Контролируемый доступ
подрядчиков
в инфраструктуру компании

Решение на основе Indeed PAM создает временный и безопасный доступ внештатного пользователя в ИТ-системы компании

Запланировать демонстрацию

Описание решения

Задача

Сегодня практически невозможно представить компанию, которая при решении задач не пользуется услугами сторонних исполнителей. Никого не удивляет найм внешней службы клининга для уборки помещений, передачи части бухгалтерских расчётов на аутсорсинг.

Не говоря уже о типовой задаче развёртывания и настройки компонентов в ИТ-инфраструктуре. В некоторых случаях решение группы задач может быть полностью передано сторонней организации.

После приобретения ИТ-продукта для получения услуг технической поддержки может возникнуть необходимость предоставления удаленного доступа специалистам компании-разработчика.

Несмотря на то, что обычно допустимы только локальные работы, иногда может возникнуть необходимость оперативно предоставить удаленный доступ подрядчику на удаленную площадку. Это происходит в случае серьёзного сбоя, когда у организации нет времени ждать представителя заказчика (не говоря уже о логистических сложностях приезда в труднодоступные географические точки).

Также организация может привлечь аудиторов, которые, к примеру, будут оценивать работу и состояние финансовых приложений (включая отчётность в них) или проводить оценку работы компонентов ИТ-инфраструктуры.

Все вышеописанные ситуации объединены рядом потенциальных угроз безопасности:

  • Ограниченные возможности по контролю действий привилегированных пользователей - подрядчиков, даже если они находятся на площадке локально (нужно выделять сотрудника, чтоб он наблюдал за действиями подрядчика на все время работы)
  • Ограниченные возможности по применению средств для записи действий пользователя на компьютере, если это внешние сотрудники, из-за специфики целевых ресурсов
  • Ограниченные возможности по применению средств для записи действий пользователя на компьютере (если это внешние сотрудники) из-за специфики целевых ресурсов
  • Для крупных компаний - большое количество одновременно работающих с компонентами ИТ-инфраструктуры неконтролируемых сторонних исполнителей
  • Невозможность оценки потенциального воздействия от внесенных изменений
  • Отсутствие возможности оценки соответствия между заявленными изменениями, критичными с точки зрения ИБ, и реальными
  • Непонимание действий, специалистов, проводящих аудит ИТ-инфраструктуры и аудит работы приложений
  • Возможность внесения "логических бомб" и иных негативных элементов в код приложений и веб-приложений
  • Риск несанкционированных подключений подрядчиков, обладающих административными полномочиями к целевым серверам и приложениям
  • Несанкционированное предоставление удаленного доступа со стороны сотрудников, обладающих привилегированными правами, но не относящихся к отделу сетевой, либо информационной безопасности
  • Кража или несанкционированная передача привилегированных учетных данных для удаленного доступа к критичным ресурсам
  • Неконтролируемая, а, значит, потенциально опасная ИТ-среда компании-исполнителя, из которой реализуется удаленный привилегированный доступ

Кроме того, имеются риски иного рода:

  • Невозможность объективной оценки соответствия имеющихся работ заявленным требованиям и объему;
  • Необходимость затрат времени и финансов для оплаты проезда подрядчиков на локальные площадки;
  • Конфликтные ситуации между подрядчиками и подразделениями ИТ/ИБ в случае сбоя;
  • Потери времени и финансов при сбое на удаленной площадке, расположенной в труднодоступной местности.

Риски и угрозы, связанные с доступом к привилегированным ресурсам усугубляются, когда речь заходит о предоставлении привилегированного доступа сотрудникам сторонних организаций. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).

Применение подобных программных комплексов позволит структурировать процесс контроля деятельности подрядчиков и сотрудников сторонних организаций, при их работе с ресурсами ИТ-инфраструктуры компании.

Решение

С целью повышения качества управления и контроля действий сторонних исполнителей, снижения уровня угроз информационной безопасности, экономии финансов и времени необходимо использование системы контроля действий администраторов для управления доступом и отслеживания действий пользователей - подрядчиков.

Платформа Indeed PAM реализует Единую точку подключения всех сторонних сотрудников с дополнительными функциями:

  • Видео- и текстовая запись действий подрядчиков
  • Контроль передачи файлов и вводимых команд
  • Инструменты мониторинга действий подрядчиков в режиме реального времени
  • Управление паролями и защищенное хранилище привилегированных учётных записей от целевых ресурсов
  • Единый инструмент управления правами доступом вида “пользователь-ресурс”
  • Поддержка протоколов RDP, SSH, HTTP(S)
  • Поддержка запуска опубликованных приложений по протоколу RemoteApp (Microsoft RDS)
  • Сквозная аутентификация в опубликованных приложениях
  • Двухфакторная аутентификация для повышения уровня защиты
  • Доступ по расписанию и согласованию
Схема контроля сторонних пользователей

Через Indeed PAM можно контролировать следующие категории сторонних пользователей:

  • Подрядчики;
  • Сотрудники технической поддержки;
  • Аутсорсеры;
  • Аудиторы;
  • Разработчики;
  • И т.д.

Применение Indeed PAM для контроля действий внешних сотрудников позволяет снизить вероятность реализации угрозы от их работы в ИТ-инфраструктуре компании. Использование единого инструмента управления привилегированным доступом позволяет сэкономить трудозатраты собственных специалистов. Более того, функциональные возможности Indeed PAM в части записи действий подрядчиков позволяют объективно оценить эффективность их работы и соответствие заявленным требованиям (SLA).

Применение

Запись действий и оценка качества работы

PAM-система поддерживает функционал записи действий - подрядчиков для последующего аудита действий пользователей. Основные принципы функционирования построены таким образом, чтобы исключить возможность подключения привилегированных пользователей (подрядчиков) в обход системы.

Дополнительно платформа Indeed PAM может использовать опубликованные приложения для поддержки иных проприетарных протоколов.

В Indeed PAM имеется следующий функционал записи сессий:

  • Текстовая запись;
  • Видеозапись;
  • Кейлоггер;
  • Контроль передачи файлов;
  • Контроль вводимых команд;
  • Метаданные подключений.

Используя записи сессий, можно сформировать объективную оценку того, насколько подрядчики выполняют заявленные требования качества и объема работ (SLA). Это позволяет: оплачивать только тот объем услуг, которые явно оказаны; оценивать компетентность специалистов, оказывающих услуги.

Ограниченный доступ по расписанию и согласованию

Не секрет, что доступ подрядчиков к компонентам ИТ-инфраструктуры должен соответствовать более высоким требованиям, чем доступ собственных сотрудников.

Механизмы Indeed PAM предоставляют широкие возможности по управлению доступом привилегированных пользователей к целевым ресурсам. Одними из ключевых правил управления привилегированным доступом в отношении подрядчиков являются следующие:

  • Доступ по расписанию;
  • Временный доступ;
  • Доступ по согласованию.

Используя указанные настройки можно заранее настроить права доступа с максимальными ограничениями, исключающими вероятность нарушения работы ресурса подрядчиками.

Легализация удаленного доступа к критичным ресурсам

В ряде случаев компании обоснованно опасаются предоставлять удаленный доступ извне к наиболее критичным ресурсам ИТ-инфраструктуры. В первую очередь это сделано из соображений безопасности, т.к. такие подключения практически невозможно контролировать.

Indeed PAM предоставляет функциональные возможности для мониторинга действий пользователей - подрядчиков, в т.ч. в режиме реального времени.

В совокупности с механизмами защиты удаленного доступа с помощью двухфакторной аутентификации и возможностью фильтрации вводимых команд, данный механизм позволяет максимально обезопасить удаленный доступ к критичным ресурсам для внешних сотрудников.

Наличие фиксации действий позволяет не только в момент работы, но и в любой момент времени провести аудит действий подрядчиков со стороны специалистов. Дополнительно данные функциональные возможности позволяют при необходимости убрать требования локального присутствия специалистов подрядчика на площадке.

Контроль работы аудиторов

Платформа Indeed PAM позволяет контролировать любую категорию пользователей, в т.ч. такую специфическую, как аудиторы.

  • Контроль отчетности и транзакций в финансовых приложениях;
  • Контроль функционирования средств защиты информации и осуществление внутреннего тестирования на проникновение;
  • Контроль функционирования иных ИТ-средств;
  • Анализ организационно-распорядительной и иной документации.

Деятельность аудитора направлена в первую очередь на анализ, а не на активное воздействие на ИТ-инфраструктуру (исключая некоторые сценарии тестирования на проникновение). Однако компании должны следить за работой аудиторов. Это наиболее актуально, если проверка последних не пройдена и требуется устранить ошибки и неявные замечания.

Контроль работы разработчиков

PAM-система предоставляет возможность контроля действий сторонних разработчиков внутреннего программного обеспечения и веб-ресурсов. Зачастую уровень кода является самым приоритетным для реализации вредоносной активности. Учитывая объемы написанного кода, отсутствие специализированных внутренних средств для анализа кода и контроля версий, злоумышленник может без особых проблем внести вредоносный или опасный код в корпоративное приложение.

Инструменты фиксации и анализа внесенных изменений позволяют проанализировать последние на предмет наличия негативной активности и своевременно принять меры для нейтрализации этого воздействия.

Экономия средств

Ключевым преимуществом использования Indeed PAM является потенциальная экономия финансовых средств и времени в работе подрядчиков.

Широкие возможности записи сессий позволяет оценить, насколько реальный объем и качество работ соответствуют заявленным требованиям (SLA). Применение выгрузок из PAM-системы позволяет платить только за тот объем работ, который реально был исполнен. Более того, записи можно передать сторонним специалистам для анализа компетентности специалистов подрядчика, так как низкий уровень компетентности влияет на стабильность работы ресурса и на объем трудозатрат со стороны подрядчика.

Далее, инструменты организации контролируемого удаленного доступа и мониторинг активности пользователей - подрядчиков позволяют минимизировать потенциальный вред от удаленной неконтролируемой работы, что, в свою очередь, делает избыточным требование по локальному присутствию специалистов подрядчика (их действия могут контролироваться вручную и автоматически в режиме онлайн). Такой подход позволяет сэкономить финансы на транспортные расходы исполнителя.

Технические характеристики

Поддерживаемые протоколы:

  • RDP;
  • SSH;
  • HTTP(s);

Любые иные проприетарные протоколы с помощью публикации соответствующих приложений.

Функции записи действий:

  • Видеозапись сессий с возможностью настройки качества видео
  • Текстовая запись сессий
  • Периодическое снятие скриншотов сессий с возможностью настройки качества изображений
  • Поддерживаемые протоколы: RDP, SSH, опубликованный web и толстые клиенты
  • Теневое копирование файлов

Поддерживаемые каталоги пользователей:

  • Active Directory.

Технологии двухфакторной аутентификации:

  • Пароль + TOTP (одноразовый пароль - программный генератор);

Технологии удаленного доступа:

  • RemoteApp (Microsoft Remote Desktop Server);
  • SSH Proxy.

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

спросить эксперта

Антон Шлыков

Руководитель службы технической поддержки

Павел Голубничий

Эксперт по продукту Indeed PAM

Дмитрий Игнатьев

Эксперт по продукту Indeed PAM

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями
спросить эксперта

другие решения

Защита паролей привилегированных учетных записей
Запись действий и расследование инцидентов
Удаленный доступ администраторов к корпоративным ресурсам
Контролируемый доступ подрядчиков в инфраструктуру компании