Контроль доступа
подрядчиков

Получить решение

Описание решения

Сегодня практически невозможно представить компанию, которая не пользуется услугами сторонних исполнителей для решения каких-либо задач. Никого не удивляет найм внешней службы клининга для уборки помещений, передачи части бухгалтерских расчётов на аутсорсинг.

Не говоря уже о типовой задаче развёртывания и настройки компонентов в ИТ-инфраструктуре. В некоторых случаев, решение группы задач может быть полностью передано сторонней организации.

После приобретения ИТ-продукта также может возникнуть необходимость предоставления доступа к нему со стороны специалистов компании-разработчика. В рамках реализации технической поддержки.

Может возникнуть необходимость оперативно предоставить удаленный доступ подрядчику на удаленную площадку, хотя, в иное время допустимы только локальные работы. Это происходит в случае серьёзного сбоя и у организации просто нет времени ждать, пока прибудет представитель заказчика (не говоря уже о логистических сложностях приезда в труднодоступные географические точки).

Также организация может привлечь аудиторов, которые, к примеру, будут оценивать работу и состояние финансовых приложений (включая отчётность в них). Или, к примеру, будут проводить оценку работы компонентов ИТ-инфраструктуры.

Все вышеописанные ситуации объединены рядом потенциальных угроз безопасности:

  • Ограниченные возможности по контролю действий привилегированных пользователей - подрядчиков, даже если они находятся на площадке локально (нужно выделять сотрудника, чтоб он наблюдал за действиями подрядчика на все время работы);
  • Ограниченные возможности по применению средств для записи действий пользователя на компьютере, если это внешние сотрудники, из-за специфики целевых ресурсов;
  • Необходимость предоставления доступа (локального и удаленного) к критичным ресурсам сторонним исполнителям;
  • Для крупных компаний - большое количество одновременно работающих неконтролируемых сторонних исполнителей с компонентами ИТ-инфраструктуру;
  • Невозможность оценки потенциального воздействия от внесенных изменений;
  • Отсутствие возможности оценки соответствия между заявленными изменениями, критичными с точки зрения ИБ, и реальными;
  • Непонимание действий, специалистов, проводящих аудит ИТ-инфраструктуры и аудит работы приложений;
  • Возможность внесения "логических бомб" и иных негативных элементов в код приложений и веб-приложений;
  • Риск несанкционированных подключений подрядчиков, обладающих административными полномочиями к целевым серверам и приложениям;
  • Несанкционированное предоставление удаленного доступа со стороны сотрудников, обладающих привилегированными правами, но не относящихся к отделу сетевой, либо информационной безопасности;
  • Кража или несанкционированная передача привилегированных учетных данных для удаленного доступа к критичным ресурсам;
  • Неконтролируемая, а, значит, потенциально опасная ИТ-среда компании-исполнителя, из которой реализуется удаленный привилегированный доступ.

Кроме того, имеются риски иного рода:

  • Невозможность объективной оценки соответствия имеющихся работ заявленным требованиям и объему;
  • Необходимость затрат времени и финансов для оплаты проезда подрядчиков на локальные площадки;
  • Конфликтные ситуации между подрядчиками и подразделениями ИТ/ИБ в случае сбоя;
  • Потери времени и финансов при сбое на удаленной площадке, расположенной в труднодоступной местности.

Риски и угрозы, связанные с доступом к привилегированным ресурсам усугубляются, когда речь заходит о предоставлении привилегированного доступа сотрудникам сторонних организаций. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).

Применение подобных программных комплексов позволит структурировать процесс контроля деятельности подрядчиков и сотрудников сторонних организаций, при их работе с ресурсами ИТ-инфраструктуры компании.

С целью повышения качества управления и контроля действий сторонних исполнителей, снижения уровня угроз информационной безопасности, экономии финансов и времени необходимо использование системы контроля действий администраторов для управления доступом и отслеживания действий пользователей - подрядчиков.

Платформа Indeed PAM реализует Единую точку подключения всех сторонних сотрудников с дополнительными функциями:

  • Видео- и текстовая запись действий подрядчиков;
  • Контроль передачи файлов и вводимых команд;
  • Инструменты мониторинга действий подрядчиков в режиме реального времени;
  • Управление паролями и защищенное хранилище привилегированных учётных записей от целевых ресурсов;
  • Единый инструмент управления правилами доступом вида "пользователь-ресурс";
  • Поддержка протоколов RDP, SSH, HTTP(S);
  • Поддержка запуска опубликованных приложений по протоколу RemoteApp (Microsoft RDS);
  • Сквозная аутентификация в опубликованных приложениях;
  • Двухфакторная аутентификация для повышения уровня защиты;
  • Доступ по расписанию и согласованию.

Через Indeed PAM, к примеру, можно контролировать следующие категории сторонних пользователей:

  • Подрядчики;
  • Сотрудники технической поддержки;
  • Аутсорсеры;
  • Аудиторы;
  • Разработчики;
  • И т.д.

Применение Indeed PAM для контроля действий внешних сотрудников позволяет снизить вероятность реализации угрозы от их работы в ИТ-инфраструктуре компании. Использование единого инструмента управления привилегированным доступом позволяет сэкономить трудозатраты собственных специалистов. Более того, функциональные возможность Indeed PAM в части записи действий подрядчиков позволяют объективно оценить эффективность их работы и соответствие заявленным требованиям (SLA).

Запись действий и оценка качества работы

PAM-система поддерживает функционал записи действий - подрядчиков для последующего аудита действий пользователей. Основные принципы функционирования построены таким образом, чтоб исключить возможность подключения привилегированных пользователей (подрядчиков) в обход системы. Дополнительно, платформа Indeed PAM может использовать опубликованные приложения для поддержки иных проприетарных протоколов.

В Indeed PAM имеется следующий функционал записи сессий:

  • Текстовая запись;
  • Видеозапись;
  • Кейлоггер;
  • Контроль передачи файлов;
  • Контроль вводимых команд;
  • Метаданные подключений.

Использую записи сессий можно сформировать объективную оценку того, насколько подрядчики выполняют заявленные требования качества и объема работ (SLA). Что, в свою очередь, позволяет: оплачивать только тот объем услуг, которые явно оказаны; оценивать компетентность специалистов, оказывающих услуги.

Ограниченный доступ по расписанию и согласованию

Не секрет, что доступ подрядчиков к компонентам ИТ-инфраструктуры явно должен учитывать более строгие требования, чем доступ собственных сотрудников

Механизмы Indeed PAM предоставляют широкие возможности по управлению доступом привилегированных пользователей к целевым ресурсам. Однако, одними из ключевых правил управления привилегированным доступом в отношении подрядчиков являются следующие:

  • Доступ по расписанию;
  • Временный доступ;
  • Доступ по согласованию.

Используя указанные настройки можно заранее настроить права доступа с максимальными ограничениями, исключающими вероятность нарушения работы ресурса подрядчиками.

Легализация удаленного доступа к критичным ресурсам

В ряде случаев, компании обоснованно опасаются предоставлять удаленный доступ из вне к наиболее критичным ресурсам ИТ-инфраструктуры. В первую очередь это сделано из соображений безопасности, т.к. такие подключения практически невозможно контролировать

Indeed PAM предоставляет функциональные возможности для мониторинга действия пользователей - подрядчиков, в т.ч. в режиме реального времени В совокупности с механизмами защиты удаленного доступа с помощью двухфакторной аутентификации и возможностью фильтрации вводимых команд, данный механизм позволяет максимально обезопасить удаленный доступ к критичным ресурсам для внешних сотрудников.

Наличие фиксации действий позволяет в любой момент времени провести аудит действий подрядчиков со стороны специалистов, а не только в момент их работы. Дополнительно, данные функциональные возможности позволяют в ряде случаев убрать требования локального присутствия специалистов подрядчика на площадке.

Контроль работы аудиторов

Платформа Indeed PAM, фактически, позволяет контролировать любую категорию пользователей, в т.ч. такую специфическую, как аудиторы. Аудиторы - это внешние специалисты, которые нанимаются для выполнения следующих задач:

  • Контроль отчетности и транзакций в финансовых приложениях;
  • Контроль функционирования средств защиты информации и осуществление внутреннего тестирования на проникновение;
  • Контроль функционирования иных ИТ-средств;
  • Анализ организационно-распорядительной и иной документации.

Деятельность аудитора, направлена, в первую очередь, на анализ, а не на активное воздействие на ИТ-инфраструктуру (исключая некоторые сценарии тестирования на проникновение). Однако, компании может быть полезно понимать, что именно и как проверяют аудиторы. В особенности, это актуально, если аудиторская проверка не пройдена - для работы над ошибками и устранения неявных замечаний

Контроль работы разработчиков

PAM-система предоставляет возможность контроля действий сторонних разработчиков внутреннего программного обеспечения и веб-ресурсов. Зачастую, уровень кода является самым приоритетным для реализации вредоносной активности. Учитывая объемы написанного кода, отсутствие специализированных внутренних средств для анализа кода и контроля версий, злоумышленник может без особых проблем внести вредоносный или опасный код в корпоративное приложение.

Однако, инструменты фиксации и последующего анализа внесенных изменений позволяют проанализировать новые внесенные изменения на предмет наличия негативной активности и своевременно принять меры для нейтрализации этого воздействия

Экономия средств

Ключевым преимуществом использования Indeed PAM является потенциальная экономия финансовых средств и времени на работе подрядчиков. В первую очередь, широкий функционал записи сессий позволяет оценить, насколько реальный объем и качество работ соответствуют заявленным требованиям (SLA). Применение выгрузок из PAM-системы позволяет платить только за тот объем работ, который реально был исполнен. Более того, записи можно передать сторонним специалистам для анализа компетентности специалистов подрядчика, ведь низкий уровень компетентности, в первую очередь, влияет на стабильность работы ресурса и на объем трудозатрат со стороны подрядчика.

Далее, инструменты организации контролируемого удаленного доступа и мониторинг активности пользователей - подрядчиков позволяют минимизировать потенциальный вред от удаленной неконтролируемой работы, что, в свою очередь, делает избыточным требование по локальному присутствию специалистов подрядчика (их действия могут контролироваться вручную и автоматически в режиме онлайн). Что, в свою очередь, позволяет сэкономить финансы на транспортные расходы исполнителя.

Поддерживаемые протоколы:

  • RDP;
  • SSH;
  • HTTP(s);

Любые иные проприетарные протоколы с помощью публикации соответствующих приложений.

Функции записи действий:

  • Видеозапись сессий с возможностью настройки качества видео
  • Текстовая запись сессий
  • Периодическое снятие скриншотов сессий с возможностью настройки качества изображений
  • Поддерживаемые протоколы: RDP, SSH, опубликованный web и толстые клиенты
  • Теневое копирование файлов

Поддерживаемые каталоги пользователей:

  • Active Directory.

Технологии двухфакторной аутентификации:

  • Пароль + TOTP (одноразовый пароль - программный генератор);

Технологии удаленного доступа:

  • RemoteApp (Microsoft Remote Desktop Server);
  • SSH Proxy.

отзывы клиентов

Получить консультацию

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по аутентификации пользователей

Николай Лазицкий

Эксперт по управлению цифровыми сертификатами

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями

другие решения