Система
централизованного
управления доступом

Получить решение

Описание решения

Задача

Несмотря на очевидные риски, пароли остаются самым распространенным способом аутентификации пользователя. Увеличение числа информационных систем, в которые пользователи должны иметь доступ, создает серьезную нагрузку на службу информационной безопасности в части управления паролями пользователей. Миграция на новые технологии аутентификации требует значительных усилий, часто бизнес критичные приложения являются унаследованными и не поддерживают современные технологии. Сотрудникам ИБ приходится решать проблему использования паролей в ожидании возможности перейти на новые технологии аутентификации. Системы класса Enterprise Single Sign-On облегчают данную задачу и предоставляют механизм централизованного управления паролями пользователей.

Риски использования паролей приводят как к прямым финансовым потерям, в результате кражи конфиденциальной информации, так и к снижению эффективности работы линейных сотрудников и службы ИТ. Можно выделить следующие основные негативные факторы использования паролей:

Высокая стоимость обслуживания паролей

Пользователи регулярно забывают свои пароли, теряя доступ к бизнес-приложениям и создавая нагрузку на службу ИТ, которая вынуждена тратить значительную часть рабочего времени на сброс паролей и восстановление доступа. Политики ИБ, ужесточающие требования к частоте смены и сложности паролей, только усугубляют положение. Решения по автоматическому сбросу паролей требуют дополнительных финансовых и временных затрат на выбор, приобретение дополнительного ПО, обучение администраторов и рядовых сотрудников.

Риски несанкционированного доступа в бизнес-приложения

Новые технологии, такие как SAML, OAuth, OpenID Connect и др. позволяют решить проблемы аутентификации, но их адаптация разработчиками бизнес-систем проходит медленно, дополнительно, обновление уже развернутых приложений затратный и длительный процесс. Компании вынуждены использовать гибридную инфраструктуру и унаследованные приложения, поддерживающие только пароли. Вследствие этого, в компаниях сохраняются риски подбора паролей злоумышленником.

Возможность получения несанкционированного доступа инсайдером

Сотрудники могут не только записывать сложные для запоминания пароли на рабочем месте, но и открыто сообщать их коллегам, например, с просьбой отправить отчет в их отсутствие. Это создает возможность для недобросовестных работников завладеть чужими учетными данными и получить несанкционированный доступ в приложения.

Основные требования к внедрению системы класса Enterprise Single Sign-On для решения парольной проблемы можно сформулировать таким образом:

  • Необходимо централизованное решение по хранению и управлению учетными данными пользователей.
  • Решение не должно требовать модификации используемых целевых приложений.
  • Решение должно позволять сохранить пароль учетной записи в секрете от сотрудника.
  • Решение должно поддерживать следующие операции с целевыми приложениями:

    • Вход в приложение
    • Разблокировка приложения (в результате простоя)
    • Смена пароля в приложении (по запросу приложения)
  • Возможность поддержки входа в приложения, работающие как по принципу “толстый” клиент, так и через браузер.
  • Возможность использования двухфакторной аутентификации при входе в приложение.
  • Возможность делегирования одному сотруднику доступа к учетным данным другого (с разрешения администратора).

Решение

Для решения описанных задач используется программный комплекс Indeed Access Manager (Indeed AM). За организацию единой точки доступа в составе комплекса отвечает компонент Indeed AM Enterprise Single Sign-On (ESSO).

Indeed AM Enterprise SSO реализует подход single sign-on в масштабе предприятия. Система централизованно хранит пароли пользователя от всех приложений, требующих аутентификации и автоматически подставляет, когда приложение того требует. Технология ESSO может быть применена для любых типов приложений (windows, web, .net), независимо от архитектуры: одно-звенная, двух-звенная, трех-звенная, “толстый” клиент, “тонкий” клиент, терминальные приложения.

Indeed AM Enterprise SSO избавляет сотрудников от запоминания и хранения паролей в секрете, от ручного ввода паролей с клавиатуры, от периодической смены паролей согласно парольным политикам безопасности.

ESSO позволяет интегрироваться с целевым приложением без необходимости программного вмешательства в работу приложений. Для этого используется перехват экранных форм входа, разблокировки и смены пароля в приложении, перехват осуществляется с помощью ESSO агента, устанавливаемого на рабочие станции пользователей. В момент, когда появляется форма входа в целевое приложение, экран блокируется и агент ESSO либо сразу автоматически заполняет форму входа, либо сначала требует от пользователя пройти процедуру аутентификации: ввести одноразовый код, приложить палец к сканеру отпечатков или др., после чего выполняет заполнение формы.

Работу Indeed AM Enterprise SSO обеспечивают следующие основные компоненты:

Indeed Enterprise Server (Сервер) - серверный компонент инфраструктуры Indeed Access Manager. Сервер обеспечивает централизованное хранение и защиту данных пользователей, осуществляет процедуру аутентификации пользователя, прием и обработку запросов со стороны клиентских компонентов и со стороны инструментов администратора. Наличие сервера гарантирует пользователю доступность данных с любого ПК. Сервер дает возможность администратору настраивать параметры доступа сотрудника (или группы сотрудников), вносить глобальные изменения в систему.

ESSO агент - клиентское ПО, устанавливаемое на рабочее место сотрудника. Агент получает с сервера Indeed Enterprise Server перечень систем и учетных данных, которые составляют персональный профиль доступа сотрудника. Как только сотрудник запускает ярлык приложения, требующего ввода пары логин-пароль, ESSO агент перехватывает регистрационное окно приложения, скрывает его от пользователя, автоматически заполняет (подставляет имя учетной записи и пароль полученные с сервера) и контролирует процедуру получения доступа в среду приложения. По результату операции в журнале событий системы фиксируется факт выполнения успешной или неуспешной попытки доступа.

База данных Indeed Access Manager. В базе хранятся настройки системы и данные для строгой аутентификации пользователей, а также ESSO-профили сотрудников. Данные в базе хранятся в зашифрованном виде.

Журнал доступа. Все события, возникающие в системе сохраняются в журнале. Журнал фиксирует дату, время, имя учетной записи Active Directory, имя учетной записи целевой системы, факт использования учетный данных, факт входа в целевые системы и т.п. В журнале фиксируется с применением какой технологии аутентификации сотрудник получал доступ в приложение.

ESSO IDM Connector - Коннектор к Identity Management системам, позволяющий в автоматическом режиме синхронизировать учетные данные пользователей в базе данных ESSO. Учетные данные создаются при помощи IDM и тут же сохраняются в системе ESSO.

Особенности

Помимо непосредственно SSO-механизма и организации доступа в бизнес-приложения, решение Indeed AM ESSO обладает следующими полезными функциями

Строгая аутентификация пользователей

Перед тем, как предоставить пользователю доступ в приложение, ESSO может потребовать от пользователя пройти процедуру аутентификации. Поддерживается широкий спектр технологий аутентификации: двухфакторная аутентификация, биометрия, смарт-карты, одноразовые пароли. Администратор имеет возможность для разных приложений назначить разные технологии аутентификации.

Режим замещения сотрудника

Данный режим позволяет предоставить заместителю доступ к ESSO-профилю замещаемого сотрудника. Такая возможность требуется, когда необходимо срочно получить доступ в систему от имени сотрудника, который недоступен (отпуск, болезнь). При этом в журнале явно указывается, какой именно сотрудник получал доступ в систему. Например, что пользователь Иванов вошел в 1С под учетной записью Сидровой. Это позволяет получить точную картину происходящего и избежать злоупотреблений. Администратор имеет возможность ограничить период замещения сотрудника (например, его отпуском).

Интеграция с IDM

Indeed AM ESSO поддерживает интеграцию с большинством популярных IDM-систем: Solar inRights, КУБ, 1IDM, Microsoft FIM, IBM Tivolli IDM. Интеграция позволяет получить следующие преимущества:

  • Повышение уровня информационной безопасности компании за счет полной автоматизации жизненного цикла паролей пользователей (пароли создаются, изменяются и вводятся полностью в автоматическом режиме, без участия пользователей и администраторов)
  • Минимизация шагов в предоставлении и получении доступа сотрудниками. После занесения нового пользователя в исходную систему (например, HR-систему) и выполнения синхронизации (в автоматическом режиме), пользователь получает беспарольный доступ во все необходимые ему системы.

Оффлайн режим работы

В случае необходимости, администратор ESSO может разрешить сотруднику работу в оффлайн режиме - когда сеть предприятия (и ESSO-сервер) недоступны (например, в командировке или в случае проблем с сетью). В этом режиме на ПК пользователя временно сохраняется его ESSO-профиль, который используется, когда не удается связаться с сервером. Период локальной жизни профиля задается администратором, по истечении заданного периода локальная копия профиля удаляется.

отзывы клиентов

Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее

Получить консультацию

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

связаться с нами

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по аутентификации пользователей

Николай Лазицкий

Эксперт по управлению цифровыми сертификатами

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями
связаться с нами

другие решения

Биометрическая аутентификация сотрудников
Внедрение двухфакторной аутентификации и ЭЦП
Система централизованного управления доступом
Объединение логического и физического доступа
Защита удаленного доступа
Выполнение требований стандарта PCI DSS
Корпоративное удостоверение сотрудника
Выполнение требований Приказов ФСТЭК России