Описание решения
Задача
В современном мире наблюдается тенденция на цифровизацию бизнес-процессов компаний. Цифровая экономика, автоматизация и информатизация дает большие преимущества компании в части:
- оперативности функционирования;
- эффективности принятия решений;
- выхода на новые рынки;
- повышения качества услуг;
- и т.д.
В это же время, эффективность функционирования ИТ-инфраструктуры и корпоративных ИТ-сервисов зависит от качества работы системных администраторов и иных привилегированных пользователей. Они обладают широкими полномочиями и напрямую влияют на корректное функционирование различных информационных систем и бизнес-процессов компании. При этом, привилегированные полномочия выданы в соответствии с должностными обязанностями соответствующих сотрудников.
Но выданные широкие полномочия являются источником потенциальной опасности. Даже если исключить злонамеренные действия, взломы и явный саботаж, остается достаточно большое количество инцидентов, связанные с т.н. "человеческим фактором".
К примеру, возможна ситуация, когда сотрудник совершил ряд непредумышленных ошибок, приведших к выходу из строя какого-либо сервера. Независимо от того, как быстро была решена проблема, руководство должно разобраться, что стало причиной отказа в функционировании.
Иные решения информационной безопасности, имеющие функционал для мониторинга активности пользователей, зачастую, работают либо на уровне рабочей станции сотрудника, либо находятся на выделенном сервере и отвечают за сбор и анализ происходящих в ИТ-инфраструктуре событий.
Однако, при возникновении задачи контроля действий привилегированных пользователей, такие решения не подходят из-за целого ряда ограничений их работы. К примеру, если сервер недоступен, нет возможности получить с него журналы и отдать их на анализ. Администрируемый ресурс может находится на сервере со специфической операционной системой, куда невозможно установить дополнительное ПО для мониторинга. Привилегированный пользователь может быть сотрудником другой организации и подключаться к критичным ресурсам либо со своего личного устройства, либо с устройства другой организации, что затрудняет установку на его рабочую станцию ПО для записи действий пользователя на компьютере.
Все упомянутые сценарии делают невозможным полноценный аудит действий пользователей, если мы говорим именно о привилегированных пользователей. Наличие проблем с реализацией полноценного мониторинга действий пользователей, обладающих особыми привилегиями, создает угрозы безопасности компании. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).
Применение подобных программных комплексов позволит создать систему контроля действий администраторов.
Решение
Использование PAM-системы позволяет создать полномасштабную систему контроля администраторов и, в частности, позволяет получить полную запись действий пользователя на компьютере, когда он реализует свои привилегированные права. При этом, особенности архитектуры PAM-системы нейтрализуют ограничения, связанные со спецификой работы привилегированных пользователей.
Платформа Indeed PAM работает между рабочей станцией и целевым ресурсом. При такой схеме функционирования неважны особенности рабочей станции и целевого ресурса. Благодаря такой схеме реализации, возможно осуществлять отслеживание действий пользователей, при любых активностях практически на любых видах целевых ресурсов.
При работе привилегированного пользователя через Indeed PAM осуществляется фиксация действий в разных форматах:
- Видеозапись (открываемые окна, осуществляемые действия, движения мыши);
- Текстовая запись (команды, запускаемые процессы);
- Передача файлов;
- Нажатия клавиш;
- И т.д.
Все записи хранятся в едином хранилище Indeed PAM, который хранится отдельно от журналов целевых ресурсов. Более того, платформа Indeed PAM позволяет воздействовать на административную сессию и на действия пользователей вручную или автоматически, к примеру, разорвать сессию при вводе администратором "опасной" команды.
В случае выхода целевого ресурса из строя - всегда можно оперативно восстановить картину событий: понять причину выхода из строя ресурса и кто ответственен за произошедший сбой. А это, в свою очередь, помогает оперативно локализовать инцидент, сэкономить ресурсы и сохранить репутацию.
Приминение
Мониторинг в режиме реального времени
Платформа Indeed PAM позволяет осуществлять мониторинг действий администраторов в режиме реального времени. При этом, поддерживается масштабирование и мониторинг одновременно работающих администраторов.
Данный функционал включает в себя возможность просматривать любую активную сессию из консоли администратора PAM. Если администратор PAM увидит подозрительные, либо сомнительные действия - он может вручную разорвать сессию и, после, заблокировать этого привилегированного пользователя до разрешения ситуации.
Мониторинг в режиме реального времени может быть очень полезен при удаленной работе с критическими ресурсами и системами. С помощью Indeed PAM больше нет необходимости переплачивать за транспортные расходы удалённых привилегированных пользователей, чтобы они работали локально на площадке и была возможность визуально наблюдать их работу. Удалённый сотрудник может подключиться к критическому ресурсу в любой момент, когда это будет нужно и, при этом, все его действия будут зафиксированы.
Журнал сессий
Единое централизованное хранилище информации и записей привилегированных сессий Indeed PAM позволяет решить проблему сложности получения детальных сведений об инциденте с поврежденного ресурса. Все действия привилегированных пользователей, поставленных под контроль, зафиксированы в журнале событий.
Важным дополнением является также возможность включения в Indeed PAM двухфакторной аутентификации. Что, с одной стороны, вводит дополнительный уровень защиты для удаленных подключений, а с другой - делает практически невозможной ситуацию отказа привилегированных пользователей от "авторства" своих действий.
По каждой административной сессии можно получить информацию о времени подключения, длительности, имени пользователе, целевом ресурсе. В журнале Indeed PAM имеется инструмент для поиска сессий по конкретным признакам.
Все эти возможности позволяют не только оперативно разобраться в практически любой ситуации, но и использовать записи сессий для иных задач: контроль рабочего времени, разбор ошибок, что особенно актуально для новых сотрудников.
Видео и текстовая запись
Платформа Indeed PAM записывает все действия привилегированных пользователей как в видео, так и в текстовом формате.
В процессе работы привилегированных пользователей их действия могут привести к сбою, к ухудшению качества работы целевого ресурса, каким-либо нарушениям работы приложения. Качество работы привилегированных пользователей может отличаться от заявленного. Причем, в основном, в худшую сторону. Использование решений класса Employee-Monitoring Products and Services (EMPS), предназначенных для оценки эффективности рабочего времени сотрудников и осуществляющих запись действий, имеет существенные ограничения при их использовании для контроля привилегированных пользователей:
- Агент EMPS может быть отключен или удален привилегированным пользователей со своей рабочей станции или сервера;
- Целевые ресурсы могут не поддерживать установку дополнительного ПО (в первую очередь это касается устройств);
- Привилегированный пользователь может работать в другой организации (подрядчик) или использовать личное устройство для подключения к целевому ресурса, что делает невозможным установку агента EMPS.
При использовании Indeed PAM, в случае возникновения внештатной ситуации или необходимости более глубокого анализа работы привилегированных пользователей можно поднять все записи и передать их ответственным сотрудникам для последующего принятия решения и организационных выводов.
Контроль передаваемых файлов
PAM-система поддерживает возможность фиксации факта передачи файлов и их теневого копирования в базу PAM. Это может быть полезно, т.к. в рамках административной сессии может возникнуть необходимость передать на сервер или скачать с него определенный файл или документ.
Передача файлов в таких случаях зачастую осуществляется с помощью стандартного функционала административных протоколов. Тот же протокол RDP позволяет удаленно подсоединить логический диск к целевой системе в рамках терминальной сессии. К примеру, это может быть загрузка на сервер обновлений, или, наоборот, выгрузка отчетов или конфигурационных файлов с сервера.
Фиксация факта передачи файлов и их теневое копирование позволяет понять, какого рода информация была передана и насколько она критична для организации.
Блокировка команд и управление привилегиями
Платформа Indeed PAM может осуществлять контроль вводимых команд в административной сессии.
В ряде случаев, сложно предсказать какие действия могут привести к сбою целевого ресурса, либо к нарушению корректной работы бизнес-сервиса. В иных случаях, часть действий могут вызвать сбой или несовместимость в будущем. К примеру, это может быть обновление ПО или ОС на сервере.
Реакция на выявленные команды сводится к двум действиям:
- Разрыв сессии для предотвращения передачи команды и сбоя;
- Уведомление ответственного администратора или владельца ресурса о произошедшем событии.
После выявления "опасной" команды в потоке возможна последующая блокировка привилегированного пользователя или самого доступа к целевому ресурсу. Фильтрация команд может осуществляться в двух режимах:
- Список запрещенных команд - "все, что явно не запрещено - разрешено";
- Список разрешенных команд - "все, что явно не разрешено - запрещено".
Последний случай позволяет управлять полномочиями привилегированных пользователей через разрешение заранее определенных действий.
Уведомления пользователей и интеграция с системами мониторинга
PAM-система позволяет отправлять уведомления о критичных или важных событиях ответственным лицам: администраторам, руководству, пользователям. Отправка уведомлений осуществляется на SMTP-сервер. Перечень событий для отправки уведомлений может настраиваться.
Платформа Indeed PAM поддерживает интеграцию с продуктами класса Security information and event management (SIEM) через отправку событий по протоколу syslog.
Интеграция с SIEM позволяет, к примеру, сформировать правила обработки и корреляции событий, которые будут выявлять подключения к критичным ресурсам в обход PAM (на ресурсе событие зафиксировано, на PAM - нет). В случае сбоя или выхода из строя ресурса - в SIEM будет отображено, какие сотрудники работали с ресурсом в момент сбоя, даже если сам ресурс не успел передать журналы в SIEM.
Расследование инцидентов
При расследовании инцидентов информационной безопасности, связанных с действиями привилегированных пользователей, может быть недостаточно аналитики и исходных метаданных. Они не всегда позволяют установить истинные причины сбоя, оперативно локализовать инцидент и принять меры для недопущения подобной ситуации в будущем. Также недостаток данных требует гораздо больше времени для расследования и снижает его качество. При использовании Indeed PAM расследование можно свести к следующим шагам:
- Обнаружен инцидент, связанный с привилегированным доступом
- Готовится выборка записей административных сессий, связанных с этим инцидентом
- Осуществляется просмотр и анализ этих записей
- Формируется полная картина инцидента (включая последовательность действий, которая привела к сбою)
- Выявленная "опасная" последовательность действий вносится в соответствующий документ, либо вносятся корректировки в инструкции
- Принимаются меры по восстановлению ресурса
- Принимаются меры к ответственному за инцидент
Описанная функциональная возможность позволяет существенно сократить время реагирования на инциденты, что не только повышает производительность труда, но и позволяет сэкономить ресурсы.
Необоснованные обвинения сотрудников
После выхода из строя критичного ресурса возможна ситуация необоснованного обвинения невиновного сотрудника по косвенным признакам (подключался к ресурсу в примерное время инцидента), из-за чего компания может потерять перспективного специалиста и что ухудшает "рабочую атмосферу" в коллективе. Возможности Indeed PAM позволяет однозначно установить ответственного за сбой и степень умышленности, с помощью анализа соответствующих записей действий (видео, текст, команды, переданные файлы, время подключения, протокол/приложение, и т.д.).
При использовании PAM-системы, порядочным и ответственным сотрудникам нечего опасаться, т.к. даже если они ответственны за инцидент, но сделали это непредумышленно (а вероятность ошибок всегда присутствует) - они могут рассчитывать на объективную оценку их действий.
Технические характеристики
Функции записи действий:
- Видеозапись сессий с возможностью настройки качества видео
- Текстовая запись сессий
- Периодическое снятие скриншотов сессий с возможностью настройки качества изображений
- Поддерживаемые протоколы: RDP, SSH, опубликованный web и толстые клиенты
- Теневое копирование файлов
Сведения, содержащиеся в журнале сессий:
- Время подключения
- Привилегированный пользователь
- Использованная учётная запись
- Целевой ресурс
- Тип подключения: протокол, приложение
- Длительность подключения
- Состояние соединения: активное, прерванное, завершенное
Блокировка текстовых команд. Режимы:
- Списки запрещенных команд;
- Списки разрешенных команд.
Блокировка текстовых команд. Поддерживаемые протоколы:
- SSH
Контроль передачи файлов. Поддерживаемые протоколы:
- RDP. Удаленное подключение (проброс) логического диска.
Уведомления и передача событий. Протоколы:
- SMTP;
- syslog.