Современные технологии контроля привилегированных пользователей
Виктор Сердюк, генеральный директор АО «ДиалогНаука» |
Михаил Романов директор по развитию бизнеса ООО "Новые технологии" |
На сегодняшний день вопросы обеспечения информационной безопасности (ИБ) являются актуальными для организаций любых масштабов и видов деятельности. Необходимо отметить, что большинство современных компаний достаточно хорошо защищены от внешних атак из сети Интернет за счет использования межсетевых экранов, антивирусов, систем IPS/IDS и др. Защита же от внутренних угроз направлена, как правило, на обычных пользователей информационных систем, а администраторы и привилегированные пользователи сторонних организаций, как правило, остаются без надлежащего контроля. Это создает особую категорию угроз безопасности, связанных с умышленными или неумышленными действиями этой категории пользователей. Высокий уровень опасности этих угроз обусловлен тем, что привилегированные пользователи зачастую имеют максимальный уровень доступа. Кроме этого, необходимо отметить, что 100% привилегированных пользователей – технически грамотные и хорошо подготовленные специалисты, обладающие максимумом возможностей, что потенциально может поставить под угрозу конфиденциальность, целостность и доступность информационных ресурсов компании. Именно поэтому необходимо контролировать и ограничивать доступ суперпользователей, а также иметь возможность ретроспективного анализа их действий для выявления и расследования инцидентов.
В настоящее время на рынке информационной безопасности существуют специализированные программные и программно-аппаратные решения для контроля привилегированных пользователей. Их задачи заключаются в постоянном контроле привилегированных учетных данных в сети и достоверном учете их использования. В использовании такого рода решений могут быть заинтересованы не только подразделения ИБ, но и ИТ. Это связано с тем, что сокращаются трудозатраты сотрудников ИT-служб, поскольку появляется возможность оперативно предоставлять пароли пользователям по первому требованию и отпадает необходимость в трудоемком ручном поиске, изменении и учете записей. Кроме того, они позволяют полностью контролировать выполнение всех правил и политик ИБ привилегированными пользователями, упрощают расследование инцидентов, предоставляют неопровержимые доказательства, обеспечивают полный контроль рабочих процессов пользователей, а также исключают скрытую активность.
На российском рынке ИБ можно выделить три наиболее популярных западных системы контроля привилегированных пользователей – Balabit, CyberArk и Wallix. Кроме этого, в прошлом году в России появилась первая отечественная система подобного класса - SafeInspect, которая представляет собой полнофункциональную платформу для эффективного контроля за суперпользователями, административными учетными записями и сессиями в информационных системах.
Решение дает возможность контролировать каналы SSH, RDP, HTTP/HTTPs, Telnet и др., которые используются для администрирования серверов и сетевых устройств. Весь трафик (включая изменения конфигурации, выполненные команды) записывается в журнал и архивируется. При возникновении проблем (ошибок в конфигурации сервера, манипулирования с базой данных или аварийное отключение), информация о них сразу же отображается в отчетах. Таким образом, можно легко определить причину данных инцидентов и предпринять соответствующие действия.
Любые действия привилегированных пользователей аудитор получает в виде видеозаписи, воспроизводящей работу конкретного привилегированного пользователя, что позволяет намного быстрее и точнее найти причину инцидента.
С помощью системы SafeInspect можно контролировать не только внутренние соединения, но и внешние подключения к своим ресурсам со стороны подрядчиков, а также доступ к облачным ресурсам. При помощи системы можно сохранить все действия несанкционированных пользователей, а также проанализировать методы, используемые при таких видах доступа, чтобы потом можно было усовершенствовать систему безопасности.
Система в своем основном режиме работает без агентов, что позволяет очень быстро её развернуть и настроить (10 – 20 минут и можно контролировать все подключения). Для использования не требуется каких-либо существенных изменений в ИТ-инфраструктуре и сетевой среде.
В заключение необходимо отметить, что использование специализированных решений для контроля привилегированных пользователей позволяет существенно повысить уровень информационной безопасности организации за счет снижения рисков внутренних угроз.