В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Это создает особую категорию угроз безопасности, связанных с умышленными или неумышленными действиями этой категории пользователей. Высокий уровень опасности подобного рода угроз обусловлен тем, что привилегированные пользователи зачастую имеют максимальный уровень доступа. Кроме этого, необходимо отметить, что 100% привилегированных пользователей – технически грамотные и хорошо подготовленные специалисты, обладающие максимумом возможностей, что потенциально может поставить под угрозу конфиденциальность, целостность и доступность информационных ресурсов компании. Именно поэтому необходимо контролировать и ограничивать доступ суперпользователей, а также иметь возможность ретроспективного анализа их действий для выявления и расследования инцидентов.
В настоящее время на рынке информационной безопасности существуют специализированные программные и программно-аппаратные решения для постоянного контроля учетных данных привилегированных пользователей в сети и достоверного учета их использования. В использовании такого рода решений могут быть заинтересованы не только подразделения ИБ, но и ИT. Это связано с сокращением трудозатрат сотрудников ИT-служб, поскольку появляется возможность оперативно предоставлять пароли пользователям по первому требованию и отпадает необходимость в трудоемком ручном поиске, изменении и учете записей. Кроме того, они позволяют полностью контролировать выполнение всех правил и политик ИБ привилегированными пользователями, упрощают расследование инцидентов, предоставляют неопровержимые доказательства, обеспечивают полный контроль рабочих процессов пользователей, а также исключают скрытую активность.
В прошлом году в России появилась первая отечественная система контроля привилегированных пользователей – SafeInspect, которая представляет собой полнофункциональную платформу для эффективного контроля за суперпользователями, административными учетными записями и сессиями в информационных системах.
Решение дает возможность контролировать каналы SSH, RDP, HTTP/HTTPs, Telnet и др., которые используются для администрирования серверов и сетевых устройств. Весь трафик (включая изменения конфигурации, выполненные команды) записывается в журнал и архивируется. При возникновении проблем (ошибок в конфигурации сервера, манипулирования с базой данных или аварийного отключения) информация о них сразу же отображается в отчетах. Таким образом, можно легко определить причину данных инцидентов и предпринять соответствующие действия.
Любые действия привилегированных пользователей аудитор получает в виде видеозаписи, воспроизводящей работу конкретного привилегированного пользователя, что позволяет намного быстрее и точнее найти причину инцидента.
С помощью системы SafeInspect можно контролировать не только внутренние соединения, но и внешние подключения к своим ресурсам со стороны подрядчиков, а также доступ к облачным ресурсам. При помощи системы можно сохранить все действия несанкционированных пользователей, а также проанализировать методы, используемые при таких видах доступа, чтобы потом можно было усовершенствовать систему безопасности.
Система в своем основном режиме работает без агентов, что позволяет очень быстро ее развернуть и настроить (10–20 мин. – и можно контролировать все подключения). Для использования не требуется каких-либо существенных изменений в ИT-инфраструктуре и сетевой среде.
В заключение необходимо отметить, что использование специализированных решений для контроля привилегированных пользователей позволяет существенно повысить уровень информационной безопасности организации за счет снижения рисков внутренних угроз.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2016