Indeed Privileged
Access Manager

Контроль и управление доступом привилегированных пользователей

Привилегированный доступ
требует особого внимания

Часто пароли привилегированных учетных записей передаются в открытом виде
Учетные записи никак не защищены от компрометации. Администраторы не проходят строгую аутентификацию, а пароли не ротируются регулярно.
При расследовании инцидентов сотрудники собирают информацию вручную с локальных ресурсов. Это занимает много времени и, как следствие, увеличивает финансовые потери.
Как правило, администраторы используют обезличенные учетные записи. Определить, кто именно получил доступ к ресурсу, практически невозможно.
Привилегированные пользователи и ИТ-подрядчики обладают повышенными правами на целевых ресурсах. Их действия необходимо контролировать.
Привилегированные учетные записи создают под конкретные задачи или проекты, но после их завершения часто не удаляют. Забытые аккаунты становятся точкой входа для злоумышленников.

Как Indeed PAM защищает привилегированный доступ

01.
Система хранит пароли в зашифрованном виде, не раскрывая их пользователям. Она позволяет автоматически менять пароли по расписанию и выдавать разрешения на подключение без раскрытия паролей привилегированных учетных записей.
02.
Можно задать специальные правила, по которым будут генерироваться пароли. Это позволяет сделать пароли более сложными и защищенными.
03.
Пароли служебных учетных записей хранятся и используются в неявном виде с помощью Application-to-Application Password Manager (AAPM) и могут безопасно использоваться приложениями и скриптами.
04.
Гибкая настройка политик в Indeed PAM позволяет управлять привилегированным доступом в строгом соответствии с корпоративными требованиям к безопасности.

Контролируйте аутентификацию и авторизацию

Администратор PAM управляет правами привилегированного доступа к целевым ресурсам через единую консоль. Это упрощает выдачу доступа, подключение пользователей и мониторинг их действий.

Для сквозной аутентификации на целевом ресурсе администраторы могут использовать единую учетную запись, хранящуюся в защищенной базе. При этом пароль не разглашается, а в журнале событий фиксируется, кто именно получал доступ под этой учетной записью.

Можно выдавать разрешения с ограниченным сроком действия и предоставлять доступ по расписанию.

При необходимости можно запретить привилегированному пользователю вводить команды (SSH) и передавать файлы на ресурс (SSH, RDP).

Упростите контроль сессий
и расследование инцидентов ИБ

Система собирает артефакты сессий (логи, видео, скриншоты, журналы событий). Фиксируются также дополнительные данные, которые могут помочь при расследовании. Кроме того, есть возможность интеграции с SIEM-системами.
Логи событий записываются в централизованное хранилище. Оно не зависит от работы локальных ресурсов, с которыми взаимодействует пользователь.
При необходимости можно ограничивать действия привилегированных пользователей, например задавать белые и черные списки команд или полностью запрещать пользователям ввод команд и передачу файлов на ресурсы.
Активные сессии можно просматривать и в случае инцидента сразу прерывать.

Соответствуйте политике Zero Trust

Zero Trust — политика нулевого доверия, предполагающая отсутствие доверия кому‑либо внутри сети и за ее пределами. Принцип работы Indeed PAM и возможности решения позволяют управлять привилегированным доступом в соответствии с этой политикой.

01.
Действия пользователя и события непрерывно и безопасно записываются. Ввод команд и передачу данных можно ограничивать. В случае нештатных ситуаций администраторы PAM получают уведомления.
02.
Все межсетевое взаимодействие компонентов PAM происходит по зашифрованным каналам связи для защиты данных от перехвата.
03.
Все пользователи и приложения обязательно проходят строгую двухфакторную аутентификацию перед получением доступа к ресурсам.
04.
При необходимости сеть разделяется на микросегменты, в каждом из которых можно настроить собственные правила доступа к ресурсам и приложениям. Права тонко настраиваются в зависимости от выполняемых задач.

Сделано в России

01.
Соответствует требованиям ГОСТ и ФСТЭК
02.
Интегрируется с ПО от российских вендоров
03.
Устанавливается на Linux любой версии
04.
Поддерживает каталоги FreeIPA, ALD Pro, OpenLDAP

Российские компании уже используют
Indeed РАМ

Мы выбирали систему PAM среди российских решений и остановили свой выбор на решении Indeed PAM от компании «Индид», как на самом оптимальном варианте в плане эффективности, удобства и бюджета. У этого вендора было самое лучшее предложение.

Indeed PAM уже помог нам создать дополнительный уровень защиты внутри сети и за ее пределами. Это важный шаг для укрепления безопасности инфраструктуры и сбережения ценных активов. Indeed PAM – надежный инструмент, позволяющий эффективно контролировать доступ и отслеживать действия привилегированных пользователей в критичных системах.

С помощью экосистемы продуктов компании «Индид» мы усилили безопасность нашей компании, исключив использование уязвимых паролей нашими сотрудниками. Вместо привычных паролей, которые не всегда соответствовали требованиям безопасности и были сложны для запоминания, сегодня используется двухфакторная система аутентификации.

«Мы оценивали качество работы специалистов вендора в части настройки продукта для пилотного тестирования и в части реализации сложных технических задач по интеграции с компонентами нашей ИТ-инфраструктуры. Надо сказать, мы не разочаровались в выборе. В поддержку обращаемся часто, помогают оперативно. Компания «Индид» уделяет большое внимание развитию своих продуктов и регулярно выпускает новые версии. И главное – разработчики прислушиваются к нашим пожеланиям по развитию продукта.»

Атаки через подрядчиков и внутренних «злоумышленников» являются наиболее актуальными в последние годы. В рамках реализации ИБ-стратегии с помощью PAM-системы компания обеспечила защиту как внутренних корпоративных систем и интерфейсов управления средств защиты, так и сегментов КИИ, что является обязательным требованием в рамках действующего законодательства. Благодаря Indeed PAM у нас получилось повысить эффективность работы ИТ и ИБ-команд и упростить процесс расследования инцидентов

Программный комплекс Indeed PAM полностью удовлетворил все наши потребности в области управления привилегированным доступом. Сегодня многие компании оценивают риски злоупотребления повышенными правами как довольно высокие, и количество атак при помощи скомпрометированных учетных данных постоянно растет. В этих условиях Indeed PAM позволяет нам эффективно защищать наиболее важные системы и учетные записи от несанкционированного доступа и соответствовать современным стандартам информационной безопасности

«Внедрение экосистемы на основе продуктов компании «Индид» – логичный шаг и один из важных этапов создания комплексной защиты от киберугроз. Решения Indeed AM и Indeed PAM полностью соответствуют требованиям, которые Институт предъявил к продуктам данного вида. Они позволили нам решить задачу комплексно – обеспечить защиту доступа не только обычных, но и привилегированных пользователей».

«АО НПФ «Альянс» придает большое значение безопасности данных и доступу к ним. Компания «Индид» предоставляет нам надежный инструмент для эффективного управления доступом привилегированных пользователей. В ходе тестовой эксплуатации программного комплекса Indeed PAM в АО НПФ «Альянс» получена высокая оценка технологичности и отказоустойчивости системы, возможности подстройки решения под особенности инфраструктуры компании. Мы уверены, что это внедрение значительно повысит безопасность нашей информационной инфраструктуры».

«Внедрение продуктов компании «Индид» позволило нам повысить уровень информационной безопасности и обеспечить соответствие самым высоким стандартам, принятым в отрасли. Ключевым аргументом в пользу Indeed PAM и Indeed AM было то, что эти продукты внесены в реестр отечественного ПО и соответствуют стандарту PCI DSS».

Мы выполняем взятые обязательства и достигаем поставленных целей за счет реализации эффективных решений, в числе которых решение о защите привилегированного доступа к информационным системам. Для нашей Группы Компаний важно, чтобы администраторы систем решали действительно значимые и ключевые задачи, исключая рутинные операции из своего ценного рабочего времени. К тому же централизованное управление подключениями к критичным серверам и приложениям гарантирует защиту от несанкционированного доступа злоумышленников с административными правами к корпоративным ИТ-ресурсам.

Если нужны детали

Документация

Руководство пользователя по установке и эксплуатации Indeed PAM

Демовидео

Видео о работе с Indeed PAM для решения рутинных задач

Связаться с нами

Оставьте свои контактные данные, и наши эксперты расскажут, как предотвратить угрозы для кибербезопасности с помощью специализированных решений команды Индид

Технические характеристики

Поддерживаемые платформы для развертывания

Типы ресурсов, поддерживающие сервисное подключение

Доступные типы пользовательских подключений

Поддерживаемые типы учетных данных

Поиск привилегированных учетных записей и управление паролями

Управление паролями приложений

СУБД

Поддерживаемые каталоги пользователей

Технологии аутентификации

Пароль + TOTP из мобильного приложения
Пароль + OTP, отправляемый на email
Смарт-карта с цифровым сертификатом
Пароль + TOTP (программный генератор)
Пароль + OTP, отправляемый на e-mail
Интеграция с MFA-решениями по протоколу RADIUS
Интеграция с MFA-решениями по протоколу OpenID Connect
Сертификаты X.509
SSH-ключи

Поддерживаемые типы записи сессий

Интеграция с компонентами инфраструктуры

Обновления Indeed PAM

Все обновления

Версия 3.4
Интеграция с MFA-решениями по протоколу OpenID Connect
Аутентификация по сертификатам X.509
Поддержка Ansible
Виджеты «Серверы PAM»
Аутентификация Kerberos в RDP Proxy
Python SDK для доступа к учетным данным
Гранулированные права для утилиты ConsoleApp
Возможность настройки формата логина для SSH-подключений
SSH-подключения без PTY
Усовершенствованный механизм отчетов
Отображение информации о сервере доступа в деталях сессий и событий
Подробнее
Версия 3.3
Открытие Web подключений к целевым ресурсам из UC в браузере (без использования RDS)
Открытие RDP или SSH подключений к целевым ресурсам из UC в браузере
Проксирование SQL сессий для MS SQL
Информационная панель администратора (dashboard администратора)
Открытие сессий без повторной аутентификации
Гибкое управление доступом по дням недели
Поддержка Ed25519 для SSH-ключей
Автоматический выход из PAM
Полная блокировка доступа в PAM
Подробнее

Сценарии применения Indeed PAM

Защита паролей привилегированных учетных записей
Запись действий и расследование инцидентов
Защита цепочки поставок

Часто задаваемые вопросы

Что такое Indeed Privileged Access Manager (PAM)?

Indeed PAM — это специализированный программный продукт, предназначенный для обеспечения информационной безопасности корпоративных цифровых ресурсов. Решение помогает управлять доступом привилегированных пользователей к ИТ-ресурсам компании.

Преимущества системы:

поддерживает отечественные ОС;
имеет внутренний каталог пользователя;
компонентов собственной разработки, без необходимости использовать импортное ПО;
прошла оценку соответствия в системе сертификации ФСТЭК России.

Чем PAM-система отличается от PUM и других ИБ-решений?

Privileged Access Management объединяет Privileged User Management (управление привилегированными аккаунтами и их ролями) и Password Management (хранение и ротация паролей привилегированных аккаунтов). Это позволяет организованно контролировать использование расширенных прав и снижать риски компрометации привилегированных учетных записей.

Кроме этого, PAM работает как СКДПУ (система контроля действий привилегированных пользователей). Она собирает данные о сессиях и передает их в другие ИБ-системы, например, SIEM — для анализа и корреляции событий безопасности. PAM не заменяет эти решения, но усиливает их за счет детальной информации о действиях пользователей: видеозаписи, снимки экрана и текстовые логи сессий.

Каким компаниям и зачем нужна PAM-система?

Система контроля и управления доступом и действиями привилегированных пользователей востребована в следующих отраслях: финансы, телеком, промышленность, ритейл, госсектор, транспорт и здравоохранение.

Её используют:

для предотвращения несанкционированного доступа к критической инфраструктуре;
для снижения рисков инцидентов в сфере ИБ;
при проведении расследований и анализе инцидентов в сфере ИБ;
чтобы соответствовать обязательным стандартам и требованиям регуляторов.

Какие типы привилегированных пользователей контролирует Indeed PAM?

Под контролем системы находятся:

учетные записи администраторов в Active Directory, Windows и Linux/Unix;
учетные записи для доступа к СУБД и сетевому оборудованию;
служебные учетные записи, используемые приложениями и скриптами через модуль AAPM.

Как контролируются сессии? Есть функция записи?

Контроль обеспечивается через промежуточный сервер доступа (jump-сервер), который становится единой точкой входа для всех сессий.

Система собирает артефакты сессий (логи, видео, скриншоты). Эти данные могут передаваться в системы аналитики и SIEM.

Сотрудники службы ИБ также могут вручную отслеживать действия пользователей в реальном времени через веб-консоль и при необходимости принудительно прерывать сеансы.

Можно ли разрешать доступ по расписанию или по запросу?

Indeed PAM организует не только контроль, но и управление действиями администраторов ресурсов.

Доступ может быть временным, по расписанию или по запросу с обязательным одобрением сотрудника ИБ. Также можно запретить определенные команды в SSH-сессиях или заблокировать передачу файлов по протоколам RDP и SSH.

Предусмотрено ли хранение и ротация паролей?

Пароли хранятся зашифрованными в защищённом репозитории и не выдаются пользователям в явном виде — система подставляет их автоматически при подключении к ресурсам. Имеется модуль AAPM, который обеспечивает безопасное использование паролей приложениями и скриптами.

Для повышения безопасности важных ресурсов предусмотрена регулярная автоматическая ротация паролей и SSH-ключей по заданному расписанию, либо после каждого сеанса.

Администратор PAM может задать собственные правила генерации, чтобы пароли соответствовали корпоративным требованиям безопасности.

Как Indeed PAM предотвращает несанкционированный доступ?

Вход только через PAM-сервис — прямое подключение к ресурсам исключено.
Скрытое использование паролей — пользователи не видят учетные данные привилегированных УЗ, система подставляет пароль автоматически при подключении.
Автоматизация управления доступом — минимизируется ручное вмешательство IT-специалистов: необходимые разрешения выдаются на основе политик, подстановка и ротация паролей происходят автоматически, что снижает риск ошибок и злоупотреблений.
Политика нулевого доверия — каждая попытка доступа проверяется независимо от предыдущих подключений.
Быстрое выявление угроз — при попытках использования запрещенных команд их исполнение блокируется, а администратор безопасности получает уведомление.

Поддерживает ли Indeed PAM многофакторную аутентификацию?

Есть функция обнаружения и контроля теневых учетных записей?

Система собирает данные обо всех привилегированных профилях. Это помогает выявлять неучтенные (теневые) аккаунты и контролировать их активность. Если используется общий аккаунт, PAM фиксирует, кто именно получил к нему доступ. Она также отслеживает неиспользуемые разрешения (начиная с версии 3.2), что помогает своевременно выявлять и отзывать избыточные или забытые права доступа.