Аудит работы
администраторов

Получить решение

Описание решения

В современном мире наблюдается тенденция на цифровизацию бизнес-процессов компаний. Цифровая экономика, автоматизация и информатизация дает большие преимущества компании в части:

  • оперативности функционирования;
  • эффективности принятия решений;
  • выхода на новые рынки;
  • повышения качества услуг;
  • и т.д.

В это же время, эффективность функционирования ИТ-инфраструктуры и корпоративных ИТ-сервисов зависит от качества работы системных администраторов и иных привилегированных пользователей. Они обладают широкими полномочиями и напрямую влияют на корректное функционирование различных информационных систем и бизнес-процессов компании. При этом, привилегированные полномочия выданы в соответствии с должностными обязанностями соответствующих сотрудников.

Но выданные широкие полномочия являются источником потенциальной опасности. Даже если исключить злонамеренные действия, взломы и явный саботаж, остается достаточно большое количество инцидентов, связанные с т.н. "человеческим фактором".

К примеру, возможна ситуация, когда сотрудник совершил ряд непредумышленных ошибок, приведших к выходу из строя какого-либо сервера. Независимо от того, как быстро была решена проблема, руководство должно разобраться, что стало причиной отказа в функционировании.

Иные решения информационной безопасности, имеющие функционал для мониторинга активности пользователей, зачастую, работают либо на уровне рабочей станции сотрудника, либо находятся на выделенном сервере и отвечают за сбор и анализ происходящих в ИТ-инфраструктуре событий.

Однако, при возникновении задачи контроля действий привилегированных пользователей, такие решения не подходят из-за целого ряда ограничений их работы. К примеру, если сервер недоступен, нет возможности получить с него журналы и отдать их на анализ. Администрируемый ресурс может находится на сервере со специфической операционной системой, куда невозможно установить дополнительное ПО для мониторинга. Привилегированный пользователь может быть сотрудником другой организации и подключаться к критичным ресурсам либо со своего личного устройства, либо с устройства другой организации, что затрудняет установку на его рабочую станцию ПО для записи действий пользователя на компьютере.

Все упомянутые сценарии делают невозможным полноценный аудит действий пользователей, если мы говорим именно о привилегированных пользователей. Наличие проблем с реализацией полноценного мониторинга действий пользователей, обладающих особыми привилегиями, создает угрозы безопасности компании. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).

Применение подобных программных комплексов позволит создать систему контроля действий администраторов.

Использование PAM-системы позволяет создать полномасштабную систему контроля администраторов и, в частности, позволяет получить полную запись действий пользователя на компьютере, когда он реализует свои привилегированные права. При этом, особенности архитектуры PAM-системы нейтрализуют ограничения, связанные со спецификой работы привилегированных пользователей.

Платформа Indeed PAM работает между рабочей станцией и целевым ресурсом. При такой схеме функционирования неважны особенности рабочей станции и целевого ресурса. Благодаря такой схеме реализации, возможно осуществлять отслеживание действий пользователей, при любых активностях практически на любых видах целевых ресурсов.

При работе привилегированного пользователя через Indeed PAM осуществляется фиксация действий в разных форматах:

  • Видеозапись (открываемые окна, осуществляемые действия, движения мыши);
  • Текстовая запись (команды, запускаемые процессы);
  • Передача файлов;
  • Нажатия клавиш;
  • И т.д.

Все записи хранятся в едином хранилище Indeed PAM, который хранится отдельно от журналов целевых ресурсов. Более того, платформа Indeed PAM позволяет воздействовать на административную сессию и на действия пользователей вручную или автоматически, к примеру, разорвать сессию при вводе администратором "опасной" команды.

В случае выхода целевого ресурса из строя - всегда можно оперативно восстановить картину событий: понять причину выхода из строя ресурса и кто ответственен за произошедший сбой. А это, в свою очередь, помогает оперативно локализовать инцидент, сэкономить ресурсы и сохранить репутацию.

Мониторинг в режиме реального времени

Платформа Indeed PAM позволяет осуществлять мониторинг действий администраторов в режиме реального времени. При этом, поддерживается масштабирование и мониторинг одновременно работающих администраторов.

Данный функционал включает в себя возможность просматривать любую активную сессию из консоли администратора PAM. Если администратор PAM увидит подозрительные, либо сомнительные действия - он может вручную разорвать сессию и, после, заблокировать этого привилегированного пользователя до разрешения ситуации.

Мониторинг в режиме реального времени может быть очень полезен при удаленной работе с критическими ресурсами и системами. С помощью Indeed PAM больше нет необходимости переплачивать за транспортные расходы удалённых привилегированных пользователей, чтобы они работали локально на площадке и была возможность визуально наблюдать их работу. Удалённый сотрудник может подключиться к критическому ресурсу в любой момент, когда это будет нужно и, при этом, все его действия будут зафиксированы.

Журнал сессий

Единое централизованное хранилище информации и записей привилегированных сессий Indeed PAM позволяет решить проблему сложности получения детальных сведений об инциденте с поврежденного ресурса. Все действия привилегированных пользователей, поставленных под контроль, зафиксированы в журнале событий.

Важным дополнением является также возможность включения в Indeed PAM двухфакторной аутентификации. Что, с одной стороны, вводит дополнительный уровень защиты для удаленных подключений, а с другой - делает практически невозможной ситуацию отказа привилегированных пользователей от "авторства" своих действий.

По каждой административной сессии можно получить информацию о времени подключения, длительности, имени пользователе, целевом ресурсе. В журнале Indeed PAM имеется инструмент для поиска сессий по конкретным признакам.

Все эти возможности позволяют не только оперативно разобраться в практически любой ситуации, но и использовать записи сессий для иных задач: контроль рабочего времени, разбор ошибок, что особенно актуально для новых сотрудников.

Видео и текстовая запись

Платформа Indeed PAM записывает все действия привилегированных пользователей как в видео, так и в текстовом формате.

В процессе работы привилегированных пользователей их действия могут привести к сбою, к ухудшению качества работы целевого ресурса, каким-либо нарушениям работы приложения. Качество работы привилегированных пользователей может отличаться от заявленного. Причем, в основном, в худшую сторону. Использование решений класса Employee-Monitoring Products and Services (EMPS), предназначенных для оценки эффективности рабочего времени сотрудников и осуществляющих запись действий, имеет существенные ограничения при их использовании для контроля привилегированных пользователей:

  • Агент EMPS может быть отключен или удален привилегированным пользователей со своей рабочей станции или сервера;
  • Целевые ресурсы могут не поддерживать установку дополнительного ПО (в первую очередь это касается устройств);
  • Привилегированный пользователь может работать в другой организации (подрядчик) или использовать личное устройство для подключения к целевому ресурса, что делает невозможным установку агента EMPS.

При использовании Indeed PAM, в случае возникновения внештатной ситуации или необходимости более глубокого анализа работы привилегированных пользователей можно поднять все записи и передать их ответственным сотрудникам для последующего принятия решения и организационных выводов.

Контроль передаваемых файлов

PAM-система поддерживает возможность фиксации факта передачи файлов и их теневого копирования в базу PAM. Это может быть полезно, т.к. в рамках административной сессии может возникнуть необходимость передать на сервер или скачать с него определенный файл или документ.

Передача файлов в таких случаях зачастую осуществляется с помощью стандартного функционала административных протоколов. Тот же протокол RDP позволяет удаленно подсоединить логический диск к целевой системе в рамках терминальной сессии. К примеру, это может быть загрузка на сервер обновлений, или, наоборот, выгрузка отчетов или конфигурационных файлов с сервера.

Фиксация факта передачи файлов и их теневое копирование позволяет понять, какого рода информация была передана и насколько она критична для организации.

Блокировка команд и управление привилегиями

Платформа Indeed PAM может осуществлять контроль вводимых команд в административной сессии.

В ряде случаев, сложно предсказать какие действия могут привести к сбою целевого ресурса, либо к нарушению корректной работы бизнес-сервиса. В иных случаях, часть действий могут вызвать сбой или несовместимость в будущем. К примеру, это может быть обновление ПО или ОС на сервере.

Реакция на выявленные команды сводится к двум действиям:

  • Разрыв сессии для предотвращения передачи команды и сбоя;
  • Уведомление ответственного администратора или владельца ресурса о произошедшем событии.

После выявления "опасной" команды в потоке возможна последующая блокировка привилегированного пользователя или самого доступа к целевому ресурсу. Фильтрация команд может осуществляться в двух режимах:

  • Список запрещенных команд - "все, что явно не запрещено - разрешено";
  • Список разрешенных команд - "все, что явно не разрешено - запрещено".

Последний случай позволяет управлять полномочиями привилегированных пользователей через разрешение заранее определенных действий.

Уведомления пользователей и интеграция с системами мониторинга

PAM-система позволяет отправлять уведомления о критичных или важных событиях ответственным лицам: администраторам, руководству, пользователям. Отправка уведомлений осуществляется на SMTP-сервер. Перечень событий для отправки уведомлений может настраиваться.

Платформа Indeed PAM поддерживает интеграцию с продуктами класса Security information and event management (SIEM) через отправку событий по протоколу syslog.

Интеграция с SIEM позволяет, к примеру, сформировать правила обработки и корреляции событий, которые будут выявлять подключения к критичным ресурсам в обход PAM (на ресурсе событие зафиксировано, на PAM - нет). В случае сбоя или выхода из строя ресурса - в SIEM будет отображено, какие сотрудники работали с ресурсом в момент сбоя, даже если сам ресурс не успел передать журналы в SIEM.

Расследование инцидентов

При расследовании инцидентов информационной безопасности, связанных с действиями привилегированных пользователей, может быть недостаточно аналитики и исходных метаданных. Они не всегда позволяют установить истинные причины сбоя, оперативно локализовать инцидент и принять меры для недопущения подобной ситуации в будущем. Также недостаток данных требует гораздо больше времени для расследования и снижает его качество. При использовании Indeed PAM расследование можно свести к следующим шагам:

  • Обнаружен инцидент, связанный с привилегированным доступом
  • Готовится выборка записей административных сессий, связанных с этим инцидентом
  • Осуществляется просмотр и анализ этих записей
  • Формируется полная картина инцидента (включая последовательность действий, которая привела к сбою)
  • Выявленная "опасная" последовательность действий вносится в соответствующий документ, либо вносятся корректировки в инструкции
  • Принимаются меры по восстановлению ресурса
  • Принимаются меры к ответственному за инцидент

Описанная функциональная возможность позволяет существенно сократить время реагирования на инциденты, что не только повышает производительность труда, но и позволяет сэкономить ресурсы.

Необоснованные обвинения сотрудников

После выхода из строя критичного ресурса возможна ситуация необоснованного обвинения невиновного сотрудника по косвенным признакам (подключался к ресурсу в примерное время инцидента), из-за чего компания может потерять перспективного специалиста и что ухудшает "рабочую атмосферу" в коллективе. Возможности Indeed PAM позволяет однозначно установить ответственного за сбой и степень умышленности, с помощью анализа соответствующих записей действий (видео, текст, команды, переданные файлы, время подключения, протокол/приложение, и т.д.).

При использовании PAM-системы, порядочным и ответственным сотрудникам нечего опасаться, т.к. даже если они ответственны за инцидент, но сделали это непредумышленно (а вероятность ошибок всегда присутствует) - они могут рассчитывать на объективную оценку их действий.

Функции записи действий:

  • Видеозапись сессий с возможностью настройки качества видео
  • Текстовая запись сессий
  • Периодическое снятие скриншотов сессий с возможностью настройки качества изображений
  • Поддерживаемые протоколы: RDP, SSH, опубликованный web и толстые клиенты
  • Теневое копирование файлов

Сведения, содержащиеся в журнале сессий:

  • Время подключения
  • Привилегированный пользователь
  • Использованная учётная запись
  • Целевой ресурс
  • Тип подключения: протокол, приложение
  • Длительность подключения
  • Состояние соединения: активное, прерванное, завершенное

Блокировка текстовых команд. Режимы:

  • Списки запрещенных команд;
  • Списки разрешенных команд.

Блокировка текстовых команд. Поддерживаемые протоколы:

  • SSH

Контроль передачи файлов. Поддерживаемые протоколы:

  • RDP. Удаленное подключение (проброс) логического диска.

Уведомления и передача событий. Протоколы:

  • SMTP;
  • syslog.

отзывы клиентов

Получить консультацию

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по аутентификации пользователей

Николай Лазицкий

Эксперт по управлению цифровыми сертификатами

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями

другие решения