Indeed Privileged
Access Manager

Управление доступом привилегированных пользователей к ИТ-системам компании

Получить

Описание решения

Правильная работа ИТ-инфраструктуры и бизнес-приложений является залогом успешной работы любого государственного учреждения или частной компании.

Однако, работоспособность корпоративных ИТ-ресурсов зависит не только от характеристик аппаратного и программного обеспечения. Все компоненты ИТ-инфраструктуры должны управляться профессионалами для обеспечения бесперебойной работы.

Управлением ИТ-компонентов занимаются привилегированные пользователи — это внешние и внутренние сотрудники, которые имеют расширенные полномочия в работе с корпоративными ресурсами и приложениями, включая их установку, настройку и обслуживание.

К привилегированным пользователям относятся:

  • Системные администраторы
  • Специалисты по безопасности
  • Подрядчики и аутсорсеры
  • Операторы финансовых сервисов
  • Аудиторы
  • Другие внешние или внутренние сотрудники.

Учитывая широкие полномочия и специфику ресурсов, с которыми работают привилегированные пользователи, компаниям необходимо решение задачи грамотного управления привилегированным доступом, включая минимизацию полномочий, фиксацию и анализ действий сотрудников.

Кроме того, получив аутентификационные данные привилегированной учетной записи, злоумышленники могут нанести организации ущерб серьезнее, чем в случае компрометации учетных данных рядового сотрудника.

Административные учетные записи могут быть использованы для отключения защиты, остановки работы информационных систем и доступа к конфиденциальной информации.

Защитить привилегированный доступ сложнее, чем доступ к ресурсам со стороны рядовых сотрудников, решение этой проблемы невозможно с использованием только общих подходов к защите учетных данных и требует применения специализированных решений.

Обозначенные угрозы можно нейтрализовать с помощью внедрения комплексной системы контроля привилегированных пользователей. Система должна решать следующие задачи:

  • Централизованное управление подключениями к критичным серверам и приложениям
  • Усиленная аутентификация привилегированных пользовательных пользователей
  • Прозрачное использование привилегированных учётных записей на разрешённых ресурсах, без раскрытия пароля
  • Фиксация действий привилегированных пользователей
  • Анализ записанных действий и расследование инцидентов, связанных с контролируемыми ресурсами
Показать еще

Платформа Indeed Privileged Access Manager (Indeed PAM) относится к специализированному классу решений, известному под разными названиями, например:

  • Privileged Access Management (PAM);
  • Privileged Account Management (PAM);
  • Privileged User Management (PUM);
  • Privileged Identity Management (PIM).

В основе продукта лежит многолетний опыт компании Индид по созданию решений в сфере информационной безопасности, в частности, в сфере управления доступом.

Архитектурно, продукт Indeed PAM представляет собой выделенную группу серверов, реализующих централизованные политику контроля и управления привилегированным доступом.

Платформа Indeed PAM представляет собой выделенную группу серверов, реализующих централизованные политику контроля и управления привилегированным доступом.

Со схематическим изображением архитектуры работы платформы Indeed PAM можно ознакомиться на представленном рисунке:


Ключевое преимущество платформы заключается в обязательном подключении к целевым ресурсам и приложениям через сервер Indeed PAM.

Привилегированные пользователи могут использовать клиентское Web-приложение для просмотра доступных ресурсов и последующего подключения к ним. Также, кроме подключения к ресурсам из Web-приложения, доступны подключения «классическим» способом: напрямую, через протоколы RDP и SSH на сетевой адрес Indeed PAM.

Консоль администратора представляет собой удобное Web-приложение для настройки, управления и аудита работы системы контроля действий пользователей. Используя консоль, администратор может управлять политиками предоставления привилегированного доступа, просматривать журналы подключений и записи административных сессий.

Удобная ролевая модель управления внутри Indeed PAM позволяет настроить полномочия сотрудникам с разными должностными обязанностями и реализовать, к примеру, полноценное разделение обязанностей между администраторами безопасности и аудиторами привилегированных сессий, но не ограничиваясь только ими.

Доступ к консоли администратора и для подключения к целевым ресурсам можно дополнительно защитить двухфакторной аутентификацией.

Реализация системы контроля действий пользователей является комплексной задачей, включающей ряд технических и организационных мер.

Если для контроля действий непривилегированных пользователей в большинстве случаев достаточно использования решений класса Employee-Monitoring Products and Services (EMPS) или Data Leak Prevention (DLP), включающих серверный компонент, отвечающий за анализ и контроль каналов коммуникаций, и клиентский компонент, отвечающий за анализ действий на рабочей станции, то для контроля действий привилегированных пользователей использование упомянутых решений может быть недостаточным или бесполезным.

Среди особенностей работы привилегированных пользователей выделим следующие:

  • Широкие полномочия (включая возможность удаления клиентского ПО, либо назначение себе дополнительных привилегий);
  • Неподконтрольное рабочее место (актуально для подрядчиков, аутсорсеров или удаленных администраторов);
  • Специфические целевые серверы, куда невозможно установить ПО для мониторинга (сетевые устройства, изолированные программные среды, специфические, редкие и устаревшие ОС).

Использование промежуточного сервера контроля и управления доступом (т.н. jump-сервера) позволит избежать необходимости установки дополнительного ПО и управлять всеми привилегированными сессиями в единой точке, что существенно сократит затраты на управление привилегированным доступом.

Политики управления работают по принципу необходимости явного создания разрешения на доступ к целевому ресурсу (серверу или приложению) со стороны определенного пользователя, что позволит изначально исходить из позиции выдачи минимально необходимых прав. Дополнительные опции раздельно настроят разрешенное время подключения и разрешения на использование привилегированных учетных записей от целевых ресурсов.

Полномочия на управление или настройку целевых ресурсами и приложения привязаны к соответствующим учетным записям. При классическом подходе, пароли или иные аутентификаторы от таких привилегированных учетных записей выдаются уполномоченным на это сотрудникам - привилегированным пользователям.

Однако такая практика несет в себе ряд угроз, связанных с неправомерным или некорректным использованием выданных полномочий. Сотрудникам, например, могут быть доступны инструменты для очистки журналов, установки дополнительного ПО, осуществления критических и опасных операций, способных нарушить работоспособность ресурса или нанести финансовый вред компании. Зачастую эти и другие полномочия доступны привилегированным пользователям без соответствующего контроля.

Программный комплекс Indeed PAM в рамках реализации задачи мониторинга привилегированного доступа позволяет ставить такие учетные записи под контроль, в первую очередь, для исключения их несанкционированного использования и для фиксации всех действий сотрудника на выделенном сервере.

В рамках контроля платформа может автоматически осуществлять поиск привилегированных учетных записей в Active Directory и на серверах с ОС Microsoft Windows, Linux/Unix. Это позволит исключить наличие неучтенных привилегированных учетных записей критичных ресурсов в ИТ-инфраструктуре.

Дополнительно, в хранилище можно ввести логины и пароли от целевых приложений, в первую очередь это касается привилегированных учетных записей.

Все пароли в хранилище учетных записей находятся в зашифрованном виде и ключ шифрования имеется только у самого сервера Indeed PAM.

Кроме того, пароли автоматически обновляются и по умолчанию недоступны сотрудникам с привилегированным доступом. При подключении привилегированного пользователя к целевому ресурсу сервер Indeed PAM самостоятельно подставляет логин-пароль. Таким образом, сотрудник, уполномоченный на управление каким-либо серверов и бизнес-приложенией не сможет авторизоваться на ресурсе в обход Indeed PAM, т.к. ему неизвестен пароль.

Одной из основных причин требования повышенного внимания к работе сотрудников с доступом к привилегированным учетным записям является потенциальная опасность их действий для корректной работы ИТ-инфраструктуры всей компании. Даже если отбросить злонамеренные действия, взломы и явный саботаж, остается относительно большое количество инцидентов, связанных с т.н. «человеческим фактором».

Например, это ситуации, в которых сотрудник совершил ряд ошибок, приведших к выходу из строя какого-либо сервера. Независимо от того, имеется ли резервная копия и отказоустойчивая реализация, менеджменту необходимо разобраться, что стало причиной сбоя. Зачастую в случае неработоспособности сервера, его журналы тоже недоступны. В таком случае, при использовании решений класса Security Information & Event Management (SIEM) будет доступна информация о наличии инцидента и потенциально ответственного лица (например, через анализ сетевых подключений), но она вряд ли даст ответ на вопрос о том, что именно произошло.

Использование платформы Indeed PAM позволяет получить исчерпывающую информацию о причинах инцидента и наличии злонамерения.

При работе привилегированного пользователя через Indeed PAM осуществляется фиксация действий в разном формате: видео- и текстовая запись, перехват команд, теневое копирование передаваемых файлов и другие. Все эти действия можно просмотреть в удобном виде сразу в консоли управления. Кроме непосредственно записей самих действий, решение фиксирует большой объем метаданных — информации о самих подключениях (имя пользователя, протоколы, целевые ресурсы, время подключения и т.д.).

Анализ записей позволяет избежать необоснованного обвинения сотрудников и максимально оперативно разобраться в причинах инцидента, чтобы оперативно приступить к его локализации (минимизации последствий) для предотвращения еще больших финансовых и репутационных потерь.

  • Поддерживаемые протоколы: RDP, SSH, HTTP(s), любые иные проприетарные протоколы с помощью публикации соответствующих приложений
  • Поддерживаемые типы учетных данных - Имя пользователя + пароль, SSH-ключи
  • Поиск привилегированных учетных записей и управление паролем - Windows, Linux, Active Directory
  • Поддерживаемые каталоги пользователей - Active Directory
  • Технологии двухфакторной аутентификации - Пароль + TOTP (программный генератор)
  • Поддерживаемые типы записи сессий - Текстовый лог, Видеозапись, Снимки экрана
  • Технологии удаленного доступа - Microsoft RDS, SSH Proxy

ДЕМОНСТРАЦИЯ РАБОТЫ ПРОДУКТА

  • Надежная защита и контроль административного доступа
  • Порядок в доступе подрядчиков к корпоративным системам и оборудованию
  • Выполнение требования регулятора по аутентификации администраторов систем

Посмотрите запись вебинара о защите привилегированного доступа в корпоративной среде

типовые решения

отзывы клиентов

новости Indeed PAM

Получить консультацию

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по аутентификации пользователей

Николай Лазицкий

Эксперт по управлению цифровыми сертификатами

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями