Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Контроль привилегированных пользователей

Процеcc предоставления доступа и фиксации действий привилегированных пользователей требует особого внимания, особенно, если доступ необходим к информационным системам с критически важными для бизнеса данными или процессами. Чем больше прав – тем больше рисков злоупотребить предоставленным доступом или совершить и скрыть ошибку, которая может стоит бизнесу очень дорого.

Кто такие привилегированные пользователи?

Все современные системы инфраструктуры или безопасности строятся по принципу разграничения прав, но всегда остаются так называемые немногочисленные привилегированные пользователи с абсолютными правами. Контролировать их затруднительно, так как для этого необходимо быть не менее опытным специалистом в области администрирования. Наблюдателей за сотрудниками, работающими удаленно, тем более не приставишь.

Процессы предоставления пользователям логинов и паролей, а также контроля удаленной сессии могут и должны быть автоматизированы, если ваша компания заботится о защите от внутренних угроз.

Мы рекомендуем внедрить современное PAM (Privileged Access Management) решение, особенно тем компаниям, которые прибегают к услугам внештатных специалистов поддержки и администрирования систем и которым необходимо передавать для работы администраторские учетные записи или root пользователей.

Во внедрении PAM заинтересованы не только специалисты безопасности компании, а в равной степени и руководители ИТ-подразделения, так как именно они отвечают перед бизнесом за непрерывность ИТ-процессов, выбор субподрядчиков и интеграторов для делегирования задач внедрения и обслуживания информационных систем. Определенная степень интереса есть и у внутренних заказчиков от бизнеса, если задачи их подчиненных связаны с определенными финансовыми или технологическими рисками (например, риском мошенничества). Хотя эти пользователи и не являются администраторами, они также являются привилегированными, и необходима возможность фиксации их действий с последующим использованием в качестве доказательной базы при расследовании инцидентов.

Какие вопросы в этой связи стоят перед руководителями ИТ и ИБ?

Кто имеет доступ к критически важным ресурсам и как контролировать работу этих людей? 

Зачастую контроль над учетными записями ведется слабо или не ведется вообще. Потенциально среди них могут оказаться backdoor-аккаунты, эксплуатируемые злоумышленниками или вредоносными программами. Забытая и недеактивированная учетная запись может позволить эксплуатировать эксплоиты систем и поднять привилегии. Это причинит большой вред всей инфраструктуре компании. PAM-решение поможет минимизировать количество технологических УЗ, вести их учет, а также тщательно журналировать факты их использования и деанонимизировать пользователей, так как технологические УЗ имеют очень «размытых» ответственных, максимум – зафиксированных на бумаге.

Как защитить системы и данные от ошибок пользователей, а также от злонамеренного умысла?

Никто не совершенен, все совершают ошибки. Для минимизации человеческого фактора в процессе обслуживания систем PAM дает возможность фильтрации команд и действий пользователей по черным и белым спискам, которые можно тонко настроить на группы систем и пользователей как политики. Есть и обратный эффект, если сбой или инцидент произошел не по вине человека, а из-за багов ПО системы, то PAM поможет доказать, что сбой произошел не по вине администраторов или пользователей.

Как расследовать инциденты, где брать доказательства?

«На лету» всех за руку поймать невозможно: нужна доказательная база, журнал событий, видеоархив сессий, логи, которые пользователь не сможет почистить за собой. Все это обеспечит детальную картину и последовательность действий, приведших к инциденту. Такой разбор позволит предпринять меры, чтобы в будущем ситуация не повторилась.

Кому известны пароли от привилегированных учетных записей, и как контролировать распространение паролей?

Смена и стойкость паролей – это извечный вопрос на стыке безопасности и удобства. Вместе с тем, пароли меняются с недостаточной периодичностью и надежностью, поскольку те легко забываются. Аутентификацию нужно проходить не в одной, не в двух, а более чем в десятках систем, и в результате часто сотрудники используют 3-5 «золотых» паролей «для всего». Отдельно стоит выделить работу с базами данных или иными системами, которые необходимо бэкапировать. Если пароли меняются, то вспомнить, какой пароль действовал для конкретного бэкапа в прошлом – почти невозможно, проще их вообще не менять годами, иначе бэкап может оказать бесполезным. PAM может защищенно хранить пароли и историю их изменений на любую дату в прошлом. Помимо этого, гранулировано предоставлять их пользователям или аутентифицировать пользователя по принципу SSO без раскрытия пароля от конечной защищаемой системы. Пользователю достаточно знать только свою учетную запись для входа в PAM, которая может быть и учетной записью AD, опционально усиленной дополнительным фактором аутентификации, например, значением OTP.

Эти вопросы могут быть контрольными для оценки необходимости внедрения PAM системы, если у вас нет уверенного ответа хотя бы на один из них, то стоит более пристально присмотреться к решениям и, возможно, организовать пилотный проект.

Ключевые возможности PAM

  • Управление паролями общих и привилегированных учетных записей.
  • Анализ и фильтрация вводимых команд и действий.
  • Аудит действий привилегированных пользователей.
  • Управление доступом привилегированных УЗ, по запросу, с ограничением времени доступа.
  • Изоляция целевых серверов и ресурсов.

Аудиторы и субподрядчики

Работа с субподрядчиками – большой тренд сегодняшнего дня: многие компании передают обслуживание ИТ-инфраструктуры на аутсорс, внедрение новых систем проводится силами компетентных интеграторов. Благодаря функционалу PAM ваша организация может контролировать SLA и быть уверена, что они не делают ничего сверх или, наоборот, менее того, что, согласно договору, должны делать.

К привилегированным пользователям можно отнести и внешних аудиторов – независимых или из проверяющих госорганов. Чтобы не предоставлять им абсолютные права, а только те, которые необходимы для проведения аудита или проверки. Такой подход позволит быть уверенным, что аудиторы не унесли с собой коммерческую тайну, не являющуюся целью аудита, и не оставили программных закладок.

Пароли и ключи

Изначально функциональность первых PAM-систем была ограничена менеджерами паролей корпоративного уровня – централизованным хранением паролей и безопасной выдачей их пользователям. От безопасности логинов и паролей администраторов (или root для *nix систем) зависела и всегда будет зависеть эффективность работы всей компании. Согласно статистике, большинство угроз информационной безопасности реализуется через хищение учетных записей – как пользовательских, так и администраторских.

PAM-решение выдает пользователю пароль для работы с системой, затем автоматически его меняет по расписанию или событию. Автоматизация изменения паролей важна, чтобы человек не мог использовать полученный пароль повторно и вне регламента, если он смог его изменить или узнать в ходе сессии, а поскольку сотрудник обладает правами администратора – такая ситуация вполне возможна. Функционал управления паролями также включает автоматическое сканирование сети и сбор новых паролей и, при необходимости, перенос в защищенное хранилище. Эта мера позволяет исключить появление тех самых backdoor-аккаунтов.

При управлении паролями важно обеспечение отказоустойчивости и резервирование системы PAM для обеспечения доступности парольной информации и возможности доступа к контролируемым системам. Радует тот факт, что большинство производителей уже в базовый функционал включают функции резервирования и аварийного восстановления.

Контроль сессий

Кроме обеспечения безопасности паролей стоит также позаботиться о контроле происходящего внутри сессий, будь то графический сеанс работы или текстовый лог команд. Первые подобные решения появились около 10-15 лет назад, но пик популярности в России они пережили относительно недавно.

Функционал некоторых PAM-систем подразумевает управление как доступом, так и паролями.

За рубежом большинство компаний выбирают решения по управлению учетными записями, а вот в России чаще склоняются к контролю за привилегированным доступом. Скорее всего, это результат того, что первыми на российский рынок вышли такие компании, предлагающие решения по управлению только сессиями.

Архитектура

Самая распространенная архитектура решений контроля сессий – прокси-сервер: система «слушает» или перенаправляет трафик сессий и выполняет так называемую роль «man in the middle», не внося изменений в саму сессию, но фиксируя видеопоток для графических сессий или текст для SSH-сессий. Для разбора происходящего внутри графических сессий применяется технология распознавания текста OCR. Есть нюанс: OCR всегда работает постфактум и, к тому же, если на экранах много текста, – будет выдавать ошибочное срабатывание. Технология очень чувствительна к шрифтам, их прозрачности и контрастности фона. Потому такие решения скорее являются средствами фиксации и расследования событий, и в меньшей степени применимы для предотвращения инцидентов в реальном времени.

Решения, которые работают по принципу terminal-сервера или jump-сервера, для разбора происходящего внутри сессий используют информацию из самого протокола: видят заголовки окон, запущенные фоновые процессы и клавиатурный ввод пользователя. Это позволяет в режиме реального времени анализировать все происходящее в системе и применять соответствующие политики.

Решения

Мировым лидером PAM-отрасли является CyberArk – производитель наиболее функциональных решений. Один из самых узнаваемых и распространенных в СНГ среди прокси-решений для контроля сессий – BalaBit SCB.

Для хранения паролей компаниям enterprise-сегмента (1000+ пользователей) можно рекомендовать Lieberman Software – пионера в отрасли управления учетными записями. С ним отлично интегрируется решение ObserveIT, которое обеспечивает контроль сессий по агентской схеме, когда нет выделенного прокси-сервера, и на каждую контролируемую систему устанавливается агент.

Компаниям СМБ-сектора для хранения паролей подойдет Thycotic – молодое решение, которое активно догоняет CyberArk по функциональности, а для контроля сессий – FUDO, архитектурно схожее с BalaBit SCB.

Стоит отметить, что отдельные продукты по контролю доступа и управлению паролями разных производителей имеют штатные возможности интеграции между собой, что позволяет достичь единого более гибкого решения, с преимуществами каждой из интегрируемых систем.

Среди отечественных решений можно отметить SafeInspect – единственное решение в реестре отечественного ПО, потому интересное в первую очередь государственным компаниям и организациям.

Опыт Softline

Softline имеет опыт реализации проектов PAM в лидирующих компаниях из отраслей энергетики, финансов, нефтегазовой промышленности и ретейла. Архитекторы и консультанты компании по вопросам информационной безопасности готовы помочь в организации пилотных проектов и выборе оптимального решения для уникальных нужд каждого клиента.

Остались вопросы?

Пишите: Identity@softline.com

Звоните: +7 (495) 232-00-23, доб. 1836

Иван Молотилов

Руководитель направления управления доступом компании Softline

 

Новости, истории и события
Смотреть все
Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представляет ИИ-ассистента линейки продуктов Citeck
Новости

Компания SL Soft FabricaONE.AI (акционер — ГК Softline) представляет ИИ-ассистента линейки продуктов Citeck

29.08.2025

Softline Security Summit 2025: ГК Softline обсудила с лидерами ИБ-рынка и заказчиками актуальные вопросы кибербезопасности
Новости

Softline Security Summit 2025: ГК Softline обсудила с лидерами ИБ-рынка и заказчиками актуальные вопросы кибербезопасности

29.08.2025

«Софтлайн Решения» (ГК Softline) разработала инструмент для упрощения и ускорения интеграции платформы Directum RX с другими системами
Новости

«Софтлайн Решения» (ГК Softline) разработала инструмент для упрощения и ускорения интеграции платформы Directum RX с другими системами

28.08.2025

Роботизированный комплекс для лазерной сварки производителя лазерных решений VPG LaserONE (кластер «СФ ТЕХ» ГК Softline) включен в реестр российской промышленной продукции
Новости

Роботизированный комплекс для лазерной сварки производителя лазерных решений VPG LaserONE (кластер «СФ ТЕХ» ГК Softline) включен в реестр российской промышленной продукции

27.08.2025

Компания MAINTEX FabricaONE.AI (акционер – ГК Softline) приступила к выполнению работ по совершенствованию ремонтной практики на руднике «Октябрьский» Норильского Никеля
Новости

Компания MAINTEX FabricaONE.AI (акционер – ГК Softline) приступила к выполнению работ по совершенствованию ремонтной практики на руднике «Октябрьский» Норильского Никеля

27.08.2025

«Софтлайн Решения» (ГК Softline) и «Перспективный мониторинг» открыли центр киберучений Ampire в Российском университете транспорта
Новости

«Софтлайн Решения» (ГК Softline) и «Перспективный мониторинг» открыли центр киберучений Ampire в Российском университете транспорта

27.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и компания «Цифровые технологии» подтвердили совместимость ОС «МСВСфера АРМ» 9 и «КриптоАРМ ГОСТ» 3 для шифрования на рабочих станциях
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и компания «Цифровые технологии» подтвердили совместимость ОС «МСВСфера АРМ» 9 и «КриптоАРМ ГОСТ» 3 для шифрования на рабочих станциях

26.08.2025

Подтверждена совместимость продуктов «Цитрос» от SL Soft FabricaONE.AI (акционер – ГК Softline) и операционной системы РЕД ОС 8
Новости

Подтверждена совместимость продуктов «Цитрос» от SL Soft FabricaONE.AI (акционер – ГК Softline) и операционной системы РЕД ОС 8

25.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и ГК «Катюша» подтвердили совместимость ОС «МСВСфера АРМ» 9 и печатной техники «Катюша»
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и ГК «Катюша» подтвердили совместимость ОС «МСВСфера АРМ» 9 и печатной техники «Катюша»

25.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и OpenYard подтверждают совместимость ОС «МСВСфера Сервер» 9 с серверами OpenYard
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) и OpenYard подтверждают совместимость ОС «МСВСфера Сервер» 9 с серверами OpenYard

22.08.2025

ГК Softline и БФТ-Холдинг подписали соглашение о сотрудничестве
Новости

ГК Softline и БФТ-Холдинг подписали соглашение о сотрудничестве

21.08.2025

ПАО «СОФТЛАЙН» ПУБЛИКУЕТ ФИНАНСОВЫЕ РЕЗУЛЬТАТЫ ПО ИТОГАМ 6 МЕСЯЦЕВ 2025 ГОДА И ПОДТВЕРЖДАЕТ ПРОГНОЗ НА 2025 ГОД
Новости

ПАО «СОФТЛАЙН» ПУБЛИКУЕТ ФИНАНСОВЫЕ РЕЗУЛЬТАТЫ ПО ИТОГАМ 6 МЕСЯЦЕВ 2025 ГОДА И ПОДТВЕРЖДАЕТ ПРОГНОЗ НА 2025 ГОД

21.08.2025

Обновление «Цитрос Цифровой Платформы» от SL Soft FabricaOne.AI (акционер – ГК Softline): больше гибкости, безопасности и удобства
Новости

Обновление «Цитрос Цифровой Платформы» от SL Soft FabricaOne.AI (акционер – ГК Softline): больше гибкости, безопасности и удобства

20.08.2025

ГК Softline и OXYGEN заключили стратегическое партнерство в сфере облачных решений
Новости

ГК Softline и OXYGEN заключили стратегическое партнерство в сфере облачных решений

20.08.2025

ГК Softline на «ИТ-Пикнике»: инновации и экспертиза
Новости

ГК Softline на «ИТ-Пикнике»: инновации и экспертиза

19.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) подтверждает совместимость ОС «МСВСфера АРМ» 9 и системы администрирования «РЕД АДМ»
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) подтверждает совместимость ОС «МСВСфера АРМ» 9 и системы администрирования «РЕД АДМ»

19.08.2025

ОС «МСВСфера» от «Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) признана лучшей российской серверной операционной системой
Новости

ОС «МСВСфера» от «Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) признана лучшей российской серверной операционной системой

18.08.2025

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) подтвердил совместимость ОС «МСВСфера АРМ» и редактора «Автограф»
Новости

«Инферит ОС» (кластер «СФ ТЕХ» ГК Softline) подтвердил совместимость ОС «МСВСфера АРМ» и редактора «Автограф»

18.08.2025

Современные лазерные технологии в промышленности: анализ рынка и инновационных решений в 2025 году
Блог

Современные лазерные технологии в промышленности: анализ рынка и инновационных решений в 2025 году

25.08.2025

Российские операционные системы. Топ отечественных ОС 2025
Блог

Российские операционные системы. Топ отечественных ОС 2025

21.08.2025

Цифровые лаборатории, VR-анатомия и не только: современные медико-биологические классы
Блог

Цифровые лаборатории, VR-анатомия и не только: современные медико-биологические классы

13.08.2025

Практическое руководство по защите коммерческой тайны в России: пошаговые инструкции и правовые аспекты
Блог

Практическое руководство по защите коммерческой тайны в России: пошаговые инструкции и правовые аспекты

05.08.2025

Импортозамещение в 2025 году
Блог

Импортозамещение в 2025 году

01.08.2025

Искусственный интеллект для медицины: реалии 2025 года
Блог

Искусственный интеллект для медицины: реалии 2025 года

24.07.2025

Топ российских производителей ноутбуков 2025: специализация и ведущие модели
Блог

Топ российских производителей ноутбуков 2025: специализация и ведущие модели

21.07.2025

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак
Блог

ИБ-консультанты: кто спасет бизнес от утечек и хакерских атак

18.07.2025

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием
Блог

TMS-системы: рациональный и интеллектуальный подход к управлению тестированием

17.07.2025

Востребованные ИТ-профессии в 2025 году
Блог

Востребованные ИТ-профессии в 2025 году

15.07.2025

Без паники: как управлять ИТ-инфраструктурой без SCCM
Блог

Без паники: как управлять ИТ-инфраструктурой без SCCM

07.07.2025

ЦОД: основные компоненты, классификация и системы безопасности
Блог

ЦОД: основные компоненты, классификация и системы безопасности

04.07.2025

Критическая информационная инфраструктура: все, что нужно знать о КИИ
Блог

Критическая информационная инфраструктура: все, что нужно знать о КИИ

01.07.2025

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса
Блог

SimpleOne HRMS: автоматизация управления персоналом для повышения лояльности сотрудников и эффективности бизнеса

27.06.2025

Технологии умного города: от ИИ до RPA
Блог

Технологии умного города: от ИИ до RPA

25.06.2025

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)
Блог

ГК Softline развивает наукоемкое ПО для инженерного анализа (САЕ)

23.06.2025

Российские облачные сервисы: преимущества, особенности и выбор
Блог

Российские облачные сервисы: преимущества, особенности и выбор

20.06.2025

VPS: что это и когда он необходим бизнесу
Блог

VPS: что это и когда он необходим бизнесу

17.06.2025