Современные технологии контроля привилегированных пользователей

16 марта 2016
Виктор Сердюк,
генеральный директор
АО «ДиалогНаука»
Михаил Романов
директор по развитию бизнеса
ООО "Новые технологии"

На сегодняшний день вопросы обеспечения информационной безопасности (ИБ) являются актуальными для организаций любых масштабов и видов деятельности. Необходимо отметить, что большинство современных компаний достаточно хорошо защищены от внешних атак из сети Интернет за счет использования межсетевых экранов, антивирусов, систем IPS/IDS и др. Защита же от внутренних угроз направлена, как правило, на обычных пользователей информационных систем, а администраторы и привилегированные пользователи сторонних организаций, как правило, остаются без надлежащего контроля. Это создает особую категорию угроз безопасности, связанных с умышленными или неумышленными действиями этой категории пользователей. Высокий уровень опасности этих угроз обусловлен тем, что привилегированные пользователи зачастую имеют максимальный уровень доступа. Кроме этого, необходимо отметить, что 100% привилегированных пользователей – технически грамотные и хорошо подготовленные специалисты, обладающие максимумом возможностей, что потенциально может поставить под угрозу конфиденциальность, целостность и доступность информационных ресурсов компании. Именно поэтому необходимо контролировать и ограничивать доступ суперпользователей, а также иметь возможность ретроспективного анализа их действий для выявления и расследования инцидентов.

В настоящее время на рынке информационной безопасности существуют специализированные программные и программно-аппаратные решения для контроля привилегированных пользователей. Их задачи заключаются в постоянном контроле привилегированных учетных данных в сети и достоверном учете их использования. В использовании такого рода решений могут быть заинтересованы не только подразделения ИБ, но и ИТ. Это связано с тем, что сокращаются трудозатраты сотрудников ИT-служб, поскольку появляется возможность оперативно предоставлять пароли пользователям по первому требованию и отпадает необходимость в трудоемком ручном поиске, изменении и учете записей. Кроме того, они позволяют полностью контролировать выполнение всех правил и политик ИБ привилегированными пользователями, упрощают расследование инцидентов, предоставляют неопровержимые доказательства, обеспечивают полный контроль рабочих процессов пользователей, а также исключают скрытую активность.

На российском рынке ИБ можно выделить три наиболее популярных западных системы контроля привилегированных пользователей – Balabit, CyberArk и Wallix. Кроме этого, в прошлом году в России появилась первая отечественная система подобного класса - SafeInspect, которая представляет собой полнофункциональную платформу для эффективного контроля за суперпользователями, административными учетными записями и сессиями в информационных системах.

Решение дает возможность контролировать каналы SSH, RDP, HTTP/HTTPs, Telnet и др., которые используются для администрирования серверов и сетевых устройств. Весь трафик (включая изменения конфигурации, выполненные команды) записывается в журнал и архивируется. При возникновении проблем (ошибок в конфигурации сервера, манипулирования с базой данных или аварийное отключение), информация о них сразу же отображается в отчетах. Таким образом, можно легко определить причину данных инцидентов и предпринять соответствующие действия.

Любые действия привилегированных пользователей аудитор получает в виде видеозаписи, воспроизводящей работу конкретного привилегированного пользователя, что позволяет намного быстрее и точнее найти причину инцидента.

С помощью системы SafeInspect можно контролировать не только внутренние соединения, но и внешние подключения к своим ресурсам со стороны подрядчиков, а также доступ к облачным ресурсам. При помощи системы можно сохранить все действия несанкционированных пользователей, а также проанализировать методы, используемые при таких видах доступа, чтобы потом можно было усовершенствовать систему безопасности.

Система в своем основном режиме работает без агентов, что позволяет очень быстро её развернуть и настроить (10 – 20 минут и можно контролировать все подключения). Для использования не требуется каких-либо существенных изменений в ИТ-инфраструктуре и сетевой среде.

В заключение необходимо отметить, что использование специализированных решений для контроля привилегированных пользователей позволяет существенно повысить уровень информационной безопасности организации за счет снижения рисков внутренних угроз.

487
;