Запись действий
и расследование
инцидентов

Решение на основе Indeed PAM фиксирует действия привилегированных пользователей для расследования инцидентов

Запланировать демонстрацию

Описание решения

Задача

В современном мире наблюдается тенденция к цифровизации бизнес-процессов. Цифровая экономика, автоматизация и информатизация дают большие преимущества компании в части:

  • оперативности функционирования;
  • эффективности принятия решений;
  • выхода на новые рынки;
  • повышения качества услуг;
  • и т.д.

В то же время эффективность функционирования ИТ-инфраструктуры и корпоративных ИТ-сервисов зависит от качества работы системных администраторов и иных привилегированных пользователей. Они обладают широкими полномочиями и напрямую влияют на корректное функционирование различных информационных систем и бизнес-процессов компании. При этом привилегированные полномочия выданы в соответствии с должностными обязанностями соответствующих сотрудников.

Но выданные широкие полномочия являются источником потенциальной опасности. Даже если исключить злонамеренные действия, взломы и явный саботаж, остается достаточно большое количество инцидентов, связанных с т.н. “человеческим фактором”.

К примеру, возможна ситуация, когда сотрудник совершил ряд непредумышленных ошибок, приведших к выходу из строя какого-либо сервера. Независимо от того, как быстро была решена проблема, руководство должно выяснить причину отказа в функционировании.

Иные решения информационной безопасности, имеющие функционал для мониторинга активности пользователей, зачастую работают либо на уровне рабочей станции сотрудника, либо находятся на выделенном сервере и отвечают за сбор и анализ происходящих в ИТ-инфраструктуре событий.

Однако, при возникновении задачи контроля действий привилегированных пользователей, такие решения не подходят из-за целого ряда ограничений их работы. К примеру, если сервер недоступен, нет возможности получить с него журналы и отдать их на анализ. Администрируемый ресурс может находится на сервере со специфической операционной системой, куда невозможно установить дополнительное ПО для мониторинга. Привилегированный пользователь может быть сотрудником другой организации и подключаться к критичным ресурсам либо со своего личного устройства, либо с устройства другой организации, что затрудняет установку на его рабочую станцию ПО для записи действий пользователя на компьютере.

Все упомянутые сценарии делают невозможным полноценный аудит действий привилегированных пользователей. Наличие проблем с реализацией полноценного мониторинга действий пользователей, обладающих особыми привилегиями, создает угрозы безопасности компании. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).

Применение подобных программных комплексов позволит создать систему контроля действий администраторов.

Решение

Использование PAM-системы позволяет создать полномасштабную систему контроля администраторов и, в частности, получить полную запись действий пользователя на компьютере, когда он реализует свои привилегированные права. При этом особенности архитектуры PAM-системы нейтрализуют ограничения, связанные со спецификой работы привилегированных пользователей.

Платформа Indeed PAM работает между рабочей станцией и целевым ресурсом. При такой схеме функционирования не важны особенности рабочей станции и целевого ресурса. Становится возможным отслеживание действий пользователей при любых активностях и практически на любых видах целевых ресурсов.

При работе привилегированного пользователя через Indeed PAM осуществляется фиксация действий в разных форматах:

  • Видеозапись (открываемые окна, осуществляемые действия, движения мыши);
  • Текстовая запись (команды, запускаемые процессы);
  • Передача файлов;
  • Нажатия клавиш;
  • И т.д.

Все записи хранятся в едином хранилище Indeed PAM, который содержится отдельно от журналов целевых ресурсов.

Более того, платформа Indeed PAM позволяет воздействовать на административную сессию и на действия пользователей вручную или автоматически, к примеру, разорвать сессию при вводе администратором “опасной” команды.

В случае выхода целевого ресурса из строя , всегда можно оперативно восстановить картину событий: определить причину сбоя и его инициатора. Это помогает оперативно локализовать инцидент, сэкономить ресурсы и сохранить репутацию.

Применение

Мониторинг в режиме реального времени

Платформа Indeed PAM позволяет осуществлять мониторинг действий администраторов в режиме реального времени. При этом, поддерживается масштабирование и мониторинг одновременно работающих администраторов.

Данный функционал включает в себя возможность просматривать любую активную сессию из консоли администратора PAM. Если администратор PAM увидит подозрительные либо сомнительные действия, - он сможет вручную разорвать сессию , а позднее и заблокировать этого привилегированного пользователя до разрешения ситуации.

Мониторинг в режиме реального времени может быть очень полезен при удаленной работе с критическими ресурсами и системами. С помощью Indeed PAM больше нет необходимости переплачивать за транспортные расходы удалённых привилегированных пользователей, чтобы была возможность визуально наблюдать их работу на площадке. Удалённый сотрудник может подключиться к критическому ресурсу в любой необходимый момент, а все его действия будут зафиксированы.

Журнал сессий

Единое централизованное хранилище информации и записей привилегированных сессий Indeed PAM позволяет решить проблему сложности получения детальных сведений об инциденте с поврежденного ресурса. Все действия привилегированных пользователей, поставленных под контроль, зафиксированы в журнале событий.

Важным дополнением является возможность включения в Indeed PAM двухфакторной аутентификации. Что, с одной стороны, вводит дополнительный уровень защиты для удаленных подключений, а с другой - делает практически невозможной ситуацию отказа привилегированных пользователей от “авторства” своих действий.

По каждой административной сессии можно получить информацию о времени подключения, длительности, имени пользователя , целевом ресурсе. В журнале Indeed PAM имеется инструмент для поиска сессий по конкретным признакам.

Все эти возможности позволяют не только оперативно разобраться в практически любой ситуации, но и использовать записи сессий для иных задач: контроль рабочего времени, разбор ошибок, что особенно актуально для новых сотрудников.

Видео и текстовая запись

Платформа Indeed PAM записывает все действия привилегированных пользователей как в видео, так и в текстовом формате.

В процессе работы привилегированных пользователей их действия могут привести к сбою, ухудшению качества работы целевого ресурса, нарушениям работы приложения. Качество работы привилегированных пользователей может отличаться от заявленного. Причем в основном- в худшую сторону.

Использование решений класса Employee-Monitoring Products and Services (EMPS), предназначенных для оценки эффективности рабочего времени сотрудников и осуществления записи действий, имеет существенные ограничения при их использовании для контроля привилегированных пользователей:

  • Агент EMPS может быть отключен или удален привилегированным пользователем со своей рабочей станции или сервера
  • Целевые ресурсы могут не поддерживать установку дополнительного ПО (в первую очередь это касается устройств)
  • Привилегированный пользователь может работать в другой организации (подрядчик) или использовать личное устройство для подключения к целевому ресурсу , что делает невозможным установку агента EMPS.

При использовании Indeed PAM, в случае возникновения внештатной ситуации или необходимости более глубокого анализа работы привилегированных пользователей можно поднять все записи и передать их ответственным сотрудникам для последующего принятия решения и организационных выводов.

Контроль передаваемых файлов

PAM-система поддерживает возможность фиксации факта передачи файлов и их теневого копирования в базу PAM. Это полезно, когда в рамках административной сессии возникает необходимость передать на сервер или скачать с него определенный файл или документ.

Передача файлов в таких случаях зачастую осуществляется с помощью стандартного функционала административных протоколов. Тот же протокол RDP позволяет удаленно подсоединить логический диск к целевой системе в рамках терминальной сессии. К примеру, это может быть загрузка на сервер обновлений, или, наоборот, выгрузка отчетов или конфигурационных файлов с сервера.

Фиксация факта передачи файлов и их теневое копирование позволяют понять, какого рода информация была передана и насколько она критична для организации.

Блокировка команд и управление привилегиями

Платформа Indeed PAM может осуществлять контроль вводимых команд в административной сессии.

Иногда сложно предсказать, какие действия могут привести к сбою целевого ресурса или к нарушению корректной работы бизнес-сервиса. В иных случаях часть действий могут вызвать сбой или несовместимость в будущем. К примеру, это может быть обновление ПО или ОС на сервере.

Реакция на выявленные команды сводится к двум действиям:

  • Разрыв сессии для предотвращения передачи команды и сбоя;
  • Уведомление ответственного администратора или владельца ресурса о произошедшем событии.

После выявления "опасной" команды в потоке возможна последующая блокировка привилегированного пользователя или самого доступа к целевому ресурсу. Фильтрация команд может осуществляться в двух режимах:

  • Список запрещенных команд - "все, что явно не запрещено - разрешено";
  • Список разрешенных команд - "все, что явно не разрешено - запрещено".

Последний случай позволяет управлять полномочиями привилегированных пользователей через разрешение заранее определенных действий.

Уведомления пользователей и интеграция с системами мониторинга

PAM-система позволяет отправлять уведомления о критичных или важных событиях ответственным лицам: администраторам, руководству, пользователям. Отправка уведомлений осуществляется на SMTP-сервер. Перечень событий для отправки уведомлений может настраиваться.

Платформа Indeed PAM поддерживает интеграцию с продуктами класса Security information and event management (SIEM) через отправку событий по протоколу syslog.

Интеграция с SIEM позволяет, к примеру, сформировать правила обработки и корреляции событий, которые будут выявлять подключения к критичным ресурсам в обход PAM (на ресурсе событие зафиксировано, на PAM - нет). В случае сбоя или выхода из строя ресурса - в SIEM будет отображено, какие сотрудники работали с ресурсом в момент сбоя, даже если сам ресурс не успел передать журналы в SIEM.

Расследование инцидентов

При расследовании инцидентов информационной безопасности, связанных с действиями привилегированных пользователей, может быть недостаточно аналитики и исходных метаданных. Они не всегда позволяют установить истинные причины сбоя, оперативно локализовать инцидент и принять меры для недопущения подобной ситуации в будущем. Также недостаток данных требует гораздо больше времени для расследования и снижает его качество. При использовании Indeed PAM расследование можно свести к следующим шагам:

  • Обнаружен инцидент, связанный с привилегированным доступом
  • Готовится выборка записей административных сессий, связанных с этим инцидентом
  • Осуществляется просмотр и анализ этих записей
  • Формируется полная картина инцидента (включая последовательность действий, которая привела к сбою)
  • Выявленная "опасная" последовательность действий вносится в соответствующий документ, либо вносятся корректировки в инструкции
  • Принимаются меры по восстановлению ресурса
  • Принимаются меры к ответственному за инцидент

Описанная функциональная возможность позволяет существенно сократить время реагирования на инциденты, что не только повышает производительность труда, но и позволяет сэкономить ресурсы.

Необоснованные обвинения сотрудников

После выхода из строя критичного ресурса возможна ситуация необоснованного обвинения невиновного сотрудника по косвенным признакам (подключался к ресурсу в примерное время инцидента), из-за чего компания может потерять перспективного специалиста, что, в свою очередь, ухудшает “рабочую атмосферу” в коллективе.

Возможности Indeed PAM позволяют однозначно установить ответственного за сбой и определить степень умышленности с помощью анализа соответствующих записей действий (видео, текст, команды, переданные файлы, время подключения, протокол/приложение и т.д.).

Используя РАМ-систему, порядочные и ответственные сотрудники могут рассчитывать на объективную оценку своих действий и, так как вероятность ошибок всегда присутствует, не опасаться за непредумышленный инцидент.

Технические характеристики

Функции записи действий:

  • Видеозапись сессий с возможностью настройки качества видео
  • Текстовая запись сессий
  • Периодическое снятие скриншотов сессий с возможностью настройки качества изображений
  • Поддерживаемые протоколы: RDP, SSH, опубликованный web и толстые клиенты
  • Теневое копирование файлов

Сведения, содержащиеся в журнале сессий:

  • Время подключения
  • Привилегированный пользователь
  • Использованная учётная запись
  • Целевой ресурс
  • Тип подключения: протокол, приложение
  • Длительность подключения
  • Состояние соединения: активное, прерванное, завершенное

Блокировка текстовых команд. Режимы:

  • Списки запрещенных команд;
  • Списки разрешенных команд.

Блокировка текстовых команд. Поддерживаемые протоколы:

  • SSH

Контроль передачи файлов. Поддерживаемые протоколы:

  • RDP. Удаленное подключение (проброс) логического диска.

Уведомления и передача событий. Протоколы:

  • SMTP;
  • syslog.

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

спросить эксперта

Антон Шлыков

Руководитель службы технической поддержки

Павел Голубничий

Эксперт по продукту Indeed PAM

Дмитрий Игнатьев

Эксперт по продукту Indeed PAM

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями
спросить эксперта

другие решения

Защита паролей привилегированных учетных записей
Запись действий и расследование инцидентов
Удаленный доступ администраторов к корпоративным ресурсам
Контролируемый доступ подрядчиков в инфраструктуру компании