Защита паролей привилегированных учетных записей

Описание решения

Задача

Полномочия на управление или настройку целевых ресурсов и приложений привязаны к соответствующим учетным записям. При «классическом» подходе пароли или другие аутентификаторы от таких привилегированных учетных записей выдаются уполномоченным на это сотрудникам - привилегированным пользователям.

Среди этих полномочий могут присутствовать права на:

Очистку журналов
Установку дополнительного ПО
Выполнение критических и опасных операций, способных нарушить работоспособность ресурса
И другие.

Эти права часто доступны привилегированным пользователям без какого-либо контроля. Такая практика несет в себе угрозы неправомерного или некорректного использования выданных полномочий.

Сложность контроля за действиями привилегированных пользователей состоит в получении привилегированного доступа напрямую к ресурсу (в обход мер защиты) или при консольном подключении (непосредственное подключение периферии к аппаратному серверу). Это актуально, если администратор имеет полномочия на управление сетевыми устройствами и сетевым взаимодействием.

Зачастую для таких учетных записей применяется только парольная аутентификация, имеющая значительные недостатки:

Подбор паролей
Несанкционированная передача паролей
Требование своевременной смены паролей при увольнении сотрудников
И другие.

Наличие подобных проблем в отношении привилегированного доступа создает угрозы безопасности компании. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).

Понимание этой задачи — важный шаг на пути к построению комплексной информационной безопасности компании.

Решение

Первый шаг в решении проблемы обеспечения защиты информации при привилегированном доступе — реализация автоматического управления паролями привилегированных учетных записей. Платформа Indeed Privileged Access Manager (Indeed PAM) находит привилегированные учетные записи и ставит под контроль их использование. В первую очередь это требуется для исключения их несанкционированного и неконтролируемого использования.

В рамках решения задачи управления паролями (Password Management), программный комплекс Indeed PAM осуществляет комплексные действия:

Автоматический поиск привилегированных учетных записей
Ручное внесение и постановка под контроль паролей приложений
Автоматическая смена паролей с заданной периодичностью
Предоставление паролей из хранилища
Ведение истории паролей

Все пароли таких учетных записей находятся в зашифрованном виде в хранилище, а ключом обладает только сервер Indeed PAM.

При попытке подключения привилегированного пользователя сервер Indeed PAM самостоятельно предоставляет логин-пароль только целевому ресурсу. Важно, что сотрудникам остаются недоступны пароли к самим привилегированным учетным записям.

Таким образом, сотрудник, уполномоченный на управление каким-либо сервером или бизнес-приложением не сможет авторизоваться на ресурсе в обход Indeed PAM, т.к. ему неизвестен пароль.

Применение

Мультифакторная аутентификация

Когда сотрудники получают привилегированный доступ, важно применять надежные способы аутентификации, чтобы гарантировать, что доступ имеют только легитимные пользователи, а также обеспечить неотказуемость от авторства их действий. Indeed PAM “из коробки” поддерживает двухфакторную аутентификацию пользователей в режиме пароль + TOTP (Time-based One-Time Password). Одноразовый пароль генерируется пользователем в приложении на смартфоне.

Компании, использующие штатные возможности ОС Windows для аутентификации пользователей с помощью смарт-карт и цифровых сертификатов, смогут применять данной подход и для аутентификации в Indeed PAM.

Автоматический поиск учетных записей

Продукт Indeed Privileged Access Management осуществляет автоматический поиск привилегированных учетных записей в Active Directory и на серверах с ОС Microsoft Windows, Linux/Unix.

При «классическом» подходе все данные учетных записей придется искать и вносить в хранилище вручную, чтобы поставить их под контроль и управлять их паролями. Это требует значительных трудозатрат со стороны обслуживающего персонала и повышает риск проявления «человеческого фактора» в виде пропуска некоторых учетных записей.

Автоматический поиск позволит радикально снизить наличие неучтенных привилегированных учетных записей от критичных ресурсов в ИТ-инфраструктуре, а также сделает эту работу оперативно, с минимальными трудозатратами сотрудников отделов ИТ и ИБ.

Хранение паролей приложений

В хранилище паролей вводят пароли привилегированных учетных записей от целевых приложений, опубликованных на сервере доступа Indeed PAM. Это позволяет контролировать использование не только стандартных протоколов удаленного администрирования (RDP, SSH), но и проприетарных приложений для администрирования специализированных целевых ресурсов:

Инфраструктура виртуализации
Средства защиты информации
Консоли централизованного управления сетевыми устройствами
Бизнес-приложения
СУБД
и другие

Управление паролями иных пользователей

Кроме защиты учетных записей администраторов, функционал управления паролями Indeed PAM может применяться с целью защиты любых учетных записей, в т.ч. непривилегированных пользователей, например:

Аудиторы
Операторы финансовых сервисов
Разработчики
Менеджеры по продажам
и другие

Автоматическая смена паролей

Управление паролями не ограничивается их автоматическим поиском и внесением в хранилище.

С целью исключения обхода системы контроля действий привилегированных пользователей платформа Indeed PAM обладает возможностью автоматической смены паролей привилегированных учетных записей от целевых ресурсов на случайные значения. Это значит, что привилегированные пользователи могут подключаться к критичным ресурсам только посредством Indeed PAM.

Indeed PAM проверяет актуальность паролей, находящихся в хранилище. Это имеет значение в том случае, когда администратору удалось сменить пароль к привилегированной учетной записи от критичного ресурса ИТ-инфраструктуры.

Чтобы обеспечить безопасность паролей и SSH ключей, Indeed PAM выполняет их смену на случайные по заданному расписанию. Для соблюдения политик безопасности компании можно настроить параметры сложности генерируемого пароля.

Все предыдущие значения паролей и SSH ключей также сохраняются в PAM в истории паролей. Это дает возможность “откатить” пароль или ключ на любой требуемый момент в прошлом. Данная функция необходима, когда целевой ресурс восстанавливается из резервной копии, и нужно использовать учетные данные, актуальные на момент создания резервной копии.

Восстановление паролей в нештатных ситуациях

В случае возникновения внештатной ситуации (например, если целевой ресурс оказывается недоступен по сети) Indeed PAM предоставляет пароль к привилегированной учетной записи с целью прямого подключения и последующего управления ресурсом. При этом, после восстановления сетевого подключения, предоставленный ранее пароль будет опять заменен на случайный.

В ситуации неработоспособности целевого сервера, когда необходимо его восстановлении из резервной копии, проблема несоответствия пароля для доступа к привилегированным учетным записям восстановленного ресурса легко решается при использовании Indeed PAM. Для этого Indeed PAM ведет историю паролей, поэтому все пароли можно восстановить по состоянию на указанную дату (предшествующую дате создания резервной копии) и продолжить работу с целевым ресурсом.

Технические характеристики

Управление паролями:

Автоматический поиск привилегированных учётных записей
Ручное внесение и постановка под контроль паролей приложений
Автоматическая смена паролей с заданной периодичностью
Предоставление паролей из хранилища
Ведение истории паролей

Поддерживаемые типы учетных записей (поиск, управление):

Microsoft Active Directory
Учетные записи ОС Windows
Учетные записи ОС Linux/Unix (пароли и SSH-ключи)
Учетные записи для доступа к сетевому оборудованию (на базе ОС Linux/Unix)
Учётные записи СУБД: Microsoft SQL, MySQL, Postgre SQL, Oracle DB

Поддерживаемые типы учетных записей (только управление):

Учётные записи прикладного ПО
Учётные записи Web-приложений

Поддерживаемые протоколы доступа:

RDP
SSH
RemoteApp

Сертификаты

Indeed Privileged Manager (Indeed РАМ) имеет сертификат ФСТЭК России по 4 уровню доверия. Важно отметить, что сертифицированный Indeed PAM поддерживает установку в операционной системе специального назначения «Astra Linux Special Edition».
Продукт Indeed Privileged Access Manager зарегистрирован в Едином реестре российских программ для ЭВМ и баз данных за рег. номером 6351

отзывы клиентов

Сергей Крамаренко

руководитель департамента кибербезопасности Альфа-Банка

Отечественное решение Indeed AM оказалось лучше западного. Cистема многофакторной аутентификации пользователей не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение. В процессе масштабирования Indeed Access Manager мы расширили зоны покрытия инструментом двухфакторной аутентификации: 2FA стали использовать в большем количестве ИТ-систем и СЗИ. Мы смогли этого достичь за счет широкого интеграционного функционала решения и оперативной поддержки со стороны команды Компании Индид. Это позволило нам повысить уровень защищенности корпоративной инфраструктуры и закрыть часть требований регуляторных органов (Банк России, ФСТЭК).

Подробнее

Игорь Соловьев

директор департамента информационных систем и сервисов Фонда «Сколково»

В «Компании Индид» работают специалисты, в частности команда технической поддержки, которая оперативно решает все технические вопросы, что крайне важно для нас как заказчика. Помимо этого, уже на этапе пресейла, компания оказывала нам наиболее полную помощь, которую можно оказать — полное информирование по продукту, по функционалу, интеграции с другими целевыми системами, несмотря на то, что мы тогда ещё даже не говорили о покупке.

Григорий Ушаков

директор департамента безопасности компании «СберРешения»

Уже много лет мы используем решение для усиленной аутентификации пользователей — Indeed Access Manager. Эта платформа обеспечивает многофакторную аутентификацию пользователей, усиливает защиту подключений к определённым ИТ-системам и безопасность доступа в целом. Вместо привычных паролей, которые не всегда соответствовали требованиям безопасности и были трудны для запоминания, используется двухфакторная система аутентификации.

Максим Королёв

Директор по ИБ ПАО «Сегежа Групп»

Мы используем продукт «Компании Индид» — Indeed Access Manager в части реализации второго фактора аутентификации. Все удалённые пользователи у нас подключаются с помощью этого продукта. Теперь просто скачать VPN и зайти под похищенной учётной записью у злоумышленника не получится. Возможность работы с VPN, которые мы используем, поддержка мобильных устройств всех типов, которые применяют наши работники и подрядчики; удобство интерфейса и надёжность работы были одними из ключевых аспектов выбора вендора.

Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Защита паролей
привилегированных
учетных записей

Демонстрация работы решения