Управление доступом привилегированных пользователей
18.03.2021
Статьи
Презентация по предоставленным материалам вы можете скачать в конце статьи.
В начале 2020 года произошло беспрецедентное событие в современной истории — мировая пандемия заставила коммерческие и государственные организации по всему миру организовать работу сотрудников в удаленном режиме. К сожалению, выстроенные к этому моменты системы защиты информации оказались не полностью готовы к “переходу на удаленку”. Поэтому появились новые угрозы информационной безопасности компаний или стали актуальными те, на которые раньше не обращали внимания. Специалисты по информационной безопасности вынуждены нейтрализовывать эти угрозы до сих пор.
Сложившаяся ситуация заставила компании уточнить и пересмотреть принадлежность сотрудников к группе привилегированных пользователей. Ранее к ним относили только администраторов и подрядчиков, но фактически, привилегированными можно считать всех пользователей информационных систем, которые обладают расширенными полномочиями, дающими возможность нейтрализовать некоторые из предусмотренных технических функций контроля и защиты. Такие пользователи могут намеренно или случайно нанести вред владельцу и/или оператору информационной системы.
Для категорирования и приоритезации привилегированных пользователей следует учитывать их функциональные обязанности (полномочия) в подотчетных сервисах/устройствах и дополнительные факторы.
Полномочия:
• Выполнение операций
• Аудит и мониторинг
• Администрирование сервиса
• Администрирование среды выполнения сервиса
• Изменение кода
Дополнительные факторы:
• Количество подотчетных сервисов
• Является ли пользователь внешним сотрудников
• Удаленный или локальный доступ
• Используются ли личные устройства для подключения
Чем шире полномочия специалиста и чем больше критичных средств или сервисов они охватывают, тем строже предъявляемые к нему требования в сфере контроля. Поэтому оператор одного некритичного сервиса не должен входить в групу привилегированных пользователей, а оператор нескольких критичных или финансово важных сервисов — должен. Например, аудиторы часто обладают полномочиями для мониторинга нескольких сервисов, в том числе важных для бизнеса, поэтому они должны быть привилегированными пользователями.
В отношении сторонних специалистов, независимо от их полномочий, необходимо принимать усиленные меры защиты в целях контроля и управления их доступом к корпоративным ресурсам.
При подключении с удаленных и/или личных рабочих устройств следует принимать дополнительные технические и организационные меры для защиты информации.
Программный комплекс Indeed Privileged Access Manager (Indeed PAM) реализует доверенного независимого брокера (доверенная третья сторона) для предоставления привилегированного доступа. С одной стороны находятся привилегированные пользователи, с другой - целевые ресурсы и привилегированные учетные записи. Такая схема функционирования является наиболее эффективной схемой работы решений класса PAM.
Одним из ключевых конкурентных преимуществ Indeed PAM является широкий функционал по управлению привилегированными учетными записями и паролями от них, т.к. основная угроза безопасности — это подключение к целевому ресурсу в обход PAM системы. Эта угроза нейтрализуется через сокрытие от сотрудника пароля привилегированной учетной записи для подключения к целевому ресурсу. Платформа Indeed PAM умеет не только управлять паролями от “классических” типов ресурсов (Windows, Active Directory, *nix, СУБД), но и поддерживает управление паролями от любых целевых приложений и веб-приложений, опубликованных на встроенном терминальном сервере (1С, оснастки mmc, толстые клиенты для поддержки других протоколов и т.п.). Это позволяет управлять привилегированным доступом к любым категориям целевых ресурсов и предоставлять доступ любым категориям привилегированных пользователей без опасения, что доступ будет использован для нарушения работы систем компании.
В рамках управления доступом привилегированных пользователей, Indeed PAM поддерживает различные опции управления политиками доступа: доступ по расписанию, по согласованию, заявки на предоставление доступа (через интеграцию с ServiceDesk). Через публикацию приложений и веб-приложений на встроенном терминальном сервере можно организовать контролируемый доступ практически к любым категориям целевых ресурсов.
Indeed PAM поддерживает фиксацию действий ПП в различных форматах: видео- и текстовая запись действий, кейлоггер, контроль передачи файлов и контроль подключения периферийных устройств. Записанные действия могут быть использованы для последующего ручного и автоматизированного анализа с целью принятия управленческих и решений и для расследования инцидентов. Программный комплекс Indeed PAM хорошо дополняет решения класса SIEM: в случае выявления инцидента он оперативно определит последовательность действий, приведших к инциденту, ответственного и степень преднамеренности. Это позволяет избежать необоснованного обвинения сотрудников, что приведет к улучшению эмоционального фона рабочей атмосферы в коллективе.
Все инструменты Indeed PAM подходят для контроля локальной и удаленной работы подрядчиков. Кроме управления доступом и минимизации полномочий, Indeed PAM может анализировать эффективность и продуктивность работы сотрудников компаний-подрядчиков.
Для операторов ЦОД краевого и корпоративного уровня, в т.ч. для операторов “облачных” ресурсов, решение класса PAM будет полезно в качестве дополнительного инструмента или для исключения спорных ситуаций. Для работы не потребуется установка собственных компонентов системы Indeed PAM на целевые ресурсы и на рабочие станции привилегированных пользователей. То есть платформа физически установлена на “третьей” стороне, между пользователями и ресурсами, следовательно, может быть использована для контроля со стороны брокеров (посредников) доступа.
Для правильного использования любого технического инструмента, в том числе Indeed PAM, требуется разработка пакета организационно-распорядительной и технической документации, в которой могут помочь наши партнеры. Такая документация позволит не только оперативно выявить и устранить проблемы и восстановить конфигурацию, но и корректно встроить Indeed PAM в имеющиеся бизнес-процессы организации для повышения эффективности использования продукта.
Внедрение программного комплекса Indeed PAM обладает рядом преимуществ:
• Сэкономить финансовые ресурсы компании за счет введения механизма контролируемого доступа вместо локальной доставки специалистов для выполнения технических работ.
• Исключить угрозы кражи паролей и минимизировать вероятность угрозы сбоя работы важных для бизнеса ресурсов.
• Повысить производительность труда при расследовании инцидентов и при предоставлении удаленного доступа: инструменты Indeed PAM существенно увеличат эффективность и оперативность решения подобных задач.
Компания «Индид» — российский разработчик программных комплексов в области информационной безопасности. За 10 лет компания самостоятельно разработала три программных комплекса для повышения уровня информационной безопасности и корпоративного использования в компаниях разных отраслей экономики, позволяющие организовать полноценную экосистему управления и защиты доступа сотрудников в ИТ-системы компании:
• Indeed Access Manager — решения для обеспечения строгой аутентификации и управления доступом линейных сотрудников к информационным ресурсам компании (двухфакторная аутентификация с использованием биометрических технологий, смарт–карт, RFID–карт и др.), Enterprise Single Sign–On, компоненты для защиты удаленного доступа, интеграции логического и физического доступа.
• Indeed Certificate Manager — решения для контроля и управления инфраструктурой открытых ключей, управления жизненным циклом смарт-карт и USB–ключей, облачную электронную подпись.
• Indeed Privileged Access Manager — решения для контроля и управления доступом привилегированных пользователей (администраторов систем, внештатных сотрудников, субподрядчиков и др.), записи и хранения административных сессий и сохранения привилегированных паролей в секрете.
Результат внедрения продуктов компании не ограничивается только решением отдельных задач информационной безопасности. Программные комплексы обеспечивают выполнение требований регуляторов и реализацию соответствия нормативным документам (ГОСТ, ФСТЭК и др.), а также включены в Реестр отечественного ПО, что имеет важное значение для реализации требований программы импортозамещения в РФ. ПО внедрено на территории РФ и стран СНГ в десятках компаний разного масштаба, а также в странах Европы и Азии.
Предоставляется возможность бесплатного тестирования продуктов и проводится персональная демонстрация их работы для компании заказчика.
В начале 2020 года произошло беспрецедентное событие в современной истории — мировая пандемия заставила коммерческие и государственные организации по всему миру организовать работу сотрудников в удаленном режиме. К сожалению, выстроенные к этому моменты системы защиты информации оказались не полностью готовы к “переходу на удаленку”. Поэтому появились новые угрозы информационной безопасности компаний или стали актуальными те, на которые раньше не обращали внимания. Специалисты по информационной безопасности вынуждены нейтрализовывать эти угрозы до сих пор.
Сложившаяся ситуация заставила компании уточнить и пересмотреть принадлежность сотрудников к группе привилегированных пользователей. Ранее к ним относили только администраторов и подрядчиков, но фактически, привилегированными можно считать всех пользователей информационных систем, которые обладают расширенными полномочиями, дающими возможность нейтрализовать некоторые из предусмотренных технических функций контроля и защиты. Такие пользователи могут намеренно или случайно нанести вред владельцу и/или оператору информационной системы.
Для категорирования и приоритезации привилегированных пользователей следует учитывать их функциональные обязанности (полномочия) в подотчетных сервисах/устройствах и дополнительные факторы.
Полномочия:
• Выполнение операций
• Аудит и мониторинг
• Администрирование сервиса
• Администрирование среды выполнения сервиса
• Изменение кода
Дополнительные факторы:
• Количество подотчетных сервисов
• Является ли пользователь внешним сотрудников
• Удаленный или локальный доступ
• Используются ли личные устройства для подключения
Чем шире полномочия специалиста и чем больше критичных средств или сервисов они охватывают, тем строже предъявляемые к нему требования в сфере контроля. Поэтому оператор одного некритичного сервиса не должен входить в групу привилегированных пользователей, а оператор нескольких критичных или финансово важных сервисов — должен. Например, аудиторы часто обладают полномочиями для мониторинга нескольких сервисов, в том числе важных для бизнеса, поэтому они должны быть привилегированными пользователями.
В отношении сторонних специалистов, независимо от их полномочий, необходимо принимать усиленные меры защиты в целях контроля и управления их доступом к корпоративным ресурсам.
При подключении с удаленных и/или личных рабочих устройств следует принимать дополнительные технические и организационные меры для защиты информации.
Программный комплекс Indeed Privileged Access Manager (Indeed PAM) реализует доверенного независимого брокера (доверенная третья сторона) для предоставления привилегированного доступа. С одной стороны находятся привилегированные пользователи, с другой - целевые ресурсы и привилегированные учетные записи. Такая схема функционирования является наиболее эффективной схемой работы решений класса PAM.
Одним из ключевых конкурентных преимуществ Indeed PAM является широкий функционал по управлению привилегированными учетными записями и паролями от них, т.к. основная угроза безопасности — это подключение к целевому ресурсу в обход PAM системы. Эта угроза нейтрализуется через сокрытие от сотрудника пароля привилегированной учетной записи для подключения к целевому ресурсу. Платформа Indeed PAM умеет не только управлять паролями от “классических” типов ресурсов (Windows, Active Directory, *nix, СУБД), но и поддерживает управление паролями от любых целевых приложений и веб-приложений, опубликованных на встроенном терминальном сервере (1С, оснастки mmc, толстые клиенты для поддержки других протоколов и т.п.). Это позволяет управлять привилегированным доступом к любым категориям целевых ресурсов и предоставлять доступ любым категориям привилегированных пользователей без опасения, что доступ будет использован для нарушения работы систем компании.
В рамках управления доступом привилегированных пользователей, Indeed PAM поддерживает различные опции управления политиками доступа: доступ по расписанию, по согласованию, заявки на предоставление доступа (через интеграцию с ServiceDesk). Через публикацию приложений и веб-приложений на встроенном терминальном сервере можно организовать контролируемый доступ практически к любым категориям целевых ресурсов.
Indeed PAM поддерживает фиксацию действий ПП в различных форматах: видео- и текстовая запись действий, кейлоггер, контроль передачи файлов и контроль подключения периферийных устройств. Записанные действия могут быть использованы для последующего ручного и автоматизированного анализа с целью принятия управленческих и решений и для расследования инцидентов. Программный комплекс Indeed PAM хорошо дополняет решения класса SIEM: в случае выявления инцидента он оперативно определит последовательность действий, приведших к инциденту, ответственного и степень преднамеренности. Это позволяет избежать необоснованного обвинения сотрудников, что приведет к улучшению эмоционального фона рабочей атмосферы в коллективе.
Все инструменты Indeed PAM подходят для контроля локальной и удаленной работы подрядчиков. Кроме управления доступом и минимизации полномочий, Indeed PAM может анализировать эффективность и продуктивность работы сотрудников компаний-подрядчиков.
Для операторов ЦОД краевого и корпоративного уровня, в т.ч. для операторов “облачных” ресурсов, решение класса PAM будет полезно в качестве дополнительного инструмента или для исключения спорных ситуаций. Для работы не потребуется установка собственных компонентов системы Indeed PAM на целевые ресурсы и на рабочие станции привилегированных пользователей. То есть платформа физически установлена на “третьей” стороне, между пользователями и ресурсами, следовательно, может быть использована для контроля со стороны брокеров (посредников) доступа.
Для правильного использования любого технического инструмента, в том числе Indeed PAM, требуется разработка пакета организационно-распорядительной и технической документации, в которой могут помочь наши партнеры. Такая документация позволит не только оперативно выявить и устранить проблемы и восстановить конфигурацию, но и корректно встроить Indeed PAM в имеющиеся бизнес-процессы организации для повышения эффективности использования продукта.
Внедрение программного комплекса Indeed PAM обладает рядом преимуществ:
• Сэкономить финансовые ресурсы компании за счет введения механизма контролируемого доступа вместо локальной доставки специалистов для выполнения технических работ.
• Исключить угрозы кражи паролей и минимизировать вероятность угрозы сбоя работы важных для бизнеса ресурсов.
• Повысить производительность труда при расследовании инцидентов и при предоставлении удаленного доступа: инструменты Indeed PAM существенно увеличат эффективность и оперативность решения подобных задач.
Компания «Индид» — российский разработчик программных комплексов в области информационной безопасности. За 10 лет компания самостоятельно разработала три программных комплекса для повышения уровня информационной безопасности и корпоративного использования в компаниях разных отраслей экономики, позволяющие организовать полноценную экосистему управления и защиты доступа сотрудников в ИТ-системы компании:
• Indeed Access Manager — решения для обеспечения строгой аутентификации и управления доступом линейных сотрудников к информационным ресурсам компании (двухфакторная аутентификация с использованием биометрических технологий, смарт–карт, RFID–карт и др.), Enterprise Single Sign–On, компоненты для защиты удаленного доступа, интеграции логического и физического доступа.
• Indeed Certificate Manager — решения для контроля и управления инфраструктурой открытых ключей, управления жизненным циклом смарт-карт и USB–ключей, облачную электронную подпись.
• Indeed Privileged Access Manager — решения для контроля и управления доступом привилегированных пользователей (администраторов систем, внештатных сотрудников, субподрядчиков и др.), записи и хранения административных сессий и сохранения привилегированных паролей в секрете.
Результат внедрения продуктов компании не ограничивается только решением отдельных задач информационной безопасности. Программные комплексы обеспечивают выполнение требований регуляторов и реализацию соответствия нормативным документам (ГОСТ, ФСТЭК и др.), а также включены в Реестр отечественного ПО, что имеет важное значение для реализации требований программы импортозамещения в РФ. ПО внедрено на территории РФ и стран СНГ в десятках компаний разного масштаба, а также в странах Европы и Азии.
Предоставляется возможность бесплатного тестирования продуктов и проводится персональная демонстрация их работы для компании заказчика.
