Запись действий
и расследование
инцидентов

Решение на основе Indeed PAM фиксирует действия привилегированных пользователей для расследования инцидентов. Получите описание решения и примеры сценариев применения.

Получить описание

Демонстрация работы решения

Посмотрите короткий ролик о контроле и записи действий привилегированных пользователей или запланируйте демонстрацию

запланировать демонстрацию

Описание решения

Задача

В современном мире наблюдается тенденция к цифровизации бизнес-процессов. Цифровая экономика, автоматизация и информатизация дают большие преимущества компании в части:

  • оперативности функционирования;
  • эффективности принятия решений;
  • выхода на новые рынки;
  • повышения качества услуг;
  • и т.д.

В то же время эффективность функционирования ИТ-инфраструктуры и корпоративных ИТ-сервисов зависит от качества работы системных администраторов и иных привилегированных пользователей. Они обладают широкими полномочиями и напрямую влияют на корректное функционирование различных информационных систем и бизнес-процессов компании. При этом привилегированные полномочия выданы в соответствии с должностными обязанностями соответствующих сотрудников.

Но выданные широкие полномочия являются источником потенциальной опасности. Даже если исключить злонамеренные действия, взломы и явный саботаж, остается достаточно большое количество инцидентов, связанных с т.н. “человеческим фактором”.

К примеру, возможна ситуация, когда сотрудник совершил ряд непредумышленных ошибок, приведших к выходу из строя какого-либо сервера. Независимо от того, как быстро была решена проблема, руководство должно выяснить причину отказа в функционировании.

Иные решения информационной безопасности, имеющие функционал для мониторинга активности пользователей, зачастую работают либо на уровне рабочей станции сотрудника, либо находятся на выделенном сервере и отвечают за сбор и анализ происходящих в ИТ-инфраструктуре событий.

Однако, при возникновении задачи контроля действий привилегированных пользователей, такие решения не подходят из-за целого ряда ограничений их работы. К примеру, если сервер недоступен, нет возможности получить с него журналы и отдать их на анализ. Администрируемый ресурс может находится на сервере со специфической операционной системой, куда невозможно установить дополнительное ПО для мониторинга. Привилегированный пользователь может быть сотрудником другой организации и подключаться к критичным ресурсам либо со своего личного устройства, либо с устройства другой организации, что затрудняет установку на его рабочую станцию ПО для записи действий пользователя на компьютере.

Все упомянутые сценарии делают невозможным полноценный аудит действий привилегированных пользователей. Наличие проблем с реализацией полноценного мониторинга действий пользователей, обладающих особыми привилегиями, создает угрозы безопасности компании. Оптимальным решением будет использование специализированных программных комплексов класса Privileged Access Management (также известны как: Privileged User Management, Privileged Identity Management, Privileged Account Management).

Применение подобных программных комплексов позволит создать систему контроля действий администраторов.

Решение

Использование PAM-системы позволяет создать полномасштабную систему контроля администраторов и, в частности, получить полную запись действий пользователя на компьютере, когда он реализует свои привилегированные права. При этом особенности архитектуры PAM-системы нейтрализуют ограничения, связанные со спецификой работы привилегированных пользователей.

Платформа Indeed PAM работает между рабочей станцией и целевым ресурсом. При такой схеме функционирования не важны особенности рабочей станции и целевого ресурса. Становится возможным отслеживание действий пользователей при любых активностях и практически на любых видах целевых ресурсов.

При работе привилегированного пользователя через Indeed PAM осуществляется фиксация действий в разных форматах:

  • Видеозапись (открываемые окна, осуществляемые действия, движения мыши);
  • Текстовая запись (команды, запускаемые процессы);
  • Передача файлов;
  • Нажатия клавиш;
  • И т.д.

Все записи хранятся в едином хранилище Indeed PAM, который содержится отдельно от журналов целевых ресурсов.

Запись и анализ действий пользователей

При осуществлении привилегированного доступа всегда есть риск нарушить работу информационных систем или получить нежелаемое поведение. Indeed PAM осуществляет фиксацию действий в разном формате: видео- и текстовая запись, перехват команд, теневое копирование передаваемых файлов и другие. Все эти действия можно просмотреть в удобном виде сразу в консоли управления. Кроме непосредственно записи действий, решение фиксирует в журнале метаданные — информацию о подключениях (имя пользователя, протоколы, целевые ресурсы, время подключения и т.д.).

Более того, платформа Indeed PAM позволяет воздействовать на административную сессию и на действия пользователей вручную или автоматически, к примеру, разорвать сессию при вводе администратором “опасной” команды.

В случае выхода целевого ресурса из строя , всегда можно оперативно восстановить картину событий: определить причину сбоя и его инициатора. Это помогает оперативно локализовать инцидент, сэкономить ресурсы и сохранить репутацию.

Применение

Мониторинг в режиме реального времени

Платформа Indeed PAM позволяет осуществлять мониторинг действий администраторов в режиме реального времени. При этом, поддерживается масштабирование и мониторинг одновременно работающих администраторов.

Данный функционал включает в себя возможность просматривать любую активную сессию из консоли администратора PAM. Если администратор PAM увидит подозрительные либо сомнительные действия, - он сможет вручную разорвать сессию , а позднее и заблокировать этого привилегированного пользователя до разрешения ситуации.

Мониторинг в режиме реального времени может быть очень полезен при удаленной работе с критическими ресурсами и системами. С помощью Indeed PAM больше нет необходимости переплачивать за транспортные расходы удалённых привилегированных пользователей, чтобы была возможность визуально наблюдать их работу на площадке. Удалённый сотрудник может подключиться к критическому ресурсу в любой необходимый момент, а все его действия будут зафиксированы.

Журнал сессий

Единое централизованное хранилище информации и записей привилегированных сессий Indeed PAM позволяет решить проблему сложности получения детальных сведений об инциденте с поврежденного ресурса. Все действия привилегированных пользователей, поставленных под контроль, зафиксированы в журнале событий.

Важным дополнением является возможность включения в Indeed PAM двухфакторной аутентификации. Что, с одной стороны, вводит дополнительный уровень защиты для удаленных подключений, а с другой - делает практически невозможной ситуацию отказа привилегированных пользователей от “авторства” своих действий.

По каждой административной сессии можно получить информацию о времени подключения, длительности, имени пользователя , целевом ресурсе. В журнале Indeed PAM имеется инструмент для поиска сессий по конкретным признакам.

Все эти возможности позволяют не только оперативно разобраться в практически любой ситуации, но и использовать записи сессий для иных задач: контроль рабочего времени, разбор ошибок, что особенно актуально для новых сотрудников.

Видео и текстовая запись

Платформа Indeed PAM записывает все действия привилегированных пользователей как в видео, так и в текстовом формате.

В процессе работы привилегированных пользователей их действия могут привести к сбою, ухудшению качества работы целевого ресурса, нарушениям работы приложения. Качество работы привилегированных пользователей может отличаться от заявленного. Причем в основном- в худшую сторону.

Использование решений класса Employee-Monitoring Products and Services (EMPS), предназначенных для оценки эффективности рабочего времени сотрудников и осуществления записи действий, имеет существенные ограничения при их использовании для контроля привилегированных пользователей:

  • Агент EMPS может быть отключен или удален привилегированным пользователем со своей рабочей станции или сервера
  • Целевые ресурсы могут не поддерживать установку дополнительного ПО (в первую очередь это касается устройств)
  • Привилегированный пользователь может работать в другой организации (подрядчик) или использовать личное устройство для подключения к целевому ресурсу , что делает невозможным установку агента EMPS.

При использовании Indeed PAM, в случае возникновения внештатной ситуации или необходимости более глубокого анализа работы привилегированных пользователей можно поднять все записи и передать их ответственным сотрудникам для последующего принятия решения и организационных выводов.

Контроль передаваемых файлов

PAM-система поддерживает возможность фиксации факта передачи файлов и их теневого копирования в базу PAM. Это полезно, когда в рамках административной сессии возникает необходимость передать на сервер или скачать с него определенный файл или документ.

Передача файлов в таких случаях зачастую осуществляется с помощью стандартного функционала административных протоколов. Тот же протокол RDP позволяет удаленно подсоединить логический диск к целевой системе в рамках терминальной сессии. К примеру, это может быть загрузка на сервер обновлений, или, наоборот, выгрузка отчетов или конфигурационных файлов с сервера.

Фиксация факта передачи файлов и их теневое копирование позволяют понять, какого рода информация была передана и насколько она критична для организации.

Блокировка команд и управление привилегиями

Платформа Indeed PAM может осуществлять контроль вводимых команд в административной сессии.

Иногда сложно предсказать, какие действия могут привести к сбою целевого ресурса или к нарушению корректной работы бизнес-сервиса. В иных случаях часть действий могут вызвать сбой или несовместимость в будущем. К примеру, это может быть обновление ПО или ОС на сервере.

Реакция на выявленные команды сводится к двум действиям:

  • Разрыв сессии для предотвращения передачи команды и сбоя;
  • Уведомление ответственного администратора или владельца ресурса о произошедшем событии.

После выявления "опасной" команды в потоке возможна последующая блокировка привилегированного пользователя или самого доступа к целевому ресурсу. Фильтрация команд может осуществляться в двух режимах:

  • Список запрещенных команд - "все, что явно не запрещено - разрешено";
  • Список разрешенных команд - "все, что явно не разрешено - запрещено".

Последний случай позволяет управлять полномочиями привилегированных пользователей через разрешение заранее определенных действий.

Уведомления пользователей и интеграция с системами мониторинга

PAM-система позволяет отправлять уведомления о критичных или важных событиях ответственным лицам: администраторам, руководству, пользователям. Отправка уведомлений осуществляется на SMTP-сервер. Перечень событий для отправки уведомлений может настраиваться.

Платформа Indeed PAM поддерживает интеграцию с продуктами класса Security information and event management (SIEM) через отправку событий по протоколу syslog.

Интеграция с SIEM позволяет, к примеру, сформировать правила обработки и корреляции событий, которые будут выявлять подключения к критичным ресурсам в обход PAM (на ресурсе событие зафиксировано, на PAM - нет). В случае сбоя или выхода из строя ресурса - в SIEM будет отображено, какие сотрудники работали с ресурсом в момент сбоя, даже если сам ресурс не успел передать журналы в SIEM.

Расследование инцидентов

При расследовании инцидентов информационной безопасности, связанных с действиями привилегированных пользователей, может быть недостаточно аналитики и исходных метаданных. Они не всегда позволяют установить истинные причины сбоя, оперативно локализовать инцидент и принять меры для недопущения подобной ситуации в будущем. Также недостаток данных требует гораздо больше времени для расследования и снижает его качество. При использовании Indeed PAM расследование можно свести к следующим шагам:

  • Обнаружен инцидент, связанный с привилегированным доступом
  • Готовится выборка записей административных сессий, связанных с этим инцидентом
  • Осуществляется просмотр и анализ этих записей
  • Формируется полная картина инцидента (включая последовательность действий, которая привела к сбою)
  • Выявленная "опасная" последовательность действий вносится в соответствующий документ, либо вносятся корректировки в инструкции
  • Принимаются меры по восстановлению ресурса
  • Принимаются меры к ответственному за инцидент

Описанная функциональная возможность позволяет существенно сократить время реагирования на инциденты, что не только повышает производительность труда, но и позволяет сэкономить ресурсы.

Необоснованные обвинения сотрудников

После выхода из строя критичного ресурса возможна ситуация необоснованного обвинения невиновного сотрудника по косвенным признакам (подключался к ресурсу в примерное время инцидента), из-за чего компания может потерять перспективного специалиста, что, в свою очередь, ухудшает “рабочую атмосферу” в коллективе.

Возможности Indeed PAM позволяют однозначно установить ответственного за сбой и определить степень умышленности с помощью анализа соответствующих записей действий (видео, текст, команды, переданные файлы, время подключения, протокол/приложение и т.д.).

Используя РАМ-систему, порядочные и ответственные сотрудники могут рассчитывать на объективную оценку своих действий и, так как вероятность ошибок всегда присутствует, не опасаться за непредумышленный инцидент.

Технические характеристики

Функции записи действий:

  • Видеозапись сессий с возможностью настройки качества видео
  • Текстовая запись сессий
  • Периодическое снятие скриншотов сессий с возможностью настройки качества изображений
  • Поддерживаемые протоколы: RDP, SSH, опубликованный web и толстые клиенты
  • Теневое копирование файлов

Сведения, содержащиеся в журнале сессий:

  • Время подключения
  • Привилегированный пользователь
  • Использованная учётная запись
  • Целевой ресурс
  • Тип подключения: протокол, приложение
  • Длительность подключения
  • Состояние соединения: активное, прерванное, завершенное

Блокировка текстовых команд. Режимы:

  • Списки запрещенных команд;
  • Списки разрешенных команд.

Блокировка текстовых команд. Поддерживаемые протоколы:

  • SSH

Контроль передачи файлов. Поддерживаемые протоколы:

  • RDP. Удаленное подключение (проброс) логического диска.

Уведомления и передача событий. Протоколы:

  • SMTP;
  • syslog.

Сертификаты

  • Indeed Privileged Manager (Indeed РАМ) имеет сертификат ФСТЭК России по 4 уровню доверия. Важно отметить, что сертифицированный Indeed PAM поддерживает установку в операционной системе специального назначения «Astra Linux Special Edition».
  • Продукт Indeed Privileged Access Manager зарегистрирован в Едином реестре российских программ для ЭВМ и баз данных за рег. номером 6351

Получить бюджетную оценку проекта

Получить опросный лист

Варианты применения решения

Отраслевые
кейсы Управление доступом привилегированных пользователей
Соответствие
регуляторам Управление доступом привилегированных пользователей

Программа импортозамещения

Ознакомьтесь со специальными условиями для комфортного перехода на российское программное обеспечение

Посмотреть

другие решения

Защита паролей привилегированных учетных записей
Запись действий и расследование инцидентов
Удаленный доступ администраторов к ресурсам
Контролируемый доступ подрядчиков в ИС компании

отзывы клиентов

Сергей Крамаренко

руководитель департамента кибербезопасности Альфа-Банка

Отечественное решение Indeed AM оказалось лучше западного. Cистема многофакторной аутентификации пользователей не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение. В процессе масштабирования Indeed Access Manager мы расширили зоны покрытия инструментом двухфакторной аутентификации: 2FA стали использовать в большем количестве ИТ-систем и СЗИ. Мы смогли этого достичь за счет широкого интеграционного функционала решения и оперативной поддержки со стороны команды Компании Индид. Это позволило нам повысить уровень защищенности корпоративной инфраструктуры и закрыть часть требований регуляторных органов (Банк России, ФСТЭК).

Подробнее
Игорь Соловьев

директор департамента информационных систем и сервисов Фонда «Сколково»

В «Компании Индид» работают специалисты, в частности команда технической поддержки, которая оперативно решает все технические вопросы, что крайне важно для нас как заказчика. Помимо этого, уже на этапе пресейла, компания оказывала нам наиболее полную помощь, которую можно оказать — полное информирование по продукту, по функционалу, интеграции с другими целевыми системами, несмотря на то, что мы тогда ещё даже не говорили о покупке.

Подробнее
Григорий Ушаков

директор департамента безопасности компании «СберРешения»

Уже много лет мы используем решение для усиленной аутентификации пользователей — Indeed Access Manager. Эта платформа обеспечивает многофакторную аутентификацию пользователей, усиливает защиту подключений к определённым ИТ-системам и безопасность доступа в целом. Вместо привычных паролей, которые не всегда соответствовали требованиям безопасности и были трудны для запоминания, используется двухфакторная система аутентификации.

Подробнее
Максим Королёв

Директор по ИБ ПАО «Сегежа Групп»

Мы используем продукт «Компании Индид» — Indeed Access Manager в части реализации второго фактора аутентификации. Все удалённые пользователи у нас подключаются с помощью этого продукта. Теперь просто скачать VPN и зайти под похищенной учётной записью у злоумышленника не получится. Возможность работы с VPN, которые мы используем, поддержка мобильных устройств всех типов, которые применяют наши работники и подрядчики; удобство интерфейса и надёжность работы были одними из ключевых аспектов выбора вендора.

Подробнее
Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее