Запись действий
и расследование
инцидентов

Использование PAM-системы позволяет создать полномасштабную систему контроля администраторов и, в частности, получить полную запись действий пользователя на компьютере, когда он реализует свои привилегированные права. При этом особенности архитектуры PAM-системы нейтрализуют ограничения, связанные со спецификой работы привилегированных пользователей.

Платформа Indeed PAM работает между рабочей станцией и целевым ресурсом. При такой схеме функционирования не важны особенности рабочей станции и целевого ресурса. Становится возможным отслеживание действий пользователей при любых активностях и практически на любых видах целевых ресурсов.

При работе привилегированного пользователя через Indeed PAM осуществляется фиксация действий в разных форматах:

• Видеозапись (открываемые окна, осуществляемые действия, движения мыши);
• Текстовая запись (команды, запускаемые процессы);
• Передача файлов;
• Нажатия клавиш;
• И т.д.

Все записи хранятся в едином хранилище Indeed PAM, который содержится отдельно от журналов целевых ресурсов.

При осуществлении привилегированного доступа всегда есть риск нарушить работу информационных систем или получить нежелаемое поведение. Indeed PAM осуществляет фиксацию действий в разном формате: видео- и текстовая запись, перехват команд, теневое копирование передаваемых файлов и другие. Все эти действия можно просмотреть в удобном виде сразу в консоли управления. Кроме непосредственно записи действий, решение фиксирует в журнале метаданные — информацию о подключениях (имя пользователя, протоколы, целевые ресурсы, время подключения и т.д.).

Более того, платформа Indeed PAM позволяет воздействовать на административную сессию и на действия пользователей вручную или автоматически, к примеру, разорвать сессию при вводе администратором “опасной” команды.

В случае выхода целевого ресурса из строя , всегда можно оперативно восстановить картину событий: определить причину сбоя и его инициатора. Это помогает оперативно локализовать инцидент, сэкономить ресурсы и сохранить репутацию.

Мониторинг в режиме реального времени

Платформа Indeed PAM позволяет осуществлять мониторинг действий администраторов в режиме реального времени. При этом, поддерживается масштабирование и мониторинг одновременно работающих администраторов.

Данный функционал включает в себя возможность просматривать любую активную сессию из консоли администратора PAM. Если администратор PAM увидит подозрительные либо сомнительные действия, - он сможет вручную разорвать сессию , а позднее и заблокировать этого привилегированного пользователя до разрешения ситуации.

Мониторинг в режиме реального времени может быть очень полезен при удаленной работе с критическими ресурсами и системами. С помощью Indeed PAM больше нет необходимости переплачивать за транспортные расходы удалённых привилегированных пользователей, чтобы была возможность визуально наблюдать их работу на площадке. Удалённый сотрудник может подключиться к критическому ресурсу в любой необходимый момент, а все его действия будут зафиксированы.

Журнал сессий

Единое централизованное хранилище информации и записей привилегированных сессий Indeed PAM позволяет решить проблему сложности получения детальных сведений об инциденте с поврежденного ресурса. Все действия привилегированных пользователей, поставленных под контроль, зафиксированы в журнале событий.

Важным дополнением является возможность включения в Indeed PAM двухфакторной аутентификации. Что, с одной стороны, вводит дополнительный уровень защиты для удаленных подключений, а с другой - делает практически невозможной ситуацию отказа привилегированных пользователей от “авторства” своих действий.

По каждой административной сессии можно получить информацию о времени подключения, длительности, имени пользователя , целевом ресурсе. В журнале Indeed PAM имеется инструмент для поиска сессий по конкретным признакам.

Все эти возможности позволяют не только оперативно разобраться в практически любой ситуации, но и использовать записи сессий для иных задач: контроль рабочего времени, разбор ошибок, что особенно актуально для новых сотрудников.

Видео и текстовая запись

Платформа Indeed PAM записывает все действия привилегированных пользователей как в видео, так и в текстовом формате.

В процессе работы привилегированных пользователей их действия могут привести к сбою, ухудшению качества работы целевого ресурса, нарушениям работы приложения. Качество работы привилегированных пользователей может отличаться от заявленного. Причем в основном- в худшую сторону.

Использование решений класса Employee-Monitoring Products and Services (EMPS), предназначенных для оценки эффективности рабочего времени сотрудников и осуществления записи действий, имеет существенные ограничения при их использовании для контроля привилегированных пользователей:

• Агент EMPS может быть отключен или удален привилегированным пользователем со своей рабочей станции или сервера
• Целевые ресурсы могут не поддерживать установку дополнительного ПО (в первую очередь это касается устройств)
• Привилегированный пользователь может работать в другой организации (подрядчик) или использовать личное устройство для подключения к целевому ресурсу , что делает невозможным установку агента EMPS.

При использовании Indeed PAM, в случае возникновения внештатной ситуации или необходимости более глубокого анализа работы привилегированных пользователей можно поднять все записи и передать их ответственным сотрудникам для последующего принятия решения и организационных выводов.

Контроль передаваемых файлов

PAM-система поддерживает возможность фиксации факта передачи файлов и их теневого копирования в базу PAM. Это полезно, когда в рамках административной сессии возникает необходимость передать на сервер или скачать с него определенный файл или документ.

Передача файлов в таких случаях зачастую осуществляется с помощью стандартного функционала административных протоколов. Тот же протокол RDP позволяет удаленно подсоединить логический диск к целевой системе в рамках терминальной сессии. К примеру, это может быть загрузка на сервер обновлений, или, наоборот, выгрузка отчетов или конфигурационных файлов с сервера.

Фиксация факта передачи файлов и их теневое копирование позволяют понять, какого рода информация была передана и насколько она критична для организации.

Блокировка команд и управление привилегиями

Платформа Indeed PAM может осуществлять контроль вводимых команд в административной сессии.

Иногда сложно предсказать, какие действия могут привести к сбою целевого ресурса или к нарушению корректной работы бизнес-сервиса. В иных случаях часть действий могут вызвать сбой или несовместимость в будущем. К примеру, это может быть обновление ПО или ОС на сервере.

Реакция на выявленные команды сводится к двум действиям:

• Разрыв сессии для предотвращения передачи команды и сбоя;
• Уведомление ответственного администратора или владельца ресурса о произошедшем событии.

После выявления "опасной" команды в потоке возможна последующая блокировка привилегированного пользователя или самого доступа к целевому ресурсу. Фильтрация команд может осуществляться в двух режимах:

• Список запрещенных команд - "все, что явно не запрещено - разрешено";
• Список разрешенных команд - "все, что явно не разрешено - запрещено".

Последний случай позволяет управлять полномочиями привилегированных пользователей через разрешение заранее определенных действий.

Уведомления пользователей и интеграция с системами мониторинга

PAM-система позволяет отправлять уведомления о критичных или важных событиях ответственным лицам: администраторам, руководству, пользователям. Отправка уведомлений осуществляется на SMTP-сервер. Перечень событий для отправки уведомлений может настраиваться.

Платформа Indeed PAM поддерживает интеграцию с продуктами класса Security information and event management (SIEM) через отправку событий по протоколу syslog.

Интеграция с SIEM позволяет, к примеру, сформировать правила обработки и корреляции событий, которые будут выявлять подключения к критичным ресурсам в обход PAM (на ресурсе событие зафиксировано, на PAM - нет). В случае сбоя или выхода из строя ресурса - в SIEM будет отображено, какие сотрудники работали с ресурсом в момент сбоя, даже если сам ресурс не успел передать журналы в SIEM.

Расследование инцидентов

При расследовании инцидентов информационной безопасности, связанных с действиями привилегированных пользователей, может быть недостаточно аналитики и исходных метаданных. Они не всегда позволяют установить истинные причины сбоя, оперативно локализовать инцидент и принять меры для недопущения подобной ситуации в будущем. Также недостаток данных требует гораздо больше времени для расследования и снижает его качество. При использовании Indeed PAM расследование можно свести к следующим шагам:

• Обнаружен инцидент, связанный с привилегированным доступом
• Готовится выборка записей административных сессий, связанных с этим инцидентом
• Осуществляется просмотр и анализ этих записей
• Формируется полная картина инцидента (включая последовательность действий, которая привела к сбою)
• Выявленная "опасная" последовательность действий вносится в соответствующий документ, либо вносятся корректировки в инструкции
• Принимаются меры по восстановлению ресурса
• Принимаются меры к ответственному за инцидент

Описанная функциональная возможность позволяет существенно сократить время реагирования на инциденты, что не только повышает производительность труда, но и позволяет сэкономить ресурсы.

Необоснованные обвинения сотрудников

После выхода из строя критичного ресурса возможна ситуация необоснованного обвинения невиновного сотрудника по косвенным признакам (подключался к ресурсу в примерное время инцидента), из-за чего компания может потерять перспективного специалиста, что, в свою очередь, ухудшает “рабочую атмосферу” в коллективе.

Возможности Indeed PAM позволяют однозначно установить ответственного за сбой и определить степень умышленности с помощью анализа соответствующих записей действий (видео, текст, команды, переданные файлы, время подключения, протокол/приложение и т.д.).

Используя РАМ-систему, порядочные и ответственные сотрудники могут рассчитывать на объективную оценку своих действий и, так как вероятность ошибок всегда присутствует, не опасаться за непредумышленный инцидент.

Функции записи действий:

• Видеозапись сессий с возможностью настройки качества видео
• Текстовая запись сессий
• Периодическое снятие скриншотов сессий с возможностью настройки качества изображений
• Поддерживаемые протоколы: RDP, SSH, опубликованный web и толстые клиенты
• Теневое копирование файлов

Сведения, содержащиеся в журнале сессий:

• Время подключения
• Привилегированный пользователь
• Использованная учётная запись
• Целевой ресурс
• Тип подключения: протокол, приложение
• Длительность подключения
• Состояние соединения: активное, прерванное, завершенное

Блокировка текстовых команд. Режимы:

• Списки запрещенных команд;
• Списки разрешенных команд.

Блокировка текстовых команд. Поддерживаемые протоколы:

• SSH

Контроль передачи файлов. Поддерживаемые протоколы:

• RDP. Удаленное подключение (проброс) логического диска.

Уведомления и передача событий. Протоколы:

• SMTP;
• syslog.

• Indeed Privileged Manager (Indeed РАМ) имеет сертификат ФСТЭК России по 4 уровню доверия. Важно отметить, что сертифицированный Indeed PAM поддерживает установку в операционной системе специального назначения «Astra Linux Special Edition».
• Продукт Indeed Privileged Access Manager зарегистрирован в Едином реестре российских программ для ЭВМ и баз данных за рег. номером 6351