности, а для контроля сессий – FUDO, архитектурно схожее с BalaBit SCB.

Стоит отметить, что отдельные продукты по контролю доступа и управлению паролями разных производителей имеют штатные возможности интеграции между собой, что позволяет достичь единого более гибкого решения, с преимуществами каждой из интегрируемых систем.

Среди отечественных решений можно отметить SafeInspect – единственное решение в реестре отечественного ПО, потому интересное в первую очередь государственным компаниям и организациям.

Опыт Softline

Softline имеет опыт реализации проектов PAM в лидирующих компаниях из отраслей энергетики, финансов, нефтегазовой промышленности и ретейла. Архитекторы и консультанты компании по вопросам информационной безопасности готовы помочь в организации пилотных проектов и выборе оптимального решения для уникальных нужд каждого клиента.

Остались вопросы?

Пишите: Identity@softline.com

Звоните: +7 (495) 232-00-23, доб. 1836

Иван Молотилов

Руководитель направления управления доступом компании Softline

 

Новости, истории и события
Смотреть все
«Инферит ОС» (ГК Softline) подтвердил совместимость ОС «МСВСфера Сервер» с серверным оборудованием QTECH
Новости

«Инферит ОС» (ГК Softline) подтвердил совместимость ОС «МСВСфера Сервер» с серверным оборудованием QTECH

06.05.2025

Облачный провайдер ActiveCloud (ГК Softline) помог сети салонов керамической плитки мигрировать на облачный почтовый сервис SmartMail
Новости

Облачный провайдер ActiveCloud (ГК Softline) помог сети салонов керамической плитки мигрировать на облачный почтовый сервис SmartMail

06.05.2025

ГК Softline и «ОБИТ» объявляют о стратегическом сотрудничестве в области импортозамещения
Новости

ГК Softline и «ОБИТ» объявляют о стратегическом сотрудничестве в области импортозамещения

06.05.2025

Лаборатория цифровой трансформации CDTO LAB Академии Softline в третий раз удостоена Гран-При премии CDO/CDTO Awards
Новости

Лаборатория цифровой трансформации CDTO LAB Академии Softline в третий раз удостоена Гран-При премии CDO/CDTO Awards

05.05.2025

Российский производитель лазерных решений VPG Laserone (ГК Softline) принял участие в XXI конгрессе «Мужское здоровье»
Новости

Российский производитель лазерных решений VPG Laserone (ГК Softline) принял участие в XXI конгрессе «Мужское здоровье»

30.04.2025

ГК Softline получила награду от разработчика CommuniGate Pro — компании СБК
Новости

ГК Softline получила награду от разработчика CommuniGate Pro — компании СБК

30.04.2025

«Росатом Сервис» заменил SharePoint на «Цитрос Цифровую Платформу» от компании SL Soft (ГК Softline)
Новости

«Росатом Сервис» заменил SharePoint на «Цитрос Цифровую Платформу» от компании SL Soft (ГК Softline)

30.04.2025

ГК Softline стала золотым партнером компании «Гравитон»
Новости

ГК Softline стала золотым партнером компании «Гравитон»

29.04.2025

ГК Softline стала победителем премии Team Awards
Новости

ГК Softline стала победителем премии Team Awards

29.04.2025

Сомерс (ГК Softline) внедрил подсказки для кассиров в товароучетную систему и кассовое ПО SUBTOTAL
Новости

Сомерс (ГК Softline) внедрил подсказки для кассиров в товароучетную систему и кассовое ПО SUBTOTAL

29.04.2025

Российский производитель лазерных решений VPG Laserone (ГК Softline) принял участие в 37-й международной выставке «Информационные и коммуникационные технологии»
Новости

Российский производитель лазерных решений VPG Laserone (ГК Softline) принял участие в 37-й международной выставке «Информационные и коммуникационные технологии»

28.04.2025

ГК Softline и Knowledge Space заключили соглашение о продвижении платформы интегрированного бизнес-планирования
Новости

ГК Softline и Knowledge Space заключили соглашение о продвижении платформы интегрированного бизнес-планирования

28.04.2025

ПАО «Софтлайн» объявит основные неаудированные финансовые показатели Компании за 1 квартал 2025 года 19 мая 2025 года
Новости

ПАО «Софтлайн» объявит основные неаудированные финансовые показатели Компании за 1 квартал 2025 года 19 мая 2025 года

28.04.2025

SL Soft (ГК Softline) и MAINTEX объявляют о сотрудничестве
Новости

SL Soft (ГК Softline) и MAINTEX объявляют о сотрудничестве

25.04.2025

Провайдер «Инферит Облако» (ГК Softline) модернизировал облачную инфраструктуру ЦОД во Фрязино
Новости

Провайдер «Инферит Облако» (ГК Softline) модернизировал облачную инфраструктуру ЦОД во Фрязино

25.04.2025

Bell Integrator (ГК Softline) разработал систему сквозного мониторинга бизнес-процессов для крупной финансовой организации
Новости

Bell Integrator (ГК Softline) разработал систему сквозного мониторинга бизнес-процессов для крупной финансовой организации

25.04.2025

ОС «МСВСфера Сервер» (ГК Softline) и CommuniGate Pro предлагают новый уровень надежности в коммуникации с контрагентами
Новости

ОС «МСВСфера Сервер» (ГК Softline) и CommuniGate Pro предлагают новый уровень надежности в коммуникации с контрагентами

24.04.2025

ГК Softline включила в продуктовый портфель платформу GMonit
Новости

ГК Softline включила в продуктовый портфель платформу GMonit

24.04.2025

Защита персональных данных: требования законодательства и способы защиты от утечек
Блог

Защита персональных данных: требования законодательства и способы защиты от утечек

06.05.2025

Как устроены цифровые двойники: этапы разработки и примеры использования
Блог

Как устроены цифровые двойники: этапы разработки и примеры использования

29.04.2025

Стратегия перехода в облако
Блог

Стратегия перехода в облако

24.04.2025

Защита данных и информации: методы, практика, стандарты и законы
Блог

Защита данных и информации: методы, практика, стандарты и законы

22.04.2025

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта
Блог

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта

17.04.2025

Российские системы виртуализации
Блог

Российские системы виртуализации

15.04.2025

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться
Блог

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться

10.04.2025

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению
Блог

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению

08.04.2025

«Софтлайн Офис» — платформа корпоративных коммуникаций
Блог

«Софтлайн Офис» — платформа корпоративных коммуникаций

04.04.2025

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию
Блог

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию

03.04.2025

Киберучения: готовим сотрудников к успешным отражениям атак
Блог

Киберучения: готовим сотрудников к успешным отражениям атак

27.03.2025

Контроль усталости водителей
Блог

Контроль усталости водителей

25.03.2025

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR
Блог

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR

14.03.2025

Инвестиции в цифровизацию ритейла: стратегии 2025 года
Блог

Инвестиции в цифровизацию ритейла: стратегии 2025 года

11.03.2025

Топ-редакторы для работы с PDF — сравниваем программы
Блог

Топ-редакторы для работы с PDF — сравниваем программы

04.03.2025

Российские офисные системы: выбор и преимущества
Блог

Российские офисные системы: выбор и преимущества

03.03.2025

Softline Assessment и СУБД Tantor: мощный тандем для диагностики инфраструктуры
Блог

Softline Assessment и СУБД Tantor: мощный тандем для диагностики инфраструктуры

26.02.2025

Интервью ГК Softline и «Базальт СПО»: сервис Softline Enterprise Agreement — инфраструктура заказчика из единого окна
Блог

Интервью ГК Softline и «Базальт СПО»: сервис Softline Enterprise Agreement — инфраструктура заказчика из единого окна

24.02.2025