Контроль доступа
подрядчиков

Получить решение

Описание решения

Задача

Сегодня практически невозможно представить компанию, которая не пользуется услугами сторонних исполнителей для решения каких-либо задач. Никого не удивляет найм внешней службы клининга для уборки помещений, передачи части бухгалтерских расчётов на аутсорсинг.

Не говоря уже о типовой задаче развёртывания и настройки компонентов в ИТ-инфраструктуре. В некоторых случаев, решение группы задач может быть полностью передано сторонней организации.

После приобретения ИТ-продукта также может возникнуть необходимость предоставления доступа к нему со стороны специалистов компании-разработчика. В рамках реализации технической поддержки.

Может возникнуть необходимость оперативно предоставить удаленный доступ подрядчику на удаленную площадку, хотя, в иное время допустимы только локальные работы. Это происходит в случае серьёзного сбоя и у организации просто нет времени ждать, пока прибудет представитель заказчика (не говоря уже о логистических сложностях приезда в труднодоступные географические точки).

Также организация может привлечь аудиторов, которые, к примеру, будут оценивать работу и состояние финансовых приложений (включая отчётность в них). Или, к примеру, будут проводить оценку работы компонентов ИТ-инфраструктуры.

Все вышеописанные ситуации объединены рядом потенциальных угроз безопасности:

  • Ограниченные возможности по контролю действий привилегированных пользователей - подрядчиков, даже если они находятся на площадке локально (нужно выделять сотрудника, чтоб он наблюдал за действиями подрядчика на все время работы);
  • Ограниченные возможности по применению средств для записи действий пользователя на компьютере, если это внешние сотрудники, из-за специфики целевых ресурсов;
  • Необходимость предоставления доступа (локального и удаленного) к критичным ресурсам сторонним исполнителям;
  • Для крупных компаний - большое количество одновременно работающих неконтролируемых сторонних исполнителей с компонентами ИТ-инфраструктуру;
  • Невозможность оценки потенциального воздействия от внесенных изменений;
  • Отсутствие возможности оценки соответствия между заявленными изменениями, критичными с точки зрения ИБ, и реальными;
  • Непонимание действий, специалистов, проводящих аудит ИТ-инфраструктуры и аудит работы приложений;
  • Возможность внесения "логических бомб" и иных негативных элементов в код приложений и веб-приложений;
  • Риск несанкционированных подключений подрядчиков, обладающих административными полномочиями к целевым серверам и приложениям;
  • Несанкционированное предоставление удаленного доступа со стороны сотрудников, обладающих привилегированными правами, но не относящихся к отделу сетевой, либо информационной безопасности;
  • Кража или несанкционированная передача привилегированных учетных данных для удаленного доступа к критичным ресурсам;
  • Неконтролируемая, а, значит, потенциально опасная ИТ-среда компании-исполнителя, из которой реализуется удаленный привилегированный доступ.

Кроме того, имеются риски иного рода:

  • Невозможность объективной оценки соответствия имеющихся работ заявленным требованиям и объему;
  • Необходимость затрат времени и финансов для оплаты проезда подрядчиков на локальные площадки;
  • Конфликтные ситуации между подрядчиками и подразделениями ИТ/ИБ в случае сбоя;
  • Потери времени и финансов при сбое на удаленной площадке, расположенной в труднодоступной местности.

Риски и угрозы, связанные с доступом к привилегированным ресурсам усугубляются, когда речь заходит о предоставлении привилегированного доступа сотрудникам сторонних организаций. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).

Применение подобных программных комплексов позволит структурировать процесс контроля деятельности подрядчиков и сотрудников сторонних организаций, при их работе с ресурсами ИТ-инфраструктуры компании.

Решение

С целью повышения качества управления и контроля действий сторонних исполнителей, снижения уровня угроз информационной безопасности, экономии финансов и времени необходимо использование системы контроля действий администраторов для управления доступом и отслеживания действий пользователей - подрядчиков.

Платформа Indeed PAM реализует Единую точку подключения всех сторонних сотрудников с дополнительными функциями:

  • Видео- и текстовая запись действий подрядчиков;
  • Контроль передачи файлов и вводимых команд;
  • Инструменты мониторинга действий подрядчиков в режиме реального времени;
  • Управление паролями и защищенное хранилище привилегированных учётных записей от целевых ресурсов;
  • Единый инструмент управления правилами доступом вида "пользователь-ресурс";
  • Поддержка протоколов RDP, SSH, HTTP(S);
  • Поддержка запуска опубликованных приложений по протоколу RemoteApp (Microsoft RDS);
  • Сквозная аутентификация в опубликованных приложениях;
  • Двухфакторная аутентификация для повышения уровня защиты;
  • Доступ по расписанию и согласованию.

Через Indeed PAM, к примеру, можно контролировать следующие категории сторонних пользователей:

  • Подрядчики;
  • Сотрудники технической поддержки;
  • Аутсорсеры;
  • Аудиторы;
  • Разработчики;
  • И т.д.

Применение Indeed PAM для контроля действий внешних сотрудников позволяет снизить вероятность реализации угрозы от их работы в ИТ-инфраструктуре компании. Использование единого инструмента управления привилегированным доступом позволяет сэкономить трудозатраты собственных специалистов. Более того, функциональные возможность Indeed PAM в части записи действий подрядчиков позволяют объективно оценить эффективность их работы и соответствие заявленным требованиям (SLA).

Применение

Запись действий и оценка качества работы

PAM-система поддерживает функционал записи действий - подрядчиков для последующего аудита действий пользователей. Основные принципы функционирования построены таким образом, чтоб исключить возможность подключения привилегированных пользователей (подрядчиков) в обход системы. Дополнительно, платформа Indeed PAM может использовать опубликованные приложения для поддержки иных проприетарных протоколов.

В Indeed PAM имеется следующий функционал записи сессий:

  • Текстовая запись;
  • Видеозапись;
  • Кейлоггер;
  • Контроль передачи файлов;
  • Контроль вводимых команд;
  • Метаданные подключений.

Использую записи сессий можно сформировать объективную оценку того, насколько подрядчики выполняют заявленные требования качества и объема работ (SLA). Что, в свою очередь, позволяет: оплачивать только тот объем услуг, которые явно оказаны; оценивать компетентность специалистов, оказывающих услуги.

Ограниченный доступ по расписанию и согласованию

Не секрет, что доступ подрядчиков к компонентам ИТ-инфраструктуры явно должен учитывать более строгие требования, чем доступ собственных сотрудников

Механизмы Indeed PAM предоставляют широкие возможности по управлению доступом привилегированных пользователей к целевым ресурсам. Однако, одними из ключевых правил управления привилегированным доступом в отношении подрядчиков являются следующие:

  • Доступ по расписанию;
  • Временный доступ;
  • Доступ по согласованию.

Используя указанные настройки можно заранее настроить права доступа с максимальными ограничениями, исключающими вероятность нарушения работы ресурса подрядчиками.

Легализация удаленного доступа к критичным ресурсам

В ряде случаев, компании обоснованно опасаются предоставлять удаленный доступ из вне к наиболее критичным ресурсам ИТ-инфраструктуры. В первую очередь это сделано из соображений безопасности, т.к. такие подключения практически невозможно контролировать

Indeed PAM предоставляет функциональные возможности для мониторинга действия пользователей - подрядчиков, в т.ч. в режиме реального времени В совокупности с механизмами защиты удаленного доступа с помощью двухфакторной аутентификации и возможностью фильтрации вводимых команд, данный механизм позволяет максимально обезопасить удаленный доступ к критичным ресурсам для внешних сотрудников.

Наличие фиксации действий позволяет в любой момент времени провести аудит действий подрядчиков со стороны специалистов, а не только в момент их работы. Дополнительно, данные функциональные возможности позволяют в ряде случаев убрать требования локального присутствия специалистов подрядчика на площадке.

Контроль работы аудиторов

Платформа Indeed PAM, фактически, позволяет контролировать любую категорию пользователей, в т.ч. такую специфическую, как аудиторы. Аудиторы - это внешние специалисты, которые нанимаются для выполнения следующих задач:

  • Контроль отчетности и транзакций в финансовых приложениях;
  • Контроль функционирования средств защиты информации и осуществление внутреннего тестирования на проникновение;
  • Контроль функционирования иных ИТ-средств;
  • Анализ организационно-распорядительной и иной документации.

Деятельность аудитора, направлена, в первую очередь, на анализ, а не на активное воздействие на ИТ-инфраструктуру (исключая некоторые сценарии тестирования на проникновение). Однако, компании может быть полезно понимать, что именно и как проверяют аудиторы. В особенности, это актуально, если аудиторская проверка не пройдена - для работы над ошибками и устранения неявных замечаний

Контроль работы разработчиков

PAM-система предоставляет возможность контроля действий сторонних разработчиков внутреннего программного обеспечения и веб-ресурсов. Зачастую, уровень кода является самым приоритетным для реализации вредоносной активности. Учитывая объемы написанного кода, отсутствие специализированных внутренних средств для анализа кода и контроля версий, злоумышленник может без особых проблем внести вредоносный или опасный код в корпоративное приложение.

Однако, инструменты фиксации и последующего анализа внесенных изменений позволяют проанализировать новые внесенные изменения на предмет наличия негативной активности и своевременно принять меры для нейтрализации этого воздействия

Экономия средств

Ключевым преимуществом использования Indeed PAM является потенциальная экономия финансовых средств и времени на работе подрядчиков. В первую очередь, широкий функционал записи сессий позволяет оценить, насколько реальный объем и качество работ соответствуют заявленным требованиям (SLA). Применение выгрузок из PAM-системы позволяет платить только за тот объем работ, который реально был исполнен. Более того, записи можно передать сторонним специалистам для анализа компетентности специалистов подрядчика, ведь низкий уровень компетентности, в первую очередь, влияет на стабильность работы ресурса и на объем трудозатрат со стороны подрядчика.

Далее, инструменты организации контролируемого удаленного доступа и мониторинг активности пользователей - подрядчиков позволяют минимизировать потенциальный вред от удаленной неконтролируемой работы, что, в свою очередь, делает избыточным требование по локальному присутствию специалистов подрядчика (их действия могут контролироваться вручную и автоматически в режиме онлайн). Что, в свою очередь, позволяет сэкономить финансы на транспортные расходы исполнителя.

Технические характеристики

Поддерживаемые протоколы:

  • RDP;
  • SSH;
  • HTTP(s);

Любые иные проприетарные протоколы с помощью публикации соответствующих приложений.

Функции записи действий:

  • Видеозапись сессий с возможностью настройки качества видео
  • Текстовая запись сессий
  • Периодическое снятие скриншотов сессий с возможностью настройки качества изображений
  • Поддерживаемые протоколы: RDP, SSH, опубликованный web и толстые клиенты
  • Теневое копирование файлов

Поддерживаемые каталоги пользователей:

  • Active Directory.

Технологии двухфакторной аутентификации:

  • Пароль + TOTP (одноразовый пароль - программный генератор);

Технологии удаленного доступа:

  • RemoteApp (Microsoft Remote Desktop Server);
  • SSH Proxy.

отзывы клиентов

Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее

Получить консультацию

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

связаться с нами

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по аутентификации пользователей

Николай Лазицкий

Эксперт по управлению цифровыми сертификатами

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями
связаться с нами

другие решения

Защита привилегированных учетных записей
Аудит работы администраторов
Удаленный доступ привилегированных пользователей
Контроль доступа подрядчиков