Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Контроль привилегированных пользователей

Процеcc предоставления доступа и фиксации действий привилегированных пользователей требует особого внимания, особенно, если доступ необходим к информационным системам с критически важными для бизнеса данными или процессами. Чем больше прав – тем больше рисков злоупотребить предоставленным доступом или совершить и скрыть ошибку, которая может стоит бизнесу очень дорого.

Кто такие привилегированные пользователи?

Все современные системы инфраструктуры или безопасности строятся по принципу разграничения прав, но всегда остаются так называемые немногочисленные привилегированные пользователи с абсолютными правами. Контролировать их затруднительно, так как для этого необходимо быть не менее опытным специалистом в области администрирования. Наблюдателей за сотрудниками, работающими удаленно, тем более не приставишь.

Процессы предоставления пользователям логинов и паролей, а также контроля удаленной сессии могут и должны быть автоматизированы, если ваша компания заботится о защите от внутренних угроз.

Мы рекомендуем внедрить современное PAM (Privileged Access Management) решение, особенно тем компаниям, которые прибегают к услугам внештатных специалистов поддержки и администрирования систем и которым необходимо передавать для работы администраторские учетные записи или root пользователей.

Во внедрении PAM заинтересованы не только специалисты безопасности компании, а в равной степени и руководители ИТ-подразделения, так как именно они отвечают перед бизнесом за непрерывность ИТ-процессов, выбор субподрядчиков и интеграторов для делегирования задач внедрения и обслуживания информационных систем. Определенная степень интереса есть и у внутренних заказчиков от бизнеса, если задачи их подчиненных связаны с определенными финансовыми или технологическими рисками (например, риском мошенничества). Хотя эти пользователи и не являются администраторами, они также являются привилегированными, и необходима возможность фиксации их действий с последующим использованием в качестве доказательной базы при расследовании инцидентов.

Какие вопросы в этой связи стоят перед руководителями ИТ и ИБ?

Кто имеет доступ к критически важным ресурсам и как контролировать работу этих людей? 

Зачастую контроль над учетными записями ведется слабо или не ведется вообще. Потенциально среди них могут оказаться backdoor-аккаунты, эксплуатируемые злоумышленниками или вредоносными программами. Забытая и недеактивированная учетная запись может позволить эксплуатировать эксплоиты систем и поднять привилегии. Это причинит большой вред всей инфраструктуре компании. PAM-решение поможет минимизировать количество технологических УЗ, вести их учет, а также тщательно журналировать факты их использования и деанонимизировать пользователей, так как технологические УЗ имеют очень «размытых» ответственных, максимум – зафиксированных на бумаге.

Как защитить системы и данные от ошибок пользователей, а также от злонамеренного умысла?

Никто не совершенен, все совершают ошибки. Для минимизации человеческого фактора в процессе обслуживания систем PAM дает возможность фильтрации команд и действий пользователей по черным и белым спискам, которые можно тонко настроить на группы систем и пользователей как политики. Есть и обратный эффект, если сбой или инцидент произошел не по вине человека, а из-за багов ПО системы, то PAM поможет доказать, что сбой произошел не по вине администраторов или пользователей.

Как расследовать инциденты, где брать доказательства?

«На лету» всех за руку поймать невозможно: нужна доказательная база, журнал событий, видеоархив сессий, логи, которые пользователь не сможет почистить за собой. Все это обеспечит детальную картину и последовательность действий, приведших к инциденту. Такой разбор позволит предпринять меры, чтобы в будущем ситуация не повторилась.

Кому известны пароли от привилегированных учетных записей, и как контролировать распространение паролей?

Смена и стойкость паролей – это извечный вопрос на стыке безопасности и удобства. Вместе с тем, пароли меняются с недостаточной периодичностью и надежностью, поскольку те легко забываются. Аутентификацию нужно проходить не в одной, не в двух, а более чем в десятках систем, и в результате часто сотрудники используют 3-5 «золотых» паролей «для всего». Отдельно стоит выделить работу с базами данных или иными системами, которые необходимо бэкапировать. Если пароли меняются, то вспомнить, какой пароль действовал для конкретного бэкапа в прошлом – почти невозможно, проще их вообще не менять годами, иначе бэкап может оказать бесполезным. PAM может защищенно хранить пароли и историю их изменений на любую дату в прошлом. Помимо этого, гранулировано предоставлять их пользователям или аутентифицировать пользователя по принципу SSO без раскрытия пароля от конечной защищаемой системы. Пользователю достаточно знать только свою учетную запись для входа в PAM, которая может быть и учетной записью AD, опционально усиленной дополнительным фактором аутентификации, например, значением OTP.

Эти вопросы могут быть контрольными для оценки необходимости внедрения PAM системы, если у вас нет уверенного ответа хотя бы на один из них, то стоит более пристально присмотреться к решениям и, возможно, организовать пилотный проект.

Ключевые возможности PAM

  • Управление паролями общих и привилегированных учетных записей.
  • Анализ и фильтрация вводимых команд и действий.
  • Аудит действий привилегированных пользователей.
  • Управление доступом привилегированных УЗ, по запросу, с ограничением времени доступа.
  • Изоляция целевых серверов и ресурсов.

Аудиторы и субподрядчики

Работа с субподрядчиками – большой тренд сегодняшнего дня: многие компании передают обслуживание ИТ-инфраструктуры на аутсорс, внедрение новых систем проводится силами компетентных интеграторов. Благодаря функционалу PAM ваша организация может контролировать SLA и быть уверена, что они не делают ничего сверх или, наоборот, менее того, что, согласно договору, должны делать.

К привилегированным пользователям можно отнести и внешних аудиторов – независимых или из проверяющих госорганов. Чтобы не предоставлять им абсолютные права, а только те, которые необходимы для проведения аудита или проверки. Такой подход позволит быть уверенным, что аудиторы не унесли с собой коммерческую тайну, не являющуюся целью аудита, и не оставили программных закладок.

Пароли и ключи

Изначально функциональность первых PAM-систем была ограничена менеджерами паролей корпоративного уровня – централизованным хранением паролей и безопасной выдачей их пользователям. От безопасности логинов и паролей администраторов (или root для *nix систем) зависела и всегда будет зависеть эффективность работы всей компании. Согласно статистике, большинство угроз информационной безопасности реализуется через хищение учетных записей – как пользовательских, так и администраторских.

PAM-решение выдает пользователю пароль для работы с системой, затем автоматически его меняет по расписанию или событию. Автоматизация изменения паролей важна, чтобы человек не мог использовать полученный пароль повторно и вне регламента, если он смог его изменить или узнать в ходе сессии, а поскольку сотрудник обладает правами администратора – такая ситуация вполне возможна. Функционал управления паролями также включает автоматическое сканирование сети и сбор новых паролей и, при необходимости, перенос в защищенное хранилище. Эта мера позволяет исключить появление тех самых backdoor-аккаунтов.

При управлении паролями важно обеспечение отказоустойчивости и резервирование системы PAM для обеспечения доступности парольной информации и возможности доступа к контролируемым системам. Радует тот факт, что большинство производителей уже в базовый функционал включают функции резервирования и аварийного восстановления.

Контроль сессий

Кроме обеспечения безопасности паролей стоит также позаботиться о контроле происходящего внутри сессий, будь то графический сеанс работы или текстовый лог команд. Первые подобные решения появились около 10-15 лет назад, но пик популярности в России они пережили относительно недавно.

Функционал некоторых PAM-систем подразумевает управление как доступом, так и паролями.

За рубежом большинство компаний выбирают решения по управлению учетными записями, а вот в России чаще склоняются к контролю за привилегированным доступом. Скорее всего, это результат того, что первыми на российский рынок вышли такие компании, предлагающие решения по управлению только сессиями.

Архитектура

Самая распространенная архитектура решений контроля сессий – прокси-сервер: система «слушает» или перенаправляет трафик сессий и выполняет так называемую роль «man in the middle», не внося изменений в саму сессию, но фиксируя видеопоток для графических сессий или текст для SSH-сессий. Для разбора происходящего внутри графических сессий применяется технология распознавания текста OCR. Есть нюанс: OCR всегда работает постфактум и, к тому же, если на экранах много текста, – будет выдавать ошибочное срабатывание. Технология очень чувствительна к шрифтам, их прозрачности и контрастности фона. Потому такие решения скорее являются средствами фиксации и расследования событий, и в меньшей степени применимы для предотвращения инцидентов в реальном времени.

Решения, которые работают по принципу terminal-сервера или jump-сервера, для разбора происходящего внутри сессий используют информацию из самого протокола: видят заголовки окон, запущенные фоновые процессы и клавиатурный ввод пользователя. Это позволяет в режиме реального времени анализировать все происходящее в системе и применять соответствующие политики.

Решения

Мировым лидером PAM-отрасли является CyberArk – производитель наиболее функциональных решений. Один из самых узнаваемых и распространенных в СНГ среди прокси-решений для контроля сессий – BalaBit SCB.

Для хранения паролей компаниям enterprise-сегмента (1000+ пользователей) можно рекомендовать Lieberman Software – пионера в отрасли управления учетными записями. С ним отлично интегрируется решение ObserveIT, которое обеспечивает контроль сессий по агентской схеме, когда нет выделенного прокси-сервера, и на каждую контролируемую систему устанавливается агент.

Компаниям СМБ-сектора для хранения паролей подойдет Thycotic – молодое решение, которое активно догоняет CyberArk по функциональности, а для контроля сессий – FUDO, архитектурно схожее с BalaBit SCB.

Стоит отметить, что отдельные продукты по контролю доступа и управлению паролями разных производителей имеют штатные возможности интеграции между собой, что позволяет достичь единого более гибкого решения, с преимуществами каждой из интегрируемых систем.

Среди отечественных решений можно отметить SafeInspect – единственное решение в реестре отечественного ПО, потому интересное в первую очередь государственным компаниям и организациям.

Опыт Softline

Softline имеет опыт реализации проектов PAM в лидирующих компаниях из отраслей энергетики, финансов, нефтегазовой промышленности и ретейла. Архитекторы и консультанты компании по вопросам информационной безопасности готовы помочь в организации пилотных проектов и выборе оптимального решения для уникальных нужд каждого клиента.

Остались вопросы?

Пишите: Identity@softline.com

Звоните: +7 (495) 232-00-23, доб. 1836

Иван Молотилов

Руководитель направления управления доступом компании Softline

 

Новости, истории и события
Смотреть все
ГК Softline стала платиновым партнером Eltex
Новости

ГК Softline стала платиновым партнером Eltex

27.05.2025

SL Soft (ГК Softline) представила новую версию модуля электронного наряд-допуска Visitech
Новости

SL Soft (ГК Softline) представила новую версию модуля электронного наряд-допуска Visitech

27.05.2025

Группа «Борлас» (ГК Softline) – эксклюзивный дистрибьютор ПО CAE Fidesys
Новости

Группа «Борлас» (ГК Softline) – эксклюзивный дистрибьютор ПО CAE Fidesys

23.05.2025

ГК Softline стала победителем премии «Технологические лидеры клиентоцентричности» в номинации «Позитивное упоминание продуктов и сервисов в медиа»
Новости

ГК Softline стала победителем премии «Технологические лидеры клиентоцентричности» в номинации «Позитивное упоминание продуктов и сервисов в медиа»

26.05.2025

Студенты МГТУ им. Н.Э. Баумана учатся работать в ОС «МСВСфера» 9 от «Инферит» (ГК Softline)
Новости

Студенты МГТУ им. Н.Э. Баумана учатся работать в ОС «МСВСфера» 9 от «Инферит» (ГК Softline)

26.05.2025

Внешний юридически значимый электронный документооборот крупной нефтяной компании обеспечен решением от SL Soft (ГК Softline) и СКБ Контур
Новости

Внешний юридически значимый электронный документооборот крупной нефтяной компании обеспечен решением от SL Soft (ГК Softline) и СКБ Контур

26.05.2025

Годовое общее собрание акционеров ПАО «Софтлайн» состоится 30 июня 2025 года
Новости

Годовое общее собрание акционеров ПАО «Софтлайн» состоится 30 июня 2025 года

26.05.2025

Proteqta (ГК Softline) и РДТЕХ договорились о сотрудничестве
Новости

Proteqta (ГК Softline) и РДТЕХ договорились о сотрудничестве

23.05.2025

ГК Softline объявляет об окончательном формировании кластера «Фабрика ПО», назначении Максима Тадевосяна на должность генерального директора новой структуры
Новости

ГК Softline объявляет об окончательном формировании кластера «Фабрика ПО», назначении Максима Тадевосяна на должность генерального директора новой структуры

23.05.2025

ГК Softline получила награду от МойОфис за высокие показатели продаж
Новости

ГК Softline получила награду от МойОфис за высокие показатели продаж

23.05.2025

Bell Integrator (ГК Softline) реализует проект по модернизации программного комплекса для крупной финансовой корпорации в части формирования отчетности для БКИ (бюро кредитных историй)
Новости

Bell Integrator (ГК Softline) реализует проект по модернизации программного комплекса для крупной финансовой корпорации в части формирования отчетности для БКИ (бюро кредитных историй)

22.05.2025

Российский производитель лазерных решений VPG Laserone (ГК Softline) укрепляет свои позиции на рынках Ближнего Востока, приняв участие в международной медицинской конференции Interdisciplinary Urology Consortium (IUCC)
Новости

Российский производитель лазерных решений VPG Laserone (ГК Softline) укрепляет свои позиции на рынках Ближнего Востока, приняв участие в международной медицинской конференции Interdisciplinary Urology Consortium (IUCC)

22.05.2025

Совет директоров ПАО «Софтлайн» рекомендовал Собранию акционеров направить 1 млрд рублей на выплату дивидендов по итогам 2024 года
Новости

Совет директоров ПАО «Софтлайн» рекомендовал Собранию акционеров направить 1 млрд рублей на выплату дивидендов по итогам 2024 года

22.05.2025

ActiveCloud (ГК Softline) запускает облачный хостинг CloudServer по цене VPS
Новости

ActiveCloud (ГК Softline) запускает облачный хостинг CloudServer по цене VPS

21.05.2025

ОС «МСВСфера Сервер» 9 от «Инферит ОС» (ГК Softline) подтвердила совместимость с менеджером паролей «Пассворк»
Новости

ОС «МСВСфера Сервер» 9 от «Инферит ОС» (ГК Softline) подтвердила совместимость с менеджером паролей «Пассворк»

21.05.2025

ОС «МСВСфера АРМ» 9 от «Инферит ОС» (ГК Softline) подтвердила совместимость с офисным пакетом «АльтерОфис 2025»
Новости

ОС «МСВСфера АРМ» 9 от «Инферит ОС» (ГК Softline) подтвердила совместимость с офисным пакетом «АльтерОфис 2025»

20.05.2025

Совет директоров ПАО «Софтлайн» 21 мая 2025 года даст рекомендацию Собранию акционеров по выплате дивидендов
Новости

Совет директоров ПАО «Софтлайн» 21 мая 2025 года даст рекомендацию Собранию акционеров по выплате дивидендов

19.05.2025

«Инферит» (ГК Softline) оснастил ноутбуками лабораторию дизайна университета им. С. Г. Строганова
Новости

«Инферит» (ГК Softline) оснастил ноутбуками лабораторию дизайна университета им. С. Г. Строганова

19.05.2025

Платежные терминалы: виды, безопасность и тенденции рынка
Блог

Платежные терминалы: виды, безопасность и тенденции рынка

28.05.2025

Российские антивирусы
Блог

Российские антивирусы

26.05.2025

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025
Блог

Увеличение штрафов за нарушения в обработке и хранении ПДн с 30 мая 2025

20.05.2025

Цифровая трансформация: с чего начать
Блог

Цифровая трансформация: с чего начать

15.05.2025

Защита персональных данных: требования законодательства и способы защиты от утечек
Блог

Защита персональных данных: требования законодательства и способы защиты от утечек

06.05.2025

Как устроены цифровые двойники: этапы разработки и примеры использования
Блог

Как устроены цифровые двойники: этапы разработки и примеры использования

29.04.2025

Стратегия перехода в облако
Блог

Стратегия перехода в облако

24.04.2025

Защита данных и информации: методы, практика, стандарты и законы
Блог

Защита данных и информации: методы, практика, стандарты и законы

22.04.2025

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта
Блог

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта

17.04.2025

Российские системы виртуализации
Блог

Российские системы виртуализации

15.04.2025

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться
Блог

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться

10.04.2025

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению
Блог

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению

08.04.2025

«Софтлайн Офис» — платформа корпоративных коммуникаций
Блог

«Софтлайн Офис» — платформа корпоративных коммуникаций

04.04.2025

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию
Блог

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию

03.04.2025

Киберучения: готовим сотрудников к успешным отражениям атак
Блог

Киберучения: готовим сотрудников к успешным отражениям атак

27.03.2025

Контроль усталости водителей
Блог

Контроль усталости водителей

25.03.2025

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR
Блог

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR

14.03.2025

Инвестиции в цифровизацию ритейла: стратегии 2025 года
Блог

Инвестиции в цифровизацию ритейла: стратегии 2025 года

11.03.2025

ИТ-решения, кейсы, новости
в Telegram-канале Softline
Подписаться