Описание решения
Задача
Сегодня практически невозможно представить компанию, которая не пользуется услугами сторонних исполнителей для решения каких-либо задач. Никого не удивляет найм внешней службы клининга для уборки помещений, передачи части бухгалтерских расчётов на аутсорсинг.
Не говоря уже о типовой задаче развёртывания и настройки компонентов в ИТ-инфраструктуре. В некоторых случаев, решение группы задач может быть полностью передано сторонней организации.
После приобретения ИТ-продукта также может возникнуть необходимость предоставления доступа к нему со стороны специалистов компании-разработчика. В рамках реализации технической поддержки.
Может возникнуть необходимость оперативно предоставить удаленный доступ подрядчику на удаленную площадку, хотя, в иное время допустимы только локальные работы. Это происходит в случае серьёзного сбоя и у организации просто нет времени ждать, пока прибудет представитель заказчика (не говоря уже о логистических сложностях приезда в труднодоступные географические точки).
Также организация может привлечь аудиторов, которые, к примеру, будут оценивать работу и состояние финансовых приложений (включая отчётность в них). Или, к примеру, будут проводить оценку работы компонентов ИТ-инфраструктуры.
Все вышеописанные ситуации объединены рядом потенциальных угроз безопасности:
- Ограниченные возможности по контролю действий привилегированных пользователей - подрядчиков, даже если они находятся на площадке локально (нужно выделять сотрудника, чтоб он наблюдал за действиями подрядчика на все время работы);
- Ограниченные возможности по применению средств для записи действий пользователя на компьютере, если это внешние сотрудники, из-за специфики целевых ресурсов;
- Необходимость предоставления доступа (локального и удаленного) к критичным ресурсам сторонним исполнителям;
- Для крупных компаний - большое количество одновременно работающих неконтролируемых сторонних исполнителей с компонентами ИТ-инфраструктуру;
- Невозможность оценки потенциального воздействия от внесенных изменений;
- Отсутствие возможности оценки соответствия между заявленными изменениями, критичными с точки зрения ИБ, и реальными;
- Непонимание действий, специалистов, проводящих аудит ИТ-инфраструктуры и аудит работы приложений;
- Возможность внесения "логических бомб" и иных негативных элементов в код приложений и веб-приложений;
- Риск несанкционированных подключений подрядчиков, обладающих административными полномочиями к целевым серверам и приложениям;
- Несанкционированное предоставление удаленного доступа со стороны сотрудников, обладающих привилегированными правами, но не относящихся к отделу сетевой, либо информационной безопасности;
- Кража или несанкционированная передача привилегированных учетных данных для удаленного доступа к критичным ресурсам;
- Неконтролируемая, а, значит, потенциально опасная ИТ-среда компании-исполнителя, из которой реализуется удаленный привилегированный доступ.
Кроме того, имеются риски иного рода:
- Невозможность объективной оценки соответствия имеющихся работ заявленным требованиям и объему;
- Необходимость затрат времени и финансов для оплаты проезда подрядчиков на локальные площадки;
- Конфликтные ситуации между подрядчиками и подразделениями ИТ/ИБ в случае сбоя;
- Потери времени и финансов при сбое на удаленной площадке, расположенной в труднодоступной местности.
Риски и угрозы, связанные с доступом к привилегированным ресурсам усугубляются, когда речь заходит о предоставлении привилегированного доступа сотрудникам сторонних организаций. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).
Применение подобных программных комплексов позволит структурировать процесс контроля деятельности подрядчиков и сотрудников сторонних организаций, при их работе с ресурсами ИТ-инфраструктуры компании.
Решение
С целью повышения качества управления и контроля действий сторонних исполнителей, снижения уровня угроз информационной безопасности, экономии финансов и времени необходимо использование системы контроля действий администраторов для управления доступом и отслеживания действий пользователей - подрядчиков.
Платформа Indeed PAM реализует Единую точку подключения всех сторонних сотрудников с дополнительными функциями:
- Видео- и текстовая запись действий подрядчиков;
- Контроль передачи файлов и вводимых команд;
- Инструменты мониторинга действий подрядчиков в режиме реального времени;
- Управление паролями и защищенное хранилище привилегированных учётных записей от целевых ресурсов;
- Единый инструмент управления правилами доступом вида "пользователь-ресурс";
- Поддержка протоколов RDP, SSH, HTTP(S);
- Поддержка запуска опубликованных приложений по протоколу RemoteApp (Microsoft RDS);
- Сквозная аутентификация в опубликованных приложениях;
- Двухфакторная аутентификация для повышения уровня защиты;
- Доступ по расписанию и согласованию.
Через Indeed PAM, к примеру, можно контролировать следующие категории сторонних пользователей:
- Подрядчики;
- Сотрудники технической поддержки;
- Аутсорсеры;
- Аудиторы;
- Разработчики;
- И т.д.
Применение Indeed PAM для контроля действий внешних сотрудников позволяет снизить вероятность реализации угрозы от их работы в ИТ-инфраструктуре компании. Использование единого инструмента управления привилегированным доступом позволяет сэкономить трудозатраты собственных специалистов. Более того, функциональные возможность Indeed PAM в части записи действий подрядчиков позволяют объективно оценить эффективность их работы и соответствие заявленным требованиям (SLA).
Применение
Запись действий и оценка качества работы
PAM-система поддерживает функционал записи действий - подрядчиков для последующего аудита действий пользователей. Основные принципы функционирования построены таким образом, чтоб исключить возможность подключения привилегированных пользователей (подрядчиков) в обход системы. Дополнительно, платформа Indeed PAM может использовать опубликованные приложения для поддержки иных проприетарных протоколов.
В Indeed PAM имеется следующий функционал записи сессий:
- Текстовая запись;
- Видеозапись;
- Кейлоггер;
- Контроль передачи файлов;
- Контроль вводимых команд;
- Метаданные подключений.
Использую записи сессий можно сформировать объективную оценку того, насколько подрядчики выполняют заявленные требования качества и объема работ (SLA). Что, в свою очередь, позволяет: оплачивать только тот объем услуг, которые явно оказаны; оценивать компетентность специалистов, оказывающих услуги.
Ограниченный доступ по расписанию и согласованию
Не секрет, что доступ подрядчиков к компонентам ИТ-инфраструктуры явно должен учитывать более строгие требования, чем доступ собственных сотрудников
Механизмы Indeed PAM предоставляют широкие возможности по управлению доступом привилегированных пользователей к целевым ресурсам. Однако, одними из ключевых правил управления привилегированным доступом в отношении подрядчиков являются следующие:
- Доступ по расписанию;
- Временный доступ;
- Доступ по согласованию.
Используя указанные настройки можно заранее настроить права доступа с максимальными ограничениями, исключающими вероятность нарушения работы ресурса подрядчиками.
Легализация удаленного доступа к критичным ресурсам
В ряде случаев, компании обоснованно опасаются предоставлять удаленный доступ из вне к наиболее критичным ресурсам ИТ-инфраструктуры. В первую очередь это сделано из соображений безопасности, т.к. такие подключения практически невозможно контролировать
Indeed PAM предоставляет функциональные возможности для мониторинга действия пользователей - подрядчиков, в т.ч. в режиме реального времени В совокупности с механизмами защиты удаленного доступа с помощью двухфакторной аутентификации и возможностью фильтрации вводимых команд, данный механизм позволяет максимально обезопасить удаленный доступ к критичным ресурсам для внешних сотрудников.
Наличие фиксации действий позволяет в любой момент времени провести аудит действий подрядчиков со стороны специалистов, а не только в момент их работы. Дополнительно, данные функциональные возможности позволяют в ряде случаев убрать требования локального присутствия специалистов подрядчика на площадке.
Контроль работы аудиторов
Платформа Indeed PAM, фактически, позволяет контролировать любую категорию пользователей, в т.ч. такую специфическую, как аудиторы. Аудиторы - это внешние специалисты, которые нанимаются для выполнения следующих задач:
- Контроль отчетности и транзакций в финансовых приложениях;
- Контроль функционирования средств защиты информации и осуществление внутреннего тестирования на проникновение;
- Контроль функционирования иных ИТ-средств;
- Анализ организационно-распорядительной и иной документации.
Деятельность аудитора, направлена, в первую очередь, на анализ, а не на активное воздействие на ИТ-инфраструктуру (исключая некоторые сценарии тестирования на проникновение). Однако, компании может быть полезно понимать, что именно и как проверяют аудиторы. В особенности, это актуально, если аудиторская проверка не пройдена - для работы над ошибками и устранения неявных замечаний
Контроль работы разработчиков
PAM-система предоставляет возможность контроля действий сторонних разработчиков внутреннего программного обеспечения и веб-ресурсов. Зачастую, уровень кода является самым приоритетным для реализации вредоносной активности. Учитывая объемы написанного кода, отсутствие специализированных внутренних средств для анализа кода и контроля версий, злоумышленник может без особых проблем внести вредоносный или опасный код в корпоративное приложение.
Однако, инструменты фиксации и последующего анализа внесенных изменений позволяют проанализировать новые внесенные изменения на предмет наличия негативной активности и своевременно принять меры для нейтрализации этого воздействия
Экономия средств
Ключевым преимуществом использования Indeed PAM является потенциальная экономия финансовых средств и времени на работе подрядчиков. В первую очередь, широкий функционал записи сессий позволяет оценить, насколько реальный объем и качество работ соответствуют заявленным требованиям (SLA). Применение выгрузок из PAM-системы позволяет платить только за тот объем работ, который реально был исполнен. Более того, записи можно передать сторонним специалистам для анализа компетентности специалистов подрядчика, ведь низкий уровень компетентности, в первую очередь, влияет на стабильность работы ресурса и на объем трудозатрат со стороны подрядчика.
Далее, инструменты организации контролируемого удаленного доступа и мониторинг активности пользователей - подрядчиков позволяют минимизировать потенциальный вред от удаленной неконтролируемой работы, что, в свою очередь, делает избыточным требование по локальному присутствию специалистов подрядчика (их действия могут контролироваться вручную и автоматически в режиме онлайн). Что, в свою очередь, позволяет сэкономить финансы на транспортные расходы исполнителя.
Технические характеристики
Поддерживаемые протоколы:
- RDP;
- SSH;
- HTTP(s);
Любые иные проприетарные протоколы с помощью публикации соответствующих приложений.
Функции записи действий:
- Видеозапись сессий с возможностью настройки качества видео
- Текстовая запись сессий
- Периодическое снятие скриншотов сессий с возможностью настройки качества изображений
- Поддерживаемые протоколы: RDP, SSH, опубликованный web и толстые клиенты
- Теневое копирование файлов
Поддерживаемые каталоги пользователей:
- Active Directory.
Технологии двухфакторной аутентификации:
- Пароль + TOTP (одноразовый пароль - программный генератор);
Технологии удаленного доступа:
- RemoteApp (Microsoft Remote Desktop Server);
- SSH Proxy.