Как полностью автоматизировать контроль привилегированного доступа и создать надежную экосистему: возможности PAM-решения СКДПУ
Контроль доступа привилегированных пользователей информационных систем – одна из насущных задач направления ИБ в современной компании. При этом бизнесу важно не просто предоставлять доступ согласно утвержденным ролям, но полностью автоматизировать этот процесс и контролировать его в режиме «одного окна». Такой уровень возможностей обеспечивает использование продукта СКДПУ НТ от компании «АйТи Бастион».
Содержание |
PAM: какой тип предпочесть?
Как показывает опыт исследования публичных кейсов утечек информации, один из самых популярных сценариев атак включает использование привилегированных учетных записей. По мере усложнения информационного ландшафта компаний управление привилегированным доступом (Privileged Access Management, PAM) стало обозначать более широкую категорию информационной безопасности. Вместо управления привилегированными учетными записями, то есть аккаунтами, которые обеспечивают административный или особый уровень доступа к корпоративным системам с конфиденциальными данными, понятие PAM расширилось до управления самим процессом доступа, с выработкой специальной стратегии и развитием автоматизации. Важнейшими элементами программы PAM в компании служит механизм одобрения привилегированного доступа, многофакторная аутентификация, мониторинг и запись привилегированных сессий, а также контроль удаленного доступа.
По принципу работы и механизму встраивания в информационный контур компании системы контроля привилегированного доступа можно разделить на три типа: 1. Режим «маршрутизатор»: привилегированные пользователи подключаются к информационным системам с помощью IP-адресов и DNS-имен. Управление доступом и контроль действий пользователей осуществляется на уровне шлюза доступа PAM. 2. Агентский режим: управление доступом и контроль действий пользователей осуществляются на уровне самих информационных систем. Для удаленного подключения привилегированные пользователи вводят IP-адреса или имена DNS. Для управления подключениями к информационным ресурсам служит программа-агент. 3. Режим «бастион» («прокси»): пользователь предварительно входит не в информационную систему, а на отдельный сервер, где установлена PAM-система. Пройдя этап аутентификации, пользователь получает список целевых систем и приложений, разрешенных ему для использования в рамках принятой в компании матрицы доступа (политик).
Режимы «маршрутизатор» и «агент» имеют существенные недостатки и сложны в использовании. Так, первый вариант предполагает передачу значительной части трафика через PAM-систему, что далеко не всегда оправдано, а второй вариант связан с необходимостью развертывать и обслуживать агенты на всех подконтрольных системах (в компаниях и так много агентов, увеличение количества таких программ требует значительных трудовых и вычислительных ресурсов). Режим «бастион» самый прогрессивный и эффективный из всех, он идентичен современной концепции Zero Trust, которая провозглашает принцип «не доверяй никому». Здесь контролируется весь процесс доступа, без явного одобрения системы доступа нет вообще, - отмечает Константин Родин, руководитель технического центра «АйТи Бастион». |
Триединая сущность СКДПУ НТ
Российская компания «АйТи Бастион», основанная в 2014 году, большой опыт внедрения PAM-решений получила в ходе дистрибуции ПО от фирмы Wallix. В то время рынок систем управления привилегированным доступом в России только начинал формироваться, многие заказчики еще не осознавали, какую опасность таит отсутствие контроля за действиями руководителей, сисадминов и других особых категорий пользователей.
Первые внедрения PAM-систем стали возможны благодаря длительным пилотным проектам, в ходе которых мы демонстрировали эффективность решений по управлению привилегированным доступом, заказчики при разборе инцидентов осознавали нужность таких систем и удобство их использования. Уже после первой волны антироссийских санкций, которая случилась в 2014 году, стало понятно, что иностранное ПО не сможет работать во всех сферах на территории РФ, поэтому нами было принято решение о разработке отечественного аналога представленных на рынке продуктов класса PAM, - вспоминает Константин Родин. |
В 2017 году специалисты компании «АйТи Бастион» представили первую версию собственного продукта по управлению привилегированным доступом – систему СКДПУ, которая впоследствии получила маркетинговое наименование «СКДПУ НТ Шлюз доступа». Примерно в то же время стала отмечаться тенденция к замещению зарубежных PAM-систем российскими решениями. Российский рынок облачных ИБ-сервисов только формируется
«СКДПУ НТ Шлюз доступа» - платформа для контроля и мониторинга действий привилегированных пользователей, отличается удобством интеграции в ИТ-среду компании. Уже через несколько часов после установки Шлюза каждый заказчик имеет полное представление о том, кто, где, когда и как использовал то или иное устройство. Контролируя весь перечень привилегированных пользователей, а также поставщиков ИТ-услуг, «СКДПУ НТ Шлюз доступа» позволяет максимально оперативно выявить виновных в инцидентах ИБ и принять необходимые меры. Полный контроль выполняемых действий каждого пользователя осуществляется путем связи каждого подключения через разделяемую учетную запись (например, root или Администратор) с конкретным человеком.
Продукт «СКДПУ НТ Шлюз доступа» довольно быстро сформировался как полноценное PAM-решение и был хорошо принят рынком. Поэтому команда «АйТи Бастион» решила развивать свою PAM-систему в направлении аналитики, мониторинга и отчетности. Так возник продукт «СКДПУ НТ Мониторинг и аналитика». Кстати, оба PAM-продукта разрабатывались исходя из потребностей российского рынка в импортозамещении, включая поддержку отечественной ОС АстраЛинукс SE.
Импортозамещение на рынке систем ИБ сейчас не просто актуально, оно вышло на новый уровень. По словам Константина Родина, как правило, заказчикам уже недостаточно того, что само ПО для систем защиты является отечественным, сейчас как никогда важен вопрос работы этого ПО на отечественных операционных системах.
Мы это видим все чаще в составе тех заданий и тех требований, которые предъявляются к PAM. В этом плане у нас был хороший задел, т.к. мы изначально базировались на отечественной ОС, - комментирует эксперт. |
«СКДПУ НТ Мониторинг и аналитика» - многофункциональная система контроля действий привилегированных пользователей, использующая в работе алгоритмы искусственного интеллекта (ИИ). Основное понятие для системы – цифровой профиль пользователя. Он создается на основе стандартных сценариев и действий каждого привилегированного пользователя информационных систем. Далее составляется карта действий, характерная для каждого администратора ИС. Эта карта корректируется в процессе «нормальной работы» пользователя. На основе собранной информации, исследования событий и сессий, формируется поведенческая модель пользователей и определяется уровень доверия системы к каждому из них. «СКДПУ НТ Мониторинг и аналитика» формирует отчеты по разным критериям (учетные записи, используемые устройства, продолжительность сессий, выполняемые команды, загружаемые файлы и т.д.). Анализ различных параметров действий привилегированных пользователей позволяет быстро найти аномалии в их действиях, то есть критичные отклонения от поведения, которое утверждено в системе как стандартное. При этом решение обладает гибкими настройками правил доступа и настройкой аналитики по детекторам аномалий.
Комплекс продуктов «АйТи Бастион» по контролю привилегированного доступа отлично дополняет решение «СКДПУ НТ Компакт». Оно предназначено для контроля действий собственных администраторов и технических специалистов из компаний-контрагентов на крупной распределенной инфраструктуре. Каждый объект (например, магазин, АЗС, банкомат) оборудуется легким шлюзом доступа «СКДПУ НТ Компакт» для организации безопасного удаленного доступа с целью администрирования и конфигурации оборудования. Также создается централизованный архив событий на основе решения «СКДПУ НТ Мониторинг и аналитика». Кроме того, ведется анализ поведения пользователей для раннего предупреждения о потенциальных инцидентах.
Комплексная автоматизация
В условиях развития мобильности и удаленной работы вопрос удаленного доступа – одна из важнейших задач по защите внутренней инфраструктуры в организациях. При этом ее решение не ограничивается только предоставлением и фиксацией этого доступа в специализированных системах класса PAM.
В первую очередь бизнес предъявляет повышенные требования к управлению, предоставлению и отзыву удаленного доступа, а также к автоматизации процесса заведения этого доступа. Речь здесь идет об оркестрации доступа для реализации сервиса «единого окна» в режиме портала самообслуживания. Подобное решение позволяет в автоматическом режиме предоставлять пользовательские контролируемые доступы к вновь создаваемым целевым системам через внутренний портал самообслуживания, а также проводить валидацию данных на предмет их согласованности (консистентности), отзывать доступы в момент удаления ресурсов (чаще всего при увольнении пользователя) и коррелировать данные на основе взаимосвязей, описанных в структурах дерева каталогов.
Процесс создания ресурса состоит из пяти пунктов: 1. Пользователь через портал самообслуживания посылает запрос на создание нового ресурса. 2. Ответственное за одобрение предоставления ресурса лицо обрабатывает заявку пользователя. 3. Портальные сервисы автоматически инициируют создание требуемого ресурса с определенными доступами. 4. В системе создается доступ средствами оркестратора гипервизора. 5. При успешном создании ресурса инициируется создание необходимых прав доступа для конкретного пользователя в программе СКДПУ НТ, в соответствии с политиками доступа и на основе каталога пользователей.
СКДПУ НТ позволяет автоматизировать процесс заявок на предоставление доступа и затем предоставление самого доступа без рассмотрения запросов в ручном режиме. Изменение структуры и автоматизация механизмов предоставления ресурсов позволяет минимизировать вероятность ошибок, которые практически неизбежны при ручном выполнении операций на каждой из задействованных систем. Помимо этого, автоматизация процесса предоставления доступа и его контроля обеспечивает экономию времени и высвобождает ресурсы ответственных за предоставление доступа сотрудников, также значительно уменьшается количество согласований между смежными подразделениями.
Почему важны интеграции
Компания «АйТи Бастион» является лидером среди российских производителей систем контроля, мониторинга и анализа действий привилегированных пользователей. На сегодня она занимает более 50% отечественного рынка PAM (данные на основе исследования открытых конкурсов на закупки систем управления привилегированным доступом). Таких впечатляющих показателей компания не смогла бы достичь без создания эффективных связей с другими решениями по информационной безопасности.
В современных реалиях усложнения уровня угроз компаниям мало иметь независимые средства защиты в своем контуре. Если система не «взаимодействует» со своим окружением, в процессе обеспечения безопасности неизбежно возникают «слепые зоны», то есть высока вероятность появления неконтролируемых участков контура и, как следствие, скрытых инцидентов. Чтобы защитить свою инфраструктуру компании зачастую ударяются в две крайности. Первая из них – попытки выстроить закрытую экосистему из собственных проприетарных продуктов. В этом случае на определенном этапе становится невозможно поддерживать качество и функциональность всех продуктов из-за нехватки компетенций и(или) ресурсов. Другая крайность – привязка заказчика к моновендорной экосистеме. Когда приходит время замены того или иного решения, уже сложно перейти на систему от другого вендора без потери качества интеграционного взаимодействия.
Будучи компанией с высоким уровнем компетенций в своей области решений для ИБ, «АйТи Бастион» предложила решение, которое бы полностью удовлетворяло запросам служб ИБ, ИТ и, разумеется, самого бизнеса. В целях успешной интеграции СКДПУ НТ компания сформировала мультивендорную экосистему, ориентируясь на решения лидеров рынка ИБ и ИТ. В случае необходимости определенные части этой экосистемы могут быть заменены на более качественное решение (если оно появится на рынке) без потери функциональности.
Компания «АйТи Бастион» подобрала интеграции по следующим классам решений и соответствующим бизнес-задачам:
- Система обнаружения вторжений (СОВ): Kaspersy, Positive Technologies, CyberLympha;
- Средства виртуализации и облачные сервисы: «Инфолэнд», «РусБИТех», «Скала-Р», DataLine, «Яндекс»;
- Многофакторная аутентификация (MFA, 2FA): «Мультифактор», Avanpost, Aladdin;
- Отечественные Операционные системы (ОС): «РусБИТех», RedOS, «Базальт», РОСА;
- SIEM-системы, события от Комплекса СКДПУ НТ в сторону SIEM: Positive Technologies, Kaspersky, RuSIEM, ГИС, «Пангео Радар»;
- Безопасные рабочие места – Тонкие-клиенты, Загрузочные usb-ОС на токенах: Kaspersky, S-Terra;
- Крипто-шлюзы и VPN-туннели: UserGate, S-Terra;
- Token и Smart-card: «Актив-Софт», Aladdin.
Таким образом, СКДПУ НТ – это комплексное решение для управления привилегированным доступом, разработанное отечественной компанией по наиболее совершенному механизму «бастион». Систему отличает богатый функционал по анализу данных из сессий, в том числе поведенческий анализ работы пользователей, а также функционал по работе с инцидентами. СКДПУ НТ поддерживает работу на отечественных операционных системах. PAM-решение от компании «АйТи Бастион» сертифицировано ФСТЭК (УД-4) и Министерством обороны (НДВ-2). Продукт не требователен к вычислительным ресурсам, обладает возможностью построения сложных отказоустойчивых и катастрофоустойчивых систем. Кроме того, специалисты «АйТи Бастион» имеют большой опыт работы на отечественном рынке и готовы предоставить заказчикам полную техническую поддержку на русском языке, в сопровождении с высококвалифицированными инженерами.