Аудит работы
администраторов

Получить решение

Описание решения

Задача

В современном мире наблюдается тенденция на цифровизацию бизнес-процессов компаний. Цифровая экономика, автоматизация и информатизация дает большие преимущества компании в части:

  • оперативности функционирования;
  • эффективности принятия решений;
  • выхода на новые рынки;
  • повышения качества услуг;
  • и т.д.

В это же время, эффективность функционирования ИТ-инфраструктуры и корпоративных ИТ-сервисов зависит от качества работы системных администраторов и иных привилегированных пользователей. Они обладают широкими полномочиями и напрямую влияют на корректное функционирование различных информационных систем и бизнес-процессов компании. При этом, привилегированные полномочия выданы в соответствии с должностными обязанностями соответствующих сотрудников.

Но выданные широкие полномочия являются источником потенциальной опасности. Даже если исключить злонамеренные действия, взломы и явный саботаж, остается достаточно большое количество инцидентов, связанные с т.н. "человеческим фактором".

К примеру, возможна ситуация, когда сотрудник совершил ряд непредумышленных ошибок, приведших к выходу из строя какого-либо сервера. Независимо от того, как быстро была решена проблема, руководство должно разобраться, что стало причиной отказа в функционировании.

Иные решения информационной безопасности, имеющие функционал для мониторинга активности пользователей, зачастую, работают либо на уровне рабочей станции сотрудника, либо находятся на выделенном сервере и отвечают за сбор и анализ происходящих в ИТ-инфраструктуре событий.

Однако, при возникновении задачи контроля действий привилегированных пользователей, такие решения не подходят из-за целого ряда ограничений их работы. К примеру, если сервер недоступен, нет возможности получить с него журналы и отдать их на анализ. Администрируемый ресурс может находится на сервере со специфической операционной системой, куда невозможно установить дополнительное ПО для мониторинга. Привилегированный пользователь может быть сотрудником другой организации и подключаться к критичным ресурсам либо со своего личного устройства, либо с устройства другой организации, что затрудняет установку на его рабочую станцию ПО для записи действий пользователя на компьютере.

Все упомянутые сценарии делают невозможным полноценный аудит действий пользователей, если мы говорим именно о привилегированных пользователей. Наличие проблем с реализацией полноценного мониторинга действий пользователей, обладающих особыми привилегиями, создает угрозы безопасности компании. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).

Применение подобных программных комплексов позволит создать систему контроля действий администраторов.

Решение

Использование PAM-системы позволяет создать полномасштабную систему контроля администраторов и, в частности, позволяет получить полную запись действий пользователя на компьютере, когда он реализует свои привилегированные права. При этом, особенности архитектуры PAM-системы нейтрализуют ограничения, связанные со спецификой работы привилегированных пользователей.

Платформа Indeed PAM работает между рабочей станцией и целевым ресурсом. При такой схеме функционирования неважны особенности рабочей станции и целевого ресурса. Благодаря такой схеме реализации, возможно осуществлять отслеживание действий пользователей, при любых активностях практически на любых видах целевых ресурсов.

При работе привилегированного пользователя через Indeed PAM осуществляется фиксация действий в разных форматах:

  • Видеозапись (открываемые окна, осуществляемые действия, движения мыши);
  • Текстовая запись (команды, запускаемые процессы);
  • Передача файлов;
  • Нажатия клавиш;
  • И т.д.

Все записи хранятся в едином хранилище Indeed PAM, который хранится отдельно от журналов целевых ресурсов. Более того, платформа Indeed PAM позволяет воздействовать на административную сессию и на действия пользователей вручную или автоматически, к примеру, разорвать сессию при вводе администратором "опасной" команды.

В случае выхода целевого ресурса из строя - всегда можно оперативно восстановить картину событий: понять причину выхода из строя ресурса и кто ответственен за произошедший сбой. А это, в свою очередь, помогает оперативно локализовать инцидент, сэкономить ресурсы и сохранить репутацию.

Приминение

Мониторинг в режиме реального времени

Платформа Indeed PAM позволяет осуществлять мониторинг действий администраторов в режиме реального времени. При этом, поддерживается масштабирование и мониторинг одновременно работающих администраторов.

Данный функционал включает в себя возможность просматривать любую активную сессию из консоли администратора PAM. Если администратор PAM увидит подозрительные, либо сомнительные действия - он может вручную разорвать сессию и, после, заблокировать этого привилегированного пользователя до разрешения ситуации.

Мониторинг в режиме реального времени может быть очень полезен при удаленной работе с критическими ресурсами и системами. С помощью Indeed PAM больше нет необходимости переплачивать за транспортные расходы удалённых привилегированных пользователей, чтобы они работали локально на площадке и была возможность визуально наблюдать их работу. Удалённый сотрудник может подключиться к критическому ресурсу в любой момент, когда это будет нужно и, при этом, все его действия будут зафиксированы.

Журнал сессий

Единое централизованное хранилище информации и записей привилегированных сессий Indeed PAM позволяет решить проблему сложности получения детальных сведений об инциденте с поврежденного ресурса. Все действия привилегированных пользователей, поставленных под контроль, зафиксированы в журнале событий.

Важным дополнением является также возможность включения в Indeed PAM двухфакторной аутентификации. Что, с одной стороны, вводит дополнительный уровень защиты для удаленных подключений, а с другой - делает практически невозможной ситуацию отказа привилегированных пользователей от "авторства" своих действий.

По каждой административной сессии можно получить информацию о времени подключения, длительности, имени пользователе, целевом ресурсе. В журнале Indeed PAM имеется инструмент для поиска сессий по конкретным признакам.

Все эти возможности позволяют не только оперативно разобраться в практически любой ситуации, но и использовать записи сессий для иных задач: контроль рабочего времени, разбор ошибок, что особенно актуально для новых сотрудников.

Видео и текстовая запись

Платформа Indeed PAM записывает все действия привилегированных пользователей как в видео, так и в текстовом формате.

В процессе работы привилегированных пользователей их действия могут привести к сбою, к ухудшению качества работы целевого ресурса, каким-либо нарушениям работы приложения. Качество работы привилегированных пользователей может отличаться от заявленного. Причем, в основном, в худшую сторону. Использование решений класса Employee-Monitoring Products and Services (EMPS), предназначенных для оценки эффективности рабочего времени сотрудников и осуществляющих запись действий, имеет существенные ограничения при их использовании для контроля привилегированных пользователей:

  • Агент EMPS может быть отключен или удален привилегированным пользователей со своей рабочей станции или сервера;
  • Целевые ресурсы могут не поддерживать установку дополнительного ПО (в первую очередь это касается устройств);
  • Привилегированный пользователь может работать в другой организации (подрядчик) или использовать личное устройство для подключения к целевому ресурса, что делает невозможным установку агента EMPS.

При использовании Indeed PAM, в случае возникновения внештатной ситуации или необходимости более глубокого анализа работы привилегированных пользователей можно поднять все записи и передать их ответственным сотрудникам для последующего принятия решения и организационных выводов.

Контроль передаваемых файлов

PAM-система поддерживает возможность фиксации факта передачи файлов и их теневого копирования в базу PAM. Это может быть полезно, т.к. в рамках административной сессии может возникнуть необходимость передать на сервер или скачать с него определенный файл или документ.

Передача файлов в таких случаях зачастую осуществляется с помощью стандартного функционала административных протоколов. Тот же протокол RDP позволяет удаленно подсоединить логический диск к целевой системе в рамках терминальной сессии. К примеру, это может быть загрузка на сервер обновлений, или, наоборот, выгрузка отчетов или конфигурационных файлов с сервера.

Фиксация факта передачи файлов и их теневое копирование позволяет понять, какого рода информация была передана и насколько она критична для организации.

Блокировка команд и управление привилегиями

Платформа Indeed PAM может осуществлять контроль вводимых команд в административной сессии.

В ряде случаев, сложно предсказать какие действия могут привести к сбою целевого ресурса, либо к нарушению корректной работы бизнес-сервиса. В иных случаях, часть действий могут вызвать сбой или несовместимость в будущем. К примеру, это может быть обновление ПО или ОС на сервере.

Реакция на выявленные команды сводится к двум действиям:

  • Разрыв сессии для предотвращения передачи команды и сбоя;
  • Уведомление ответственного администратора или владельца ресурса о произошедшем событии.

После выявления "опасной" команды в потоке возможна последующая блокировка привилегированного пользователя или самого доступа к целевому ресурсу. Фильтрация команд может осуществляться в двух режимах:

  • Список запрещенных команд - "все, что явно не запрещено - разрешено";
  • Список разрешенных команд - "все, что явно не разрешено - запрещено".

Последний случай позволяет управлять полномочиями привилегированных пользователей через разрешение заранее определенных действий.

Уведомления пользователей и интеграция с системами мониторинга

PAM-система позволяет отправлять уведомления о критичных или важных событиях ответственным лицам: администраторам, руководству, пользователям. Отправка уведомлений осуществляется на SMTP-сервер. Перечень событий для отправки уведомлений может настраиваться.

Платформа Indeed PAM поддерживает интеграцию с продуктами класса Security information and event management (SIEM) через отправку событий по протоколу syslog.

Интеграция с SIEM позволяет, к примеру, сформировать правила обработки и корреляции событий, которые будут выявлять подключения к критичным ресурсам в обход PAM (на ресурсе событие зафиксировано, на PAM - нет). В случае сбоя или выхода из строя ресурса - в SIEM будет отображено, какие сотрудники работали с ресурсом в момент сбоя, даже если сам ресурс не успел передать журналы в SIEM.

Расследование инцидентов

При расследовании инцидентов информационной безопасности, связанных с действиями привилегированных пользователей, может быть недостаточно аналитики и исходных метаданных. Они не всегда позволяют установить истинные причины сбоя, оперативно локализовать инцидент и принять меры для недопущения подобной ситуации в будущем. Также недостаток данных требует гораздо больше времени для расследования и снижает его качество. При использовании Indeed PAM расследование можно свести к следующим шагам:

  • Обнаружен инцидент, связанный с привилегированным доступом
  • Готовится выборка записей административных сессий, связанных с этим инцидентом
  • Осуществляется просмотр и анализ этих записей
  • Формируется полная картина инцидента (включая последовательность действий, которая привела к сбою)
  • Выявленная "опасная" последовательность действий вносится в соответствующий документ, либо вносятся корректировки в инструкции
  • Принимаются меры по восстановлению ресурса
  • Принимаются меры к ответственному за инцидент

Описанная функциональная возможность позволяет существенно сократить время реагирования на инциденты, что не только повышает производительность труда, но и позволяет сэкономить ресурсы.

Необоснованные обвинения сотрудников

После выхода из строя критичного ресурса возможна ситуация необоснованного обвинения невиновного сотрудника по косвенным признакам (подключался к ресурсу в примерное время инцидента), из-за чего компания может потерять перспективного специалиста и что ухудшает "рабочую атмосферу" в коллективе. Возможности Indeed PAM позволяет однозначно установить ответственного за сбой и степень умышленности, с помощью анализа соответствующих записей действий (видео, текст, команды, переданные файлы, время подключения, протокол/приложение, и т.д.).

При использовании PAM-системы, порядочным и ответственным сотрудникам нечего опасаться, т.к. даже если они ответственны за инцидент, но сделали это непредумышленно (а вероятность ошибок всегда присутствует) - они могут рассчитывать на объективную оценку их действий.

Технические характеристики

Функции записи действий:

  • Видеозапись сессий с возможностью настройки качества видео
  • Текстовая запись сессий
  • Периодическое снятие скриншотов сессий с возможностью настройки качества изображений
  • Поддерживаемые протоколы: RDP, SSH, опубликованный web и толстые клиенты
  • Теневое копирование файлов

Сведения, содержащиеся в журнале сессий:

  • Время подключения
  • Привилегированный пользователь
  • Использованная учётная запись
  • Целевой ресурс
  • Тип подключения: протокол, приложение
  • Длительность подключения
  • Состояние соединения: активное, прерванное, завершенное

Блокировка текстовых команд. Режимы:

  • Списки запрещенных команд;
  • Списки разрешенных команд.

Блокировка текстовых команд. Поддерживаемые протоколы:

  • SSH

Контроль передачи файлов. Поддерживаемые протоколы:

  • RDP. Удаленное подключение (проброс) логического диска.

Уведомления и передача событий. Протоколы:

  • SMTP;
  • syslog.

отзывы клиентов

Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее

Получить консультацию

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

связаться с нами

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по аутентификации пользователей

Николай Лазицкий

Эксперт по управлению цифровыми сертификатами

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями
связаться с нами

другие решения

Защита привилегированных учетных записей
Аудит работы администраторов
Удаленный доступ привилегированных пользователей
Контроль доступа подрядчиков