Ключи от королевства под контролем!

Контроль привилегированных пользователей

На состояние защиты автоматизированных систем управления технологическими процессами (АСУ ТП) оказывает влияние много факторов. Однако особый момент в обеспечении безопасности, на который сегодня мало кто обращает внимание, — контроль привилегированных пользователей (Privileged User Management — PUM).

Who is mister PU?

Кто такие привилегированные пользователи (Priveleged Users — PU)? К данной категории относятся все те, кто обладает расширенным доступом к системам и серверам управления предприятия и имеет практически неограниченные права для управления ими. Это как внутренние администраторы, так и внешние поставщики (аутсорсеры), которые обслуживают установленные на предприятии системы.

На подавляющем большинстве предприятий деятельность PU никак не контролируется, а их расширенные полномочия позволяют выполнять широкий спектр действий, что создает огромные риски по компрометации не только изнутри, но и снаружи.

Поэтому сегодня одно из ключевых направлений информационной защиты АСУ ТП — контроль привилегированных пользователей.

Почему это важно?

Рассмотрим современное предприятие. Если раньше информационных систем было немного, и один очень доверенный администратор вполне справлялся с ними, то сейчас это сотни разных систем, начиная от операционных, которых, как правило, несколько ( Windows, Linux и др), кроме того, базы данных (Oracle), различные приложения (1С) и др. На каждую систему нужны свои администраторы. Теперь, когда их много, при возможных утечках данных или нештатных ситуациях невозможно выяснить, кто и что сделал не так. Админы ввиду своих полномочий могут легко стереть логи и замести следы своей несанкционированной деятельности. Кроме того, многие действия можно делать прямо в рамках тех широких полномочий, которые они имеют, и крайне трудно потом выяснить, что же произошло. Таким образом, продукты, позволяющие контролировать действия администраторов, а особенно те, которые могут делать это подробно, крайне востребованы на рынке.

Новый продукт на рынке

«Сегодня всем компаниям на российском рынке как никогда важно задуматься о безопасности привилегированных учётных записей. Именно они становятся первой линией обороны любого предприятия, — говорит Михаил Романов, Директор по развитию бизнеса компании «НТБ». — Я рад, что могу представить новый российский продукт, который поможет противостоять одним из самых частых и сложных атак — на привилегированные аккаунты и учетные данные».

SafeInspect

Решение представляет собой полнофункциональную платформу для эффективного управления привилегированными учетными записями и сессиями в современных информационных системах – как классических, так и облачных.

Выполняемые функции

  • Контроль широко используемых протоколов администрирования

Система SafeInspect позволяет выполнять контроль в таких протоколах администрирования, как SSH, RDP, HTTP/HTTPS, Telnet и др.

  • Запись сеансов работы с использованием различных протоколов

Действия, выполняемые на контролируемых системой устройствах, непрерывно записываются для последующего просмотра в формате эмуляции видео. Аудитор видит непосредственно то, что делал администратор, как будто смотрит в его монитор. Все аудиторские отчеты проиндексированы, что позволяет быстро прокручивать события вперед или назад, искать фрагменты записи по ключевым словам (показывается даже нажатие кнопок мыши на конкретных пунктах меню программ).

  • Статистика и отчеты о действиях

Благодаря встроенной функции создания отчетов администраторы системы SafeInspect могут просматривать графики и статистику активности SafeInspect, а так же автоматически создавать ежедневные отчеты в формате CSV.

  • Работа без использования агентов

SafeInspect не требует установки на администрируемых устройствах или рабочих станциях, что обеспечивает быстрое развертывание системы. Нет необходимости в постоянном тестировании версий.

  • Контроль доступа

Контроль доступа к устройствам осуществляется на основе простых и эффективных правил. Эти правила основаны на различных критериях, таких как IP-адрес, имя пользователя, протокол или тип сеанса SSH.

  • Контроль в реальном времени

SafeInspect позволяет контролировать работу администраторов в реальном времени. При необходимости имеется возможность в режиме реального времени разорвать сессию.

  • Прозрачный вход

Каждый пользователь входит в сервер, используя свои учетные данные, и получает доступ к разрешенным устройствам без выполнения второй процедуры входа. При этом на сервере будет использоваться совершенно другой ключ доступа и пароль, но пользователь этого не увидит. Такая схема позволяет обеспечить простоту и прозрачность доступа и одновременно обеспечить высокую защищенность сервера и невозможность обхода системы SafeInspect.

  • Надежная аутентификация

Система позволяет обеспечить в том числе и аутентификацию на сертификатах. Привилегированные пользователи могут использовать технологию входа по сертификатам, что позволяет также использовать двухфакторную аутентификацию с использованием токенов (например, E-token, Ru token), и систему одноразовых паролей.

  • Противодействие внутренним угрозам

SafeInspect интегрируется с современными системами DLP и позволяет отсылать на такие системы как полностью трафик, так и отдельные части и файлы для обеспечения контроля утечек информации или вредоносных действий внутри зашифрованных административных каналов.

  • Аудит файловых операций

Аудит проводится для протоколов SCP, SFTP, HTTP(s). SafeInspect создает необходимый список всех файловых операций, который может направляться в систему DLP или IPS в режиме реального времени.

  • Контроль подключений с учетными записями с расширенными правами

Система позволяет определить, кто, откуда, когда и как имеет доступ к вашим серверам, а также при помощи каких протоколов он может подключаться. Имеется возможность создавать множественные политики доступа к аккаунтам на серверах с разными ключами доступа.

  • Сбор информации для расследований инцидентов

Система создает и хранит все журналы действий пользователей в недоступном пользователю месте, обеспечивая полноценное воспроизведение действий пользователей с серверами или информационными системами. В журналах отображаются такие важные параметры как время, субъект и объект доступа, действие над объектом доступа. Данные журналы можно использовать для судебных разбирательств.

  • Защищенность от внешних воздействий, а также обеспечение высокой доступности

Система работает в подготовленной защищенной среде, где отключены все ненужные сервисы и обеспечена защита от хакерских атак. Кроме того, система обеспечивает возможность работы, как в автономном, так и в распределенном режиме, когда датчики сбора информации могут быть распределены по сети с обеспечением возможности резервирования, а вся информация собирается на выделенном сервере, где хранится и обрабатывается. Имеется возможность обеспечить аутентификацию, в том числе и двухфакторную. Таким образом, система защищена от воздействий извне, обладает широкими возможностями по аутентификации и обеспечению высокой доступности.

  • Интеграция в инфраструктуру Компании

Система интегрируется с современными системами SIEM, IPS, Web filters, DLP позволяя повысить эффективность как своей работы, так и работы других подсистем.

Таким образом, используя новый продукт по контролю за привилегированными пользователями, компания получит серьезный инструмент позволяющий обеспечить контроль над сферой деятельности, в которой до этого были только вопросы (включает свет в темной комнате).

Потенциальные возможности

Теперь компании получили возможность:

  • Эффективно контролировать подключения привилегированных пользователей к критически важным объектам предприятия;
  • Контролировать зашифрованные каналы управления, которые используются для администрирования ИТ-систем;
  • Записывать весь административный трафик в специальные архивы и хранить их в зашифрованном виде, а также использовать для установления истины в случае каких либо проблем с Информационными системами;
  • Обеспечить аудит любых действий привилегированных пользователей, записанных в виде видеозаписи, и использовать их как доказательную базу при разборе нештатных ситуаций.
  • Обеспечить контроль не только внутренних соединений, но и внешние подключений.

Михаил Романов, Директор по развитию бизнеса компании "Новые технологии безопасности"

Журнал "Информационная безопасность" | Сентябрь 2015

Наши контакты
  • Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
  • 127055 Москва,
    ул. Бутырский Вал,
    68/70 стр. 5
Сколково
Новые технологии безопасности © 2009-2020