Значение PAM в современной ИТ-среде
Сегодня большое число компаний пользуются услугами сторонних ИТ-специалистов. Развитие телекоммуникаций позволяет обслуживать компьютерную инфраструктуру удалённо, предоставляя аутсорсерам доступ в корпоративную информационную систему. Обычно для этих целей создаётся отдельный аккаунт с правами администратора.
Действия ИТ-специалистов нередко становятся причиной утечки конфиденциальной информации. Даже если привилегированный пользователь не имеет злого умысла, ценные данные могут оказаться в Сети из-за неправильных настроек доступа к файловому хранилищу или корпоративному веб-сервису.
Ещё одна причина появления внешних привилегированных пользователей — проверки государственных органов и аудиторских компаний, которые могут проходить очно или удалённо. Для доступа к бухгалтерской и управленческой отчётности проверяющим нужны расширенные права в системе. Также необходимы внутренние учётные записи с полномочиями для управления инфраструктурой. Однако такие права могут быть использованы во вред, как показывают случаи, когда системные администраторы мстили своим работодателям.
Таким образом, руководители организаций хотят не только отслеживать и записывать действия всех привилегированных пользователей, но и гибко управлять их правами. Предоставление избыточных прав может привести к утечке данных и финансовым потерям, например, если важная информация, доступная проверяющему или ИТ-специалисту, попадёт к конкурентам.
Дополнительную ответственность на компании накладывают законы о защите персональной информации, такие как отечественный Федеральный закон №152-ФЗ и европейский GDPR.
Что такое контроль привилегированных пользователей?
Контроль привилегированных пользователей — краеугольный камень современной кибербезопасности. Мы подробно рассмотрим, что скрывается за аббревиатурой PAM, какие угрозы она помогает предотвратить и как обеспечивает надежную защиту от внутренних и внешних рисков.Исполнительный директор Digital Agency STГеннадий Поляков
Программы, относящиеся к этому классу, способны решать следующие задачи:
- Идентификация и аутентификация пользователей с расширенным набором прав;
- Мониторинг деятельности владельцев административных аккаунтов, сбор статистики и ведение журнала их работы;
- Оперативный анализ аномальной активности привилегированных пользователей, выявление действий, которые могут нести угрозу информационной безопасности, а также их блокировка;
- Организация защищённого хранилища учётных записей и предоставление единой точки входа с наличием многофакторной авторизации и других механизмов;
- Адаптивное понижение разрешений, выданных привилегированным пользователям, до уровня, который достаточен для выполнения определённой задачи;
- Блокировка использования неизменяемых логинов и паролей в сторонних приложениях;
- Уход от бесконтрольного использования разделяемых учетных записей (вроде root и admin).
В данный момент сложилась устойчивая терминология для обозначения таких систем. Чаще всего этот класс называют Privileged Access Management (PAM), хотя ранее производители использовали при описании своих решений и другие термины:
- Privileged User Management (PUM);
- Privileged Identity Management (PIM);
- Privileged Password Management (PPM);
- Privileged Account Security (PAS).
В некоторых случаях вместо «Access» используется «Account», а вместо «Management» — «Manager». Тем не менее, в этой статье мы будем применять аббревиатуру «PAM» для обозначения программных и программно-аппаратных решений такого рода.
Принцип контроля привилегированных пользователей
Контроль их действий достигается за счёт идентификации сессий, требующих расширенного набора прав, и авторизации их инициаторов через специальный защищённый шлюз. В дальнейшем PAM-решение регистрирует все действия привилегированных клиентов, а также анализирует их поведение по ряду параметров. Сейчас для реализации этой функции всё чаще применяют искусственный интеллект и методы машинного обучения. В случае некорректных действий со стороны привилегированной учётной записи система может отправить уведомление ответственному лицу, ограничить набор прав или полностью разорвать соединение.
Принцип работы PAM-системы управления привилегированным доступом.
Ещё несколько лет назад большинство PAM-продуктов представляло собой одну из подсистем полезных решений для управления процессом идентификации пользователей — Identity and Access Management (IAM). Такой идеологии до сих пор придерживаются многие крупные игроки, старающиеся закрыть максимум потребностей потенциальных клиентов. Например, у One Identity есть отдельное PAM-решение с возможностью интеграции между IDM и PAM. В результате на выходе клиенты могут получить «комбайн» PAG (Privileged Access Governance).
Но наблюдается и обратный процесс — продукты, ранее сфокусированные на решении относительно узкой задачи контроля привилегированных пользователей, приобретают всё больше функций, ранее им несвойственных. Помимо мониторинга сессий многие PAM-системы обеспечивают защищённое хранение паролей и криптоключей, интеграцию с SIEM-продуктами, фильтрами безопасности и CRM-системами. Некоторые разработки способны выступать в качестве надстройки для других решений, обеспечивая двухфакторную аутентификацию и управление DevOps-средами.
Современные программы для управления привилегированным доступом могут содержать следующие подсистемы:
- Диспетчер сеансов (Privileged Session Manager, PSM), который контролирует сессии с расширенным набором прав в разрезе используемых ресурсов;
- Блок анализа действий пользователя и предупреждения противоправной активности;
- Диспетчер паролей приложений (Application-to-Application Password Manager, AAPM), выявляющий «вшитые» пароли и подменяющий их собственной службой авторизации;
- Модуль единого входа (Single Sign-On, SSO), реализующий одноимённую технологию для уменьшения поверхности атаки.
Технически PAM-решения могут представлять собой локальные продукты, однако этот формат поставки сопряжён с высокими затратами на внедрение и операционными расходами. Многие поставщики предлагают облачные или гибридные системы, распространяемые по модели «программное обеспечение как услуга» (Software-as-a-Service, SaaS). Одним из прогрессивных трендов последнего времени стало отсутствие агентов на клиентских устройствах, что позволяет безопасно работать с необходимыми ресурсами через обычный браузер.
Мировой рынок систем контроля привилегированных пользователей
Глобальный рынок решений для управления привилегированным доступом активно развивается. По данным компании TechNavio, с 2018 года он демонстрирует совокупный среднегодовой темп роста в размере 23% и сохранит эту динамику вплоть до 2020-го. В нашем предыдущем обзоре, вышедшем три года назад, мы отмечали, что по прогнозам к 2019 году объём реализуемых PAM-продуктов составит около $1,2 млрд, однако на деле такие показатели были достигнуты на два года раньше.
По мнению аналитиков, рынок представляет собой высококонцентрированную конкурентную среду, где большая часть объёма продаж приходится на относительно небольшую группу сильнейших игроков. Как следует из исследования TechNavio, активнее всего приобретают PAM-решения компании из США — на их долю приходится около 40% общемирового объёма продаж.
В декабре 2018 года компания Gartner проанализировала основных поставщиков систем для управления доступом привилегированных пользователей и выделила группу лидеров, куда включила четыре компании:
Исследователи считают, что эти вендоры предлагают лучший набор инструментов для администрирования привилегированного доступа и имеют самую большую клиентскую базу. Это — глобальные игроки, ориентированные на самый широкий сегмент потенциальных заказчиков.
Ещё три разработчика — One Identity, Thycotic и senhasegura близки к лидерам, но имеют меньшую базу установок или фокус на отдельных рынках и регионах. В частности, бразильская компания senhasegura больше известна в Латинской Америке, чем в Европе. У One Identity, в свою очередь, — более 50 заказчиков в России и СНГ.
Специалисты Gartner выделили также большую группу нишевых игроков:
Разработки этих вендоров нацелены на конкретные отрасли, для которых набор их возможностей является оптимальным. Количество клиентов у них невелико (в сравнении с лидерами), однако они, как правило, предлагают заказчикам наиболее эффективные решения для конкретной области деятельности.
Драйверами роста этого сегмента рынка является:
- Дальнейшее развитие телекоммуникационных технологий и связанное с ним увеличение количества услуг на базе ИТ-аутсорсинга;
- Развитие DevOps-методов и необходимость поддерживать безопасность процесса разработки и обслуживания программных продуктов;
- Повсеместное использование бизнесом облачных решений с различными подходами к безопасности;
- Жёсткие требования государственных органов по контролю персональных данных граждан и рост возможных санкций за нарушение GDPR, Федерального закона №152-ФЗ и других нормативных правовых актов.
Отечественный рынок систем контроля привилегированных пользователей
На российском рынке представлены наиболее значимые зарубежные решения для контроля привилегированных пользователей. Обычно продажи и внедрения таких систем осуществляются через уполномоченных представителей. В частности, программные продукты компании One Identity, которая в России представлена как вендор, продвигают дистрибьюторы Merlion и Aflex (в СНГ — «БАКОТЕК»), за решения BeyondTrust отвечает ООО «Пирит», а за системы CyberArk — дистрибьютор Softprom.
Среди российских разработчиков PAM-решений можно выделить компанию «Новые технологии безопасности» с продуктом SafeInspect. Вендор позиционирует своё решение как простой и гибкий инструмент для контроля действий привилегированных пользователей и управления доступом к приложениям. Программа сертифицирована российскими регуляторами.
Компания Zecurion, которая занимается защитой информации от утечек, продаёт собственную PAM-систему. Решение Zecurion Privileged Access Management обеспечивает безопасный удалённый доступ привилегированных пользователей к серверам, запись их действий и видеофиксацию рабочего стола, протоколирует параметры входа.
Относительно недавно, в 2018 году, российская компания «Индид» начала работу над PAM-системой. Разработка «Индид» позволяет вести видеомониторинг действий привилегированных пользователей и управлять учётными записями с расширенным набором прав, обеспечивает двухфакторную аутентификацию администраторов. Помимо этого, в зависимости от типа сессии PAM-система от «Индид» способна вести текстовый протокол, делать снимки экрана и фиксировать передаваемые на конечные ресурсы файлы.
Также выделим «АйТи БАСТИОН» — компанию, разрабатывающую семейство программных продуктов СКДПУ («Система контроля действий поставщиков IT-услуг»). Решение СКДПУ сертифицировано Минкомсвязи РФ, имеет допуск НДВ-2 Министерства обороны РФ и выпускается на российском рынке.
Отметим, что за несколько лет, прошедших с выхода нашего предыдущего обзора PAM-решений, конкуренция в секторе увеличилась. В борьбу за клиентов как на мировом, так и на российском рынке включились новые игроки. Российские производители успешно разыгрывают национальную карту, предлагая сертифицированные решения государственным организациям. Зарубежные производители тоже работают в этом направлении, но лучшие перспективы имеют в частных компаниях.
Некоторые вендоры не рассматривают рынок систем управления привилегированным доступом в качестве основного и предлагают соответствующую функциональность клиентам своих IDM-решений или DLP-продуктов (к примеру, Zecurion)
Краткий обзор систем от зарубежных производителей для управления доступом привилегированных пользователей
.png)
BeyondInsight
Ссылка на страницу продукта: www.beyondtrust.com
Американский вендор BeyondTrust выпустил несколько решений для управления доступом привилегированных пользователей, объединённых в общую платформу BeyondInsight. Компоненты для управления учётными записями, контроля избыточных прав и организации удалённого доступа с расширенными привилегиями могут быть интегрированы в рамках единого решения.
.png "Программный продукт BeyondInsigh от компании «BeyondTrust»")
Программный продукт BeyondInsigh от компании «BeyondTrust»
Центр управления учётными записями Password Safe предназначен для менеджмента паролей и сеансов.
Основные возможности продукта:
- Автоматическое обнаружение аккаунтов с расширенными правами и включение их в контролируемый контур;
- Безопасное управление SSH-ключами и защита секретов от компрометации;
- Адаптивный API для авторизации в сторонних приложениях, который предотвращает использование встроенных или сохранённых паролей;
- Мониторинг привилегированных сеансов в режиме реального времени с расширенной аналитикой по основным характеристикам поведения пользователей.
Приложение Endpoint Privilege Management обеспечивает удаление избыточных прав пользователей на рабочих станциях, серверах и сетевых устройствах. Решение позволяет:
- Оперативно изменять уровень доступа пользователей и приложений в зависимости от их задач и в соответствии с заданными политиками безопасности (избыточные права, ненужные для выполнения запрошенных действий, отключаются);
- Вести белый список приложений и управлять рисками их использования на основе данных об известных уязвимостях;
- Проводить аналитику угроз — определять уровень опасности того или иного действия пользователя с учётом сведений об известных недостатках в ПО;
- Выполнять мониторинг файлов и реестров — регулярный аудит изменений в критически важных политиках, системных и прикладных объектах и ключах реестра.
Отдельный продукт, Privileged Remote Access, обеспечивает безопасность при удалённом подключении привилегированных пользователей к корпоративной сети. Приложение даёт возможность::
- Контролировать сеансы удалённого доступа с расширенными правами, открытые через протоколы RDP, VNS, SSH, а также при помощи собственного защищённого агента;
- Гибко интегрировать процессы управления правами с SIEM-решениями различных производителей для оперативного обнаружения угроз;
- Управлять привилегированным доступом к облачным ресурсам с использованием собственной веб-консоли или интерфейсов массовых сервисов (AWS, Google Cloud, Microsoft Azure, IBM Softlayer и других).
.png)
Privileged Access Manager
Ссылка на страницу продукта: www.cyberark.com
Компания CyberArk предлагает линейку решений для контроля доступа привилегированных пользователей, флагманом которой является комплексная система Core Privileged Access Security. Продукт защищает аккаунты клиентов с расширенным набором прав в среде Windows и *NIX, а также предоставляет широкие возможности для аудита их действий, включая автоматическое предупреждение об аномальной активности.
.png "Программный продукт Privileged Access Manager от компании «CyberArk»")
Программный продукт Privileged Access Manager от компании «CyberArk»
Решение содержит подсистему хранения паролей - Enterprise Password Vault (EPV), менеджер сеансов привилегированных пользователей - Privileged Session Manager (PSM), диспетчер доступа к приложениям - Application Access Manager (ААМ), а также аналитический модуль для распознавания угроз - Privileged Threat Analytics (ΡΤΑ). Программа поставляется в формате локального, облачного или SaaS-решения.
Ключевые возможности Core Privileged Access Security:
- Формирование собственных правил и политик управления доступом, охватывающих всех привилегированных пользователей, изоляция и дополнительная защита аккаунтов с расширенным набором прав;
- Мониторинг работы привилегированных аккаунтов в режиме реального времени с возможностью создания текстового журнала или видео на основе выполненных действий;
- Автоматическое определение аномальной активности пользователя на основании данных из нескольких источников и сложной комбинации статистических и детерминированных алгоритмов;
- Отключение ненужных root-привилегий при запуске административных команд из сеансов Unix и Linux;
- Единая служба управления SSH-ключами, которая обеспечивает безопасное хранение хеш-последовательностей, контроль доступа к ним и синхронизацию с открытыми подписями;
- Защита контроллера домена Windows, позволяющая управлять правами пользователей и приложений при использовании ключевых онлайн-сервисов. Решение способно выявлять атаки на сервер Active Directory и центр распределения ключей, включая инциденты вида Golden Ticket и Overpass-the-Hash, манипулирование PAC-сертификатом.
Layer7 Privileged Access Management
Ссылка на страницу продукта: www.broadcom.com
В ноябре 2018 года Broadcom приобрела компанию CA Technologies и провела ребрендинг её продуктовой линейки. В связи с этим решение для управления привилегированным доступом CA Privileged Access Management теперь распространяется под названием Layer7 Privileged Access Management. Разработка позиционируется как универсальная, кроссплатформенная система для контроля работы со всеми ИТ-ресурсами организации. В состав продукта входит модуль анализа угроз на основе машинного обучения, который способен автоматически снижать уровень привилегий или полностью разрывать соединение при обнаружении подозрительной активности.
Сильные стороны Layer7 Privileged Access Management:
- Собственное защищённое хранилище учётных записей для административных паролей и SSH-ключей с возможностью автоматического обновления данных; собственная служба двухфакторной аутентификации, выполняемой поверх стандартных процедур идентификации пользователей;
- Непрерывный мониторинг сессий с расширенным набором прав, оценка действий пользователей и реакция на нетиповую активность для снижения вероятности кибератаки или уменьшения возможного ущерба;
- Управление доступом на уровне серверов для защиты критически важных ресурсов сети. Обеспечивает авторизацию через Active Directory и Kerberos для пользователей Unix и Linux, а также позволяет контролировать работу с отдельными папками, файлами, процессами и Docker-контейнерами;
- Контроль паролей на уровне «приложение-приложение» и «приложение-база данных». Не допускает применения жёстко запрограммированных паролей при работе привилегированных пользователей;
- Защищённое хранилище для журналов и протоколов, в том числе — результатов видеофиксации действий привилегированных пользователей;
- Возможность установки решения как с использованием клиентских агентов, так и без них;
- Автоматический поиск и включение в контур безопасности облачных хранилищ, API и онлайн-сервисов.
Разработчики утверждают, что Layer7 Privileged Access Management — наиболее масштабируемое решений, представленных на рынке, которое способно обрабатывать и записывать значительно больше одновременных подключений, чем другие системы.
One Identity Safeguard
Ссылка на страницу продукта: www.oneidentity.com
После приобретения венгерского разработчика Balabit компанией One Identity его продукты стали частью экосистемы, предназначенной для решения широкого спектра задач в области идентификации и управления доступом.
.png "Программный продукт One Identity Safeguard от компании «One Identity»")
Программный продукт One Identity Safeguard от компании «One Identity»
Функциональные возможности РАМ-решения были существенно расширены, в результате чего появился флагманский продукт One Identity Safeguard, содержащий следующие модули:
- Safeguard for Privileged Sessions (запись сеансов пользователей с последующим разбором и предоставлением гибких возможностей поиска и блокировки исполнения опасных команд);
- Safeguard for Privileged Passwords (управление паролями привилегированных пользователей, возможность предоставления доступа без раскрытия пароля и т.д.);
- Safeguard for Privileged Analytics (выявление аномального поведения, продукт класса UEBA).
Продуктовая линейка One Identity также включает и отдельные продукты, позволяющие ещё больше расширить спектр задач по управлению доступом:
- Safeguard for Privileged Analytics — система для анализа поведения привилегированных пользователей в режиме реального времени. Аномальные действия выявляются и ранжируются в зависимости от степени возможной угрозы. Вместо использования шаблонов для обнаружения «заведомо неправильного» поведения разработчики формируют базовые показатели «нормальной» активности на основании данных, собранных из ИТ-среды предприятия. Далее программа анализирует отклонения от базового уровня при помощи 13 различных алгоритмов машинного обучения;
- Privilege Manager for Windows — агентское решение для контроля доступа пользователей к учётной записи администратора с механизмом оперативного повышения уровня привилегий. Приложение может работать в среде Windows 7…10 и Windows Server 2008…2016;
- Active Roles — реализует модель предоставления наименьших привилегий при выполнении пользовательских задач для служб Microsoft Active Directory и Azure Active Directory;
- Privileged Access Suite for Unix — решение для интеграции методов аутентификации Active Directory в системы под управлением UNIX, Mac OS X и Linux;
.png)
PxM Platform
Ссылка на страницу продукта: www.osirium.com
Британская компания Osirium делает упор на решениях для контроля работы привилегированных пользователей. В её портфеле присутствуют отдельные приложения для управления доступом, менеджмента процессов и защиты локальных рабочих станций. Комплексный подход реализован в продукте PxM Platform, который обеспечивает быстрое и безопасное выполнение привилегированных операций и DevOps-задач, а также сквозную отчётность и аналитику действий пользователей.
.png "Программный продукт PxM Platform от компании «Osirium»")
Программный продукт PxM Platform от компании «Osirium»
Основные возможности PxM Platform:
- Хранение административных учётных данных вне рабочей станции в защищённом хранилище;
- Поддержка работы MSP- и MSSP-операторов;
- Бесшовная интеграция с существующими IAM-системами и сканерами уязвимостей; поддержка платформ Sailpoint, Nessus и Active Directory;
- Упаковка любого бизнес-процесса или действия с элементами ИТ-инфраструктуры в задачу, которую можно делегировать рядовому пользователю; запуск задач, требующих расширенного набора прав, без предоставления прямого доступа к привилегированным учётным записям;
- Поддержка большого числа интерфейсов управления и протоколов — SSH, Telnet, RPC, vSphere, HTTP(S), индивидуальные API; полная поддержка веб-приложений и облачных сервисов;
- Запись и протоколирование привилегированных сессий в реальном времени. Помимо видеопотока PxM Platform сохраняет данные о работе с клавиатурой, что позволяет использовать шаблоны нажатий клавиш для поиска по журналу;
- Поддержка основных стандартов безопасности: ISO-27001, NIST-800-53, MAS-TRM, PCI;
- Адаптивная система оценки действий привилегированных пользователей, отражающая индивидуальные паттерны поведения.
.png)
Wallix Bastion
Ссылка на страницу продукта: www.wallix.com
Компания Wallix выпускает три варианта PAM-платформы Wallix Bastion — для микроорганизаций, SMB-сектора и крупных предприятий. Система обеспечивает контроль и протоколирование действий привилегированных пользователей в режиме реального времени. При выявлении подозрительной активности Bastion может автоматически завершить сеанс и уведомить администратора об инциденте. Решение не требует установки агентов на клиентских устройствах и отвечает требованиям GDPR, PCI-DSS, SOX, а также других нормативных документов.
.png "Программный продукт Wallix Bastion от компании «Wallix»")
Программный продукт Wallix Bastion от компании «Wallix»
Преимущества Wallix Bastion:
- Единый пользовательский интерфейс: привилегированные пользователи продолжают работать с критически важными ресурсами через SSH- или RDP-консоли, встроенные в веб-браузер. Также сохраняется возможность использования нативных средств подключения по SSH- или RDP-консоли, например Putty и mstsc;
- Снижение стоимости владения и ограничение поверхности атаки в связи с отсутствием «толстых клиентов»;
- Единая консоль для мониторинга и аудита всех внешних сеансов с возможностью поиска по ключевым словам и метаданным;
- Интеграция с имеющимися IAM-системами через SAML, X.509 или Radius;
- Множество инструментов для мониторинга и оценки активности пользователей — запись работы с клавиатурой, видеофиксация, OCR-методы, поддержка чёрных списков действий и команд;
- Интеграция с рядом SIEM-решений, включая IBM QRadar, Splunk и LogPoint; совместная работа с CRM-системами и антивирусными сканерами — Salesforce, Fortinet, McAfee и другими;
- Собственное защищённое хранилище паролей и SSH-ключей с открытой архитектурой и возможностью их смены на целевых хостах; данные шифруются криптоалгоритмом AES-256;
- Возможность использования внешних сторонних хранилищ паролей, включая CyberArk Enterprise Password Vault, HashiCorp Vault, Thycotic Secret Server;
- Подсистема AAPM не допускает применения жёстко заданных паролей в сторонних приложениях;
- PEDM-агент для компьютеров под управлением ОС Windows — система разделения привилегий через установление контекста безопасности для приложений и процессов, а не пользователей;
- Механизмы предварительного подтверждения доступа к критически важным серверам по согласованию с одним сотрудником или несколькими лицами;
- Политика «нулевой терпимости» к локальному хранению административных паролей;
- Собственная защита файлов от несанкционированного доступа на уровне NTFS.
.png)
Zero Trust Privilege Services
Ссылка на страницу продукта: www.delinea.com
За последние несколько лет компания Centrify превратилась из поставщика нишевых решений в одного из ведущих игроков на рынке. Разработчик предлагает клиентам комплексную систему управления привилегированным доступом на базе собственной службы Zero Trust Privilege Services. Продукт распространяется по модели SaaS и обеспечивает безопасный доступ к объектам компьютерной инфраструктуры предприятия, включая облачные хранилища, DevOps-среды и массивы «больших данных» (Big Data).
.png "Программный продукт Zero Trust Privilege Servicesn от компании «Centrify» (в настоящее время принадлежит «Delinea»)")
Программный продукт Zero Trust Privilege Servicesn от компании «Centrify» (в настоящее время принадлежит «Delinea»)
Платформа состоит из пяти компонентов:
- Privileged Access Service обеспечивает единое пространство для хранения учётных данных пользователей, а также обработку запросов на доступ к ресурсам. Хранилище паролей поддерживает многофакторную аутентификацию и удалённый доступ к объектам зоны общего пользования (ДМЗ) через инсталляционный сервер (Jump Box).
- Authentication Service отвечает за безопасный процесс авторизации привилегированных пользователей на уровне отдельного устройства или всей сети. Служба обеспечивает репликацию Active Directory и поддерживает групповые политики.
- Privilege Elevation Service предназначен для гибкого управления назначенными правами с возможностью делегирования привилегий и временного доступа к локальным и сетевым ресурсам.
- Audit & Monitoring Service предоставляет широкие возможности протоколирования сеансов на уровне хоста, шлюза и конкретного устройства.
- Privilege Threat Analytics Service взаимодействует с четырьмя другими подсистемами для анализа поведения пользователя и выявления аномальной активности.
Российские производители
.png)
Indeed Privileged Access Manager
Ссылка на страницу продукта: www.indeed-company.ru
Компания «Индид», отечественный разработчик ПО для обеспечения информационной безопасности в финансовой, промышленной, транспортной и других сферах выпустила свою систему для контроля привилегированного доступа в 2018 году.
.png "Программный продукт Indeed Privileged Access Manager от компании «Indeed»")
Программный продукт Indeed Privileged Access Manager от компании «Indeed»
Решение обладает набором необходимых компонентов наряду с современными PAM-продуктами и имеет следующие функции:
- Управление учетными записями Active Directory, Windows, Linux/Unix, PostgreSQL, MS SQL, MySQL, Oracle DB;
- Регулярный автоматический поиск новых учетных записей, проверка и смена паролей и SSH-ключей зарегистрированных учетных записей на случайные в собственном хранилище паролей;
- Контроль RDP- / SSH-доступа к сетевым ресурсам под управлением ОС Windows и Linux, а также к отдельным приложениям (браузер, “толстый” клиент);
- Отслеживание действий привилегированных пользователей с записью в текстовый журнал, видеофиксацией и сохранением снимков экрана. Гибкий поиск по архиву сессий с поддержкой различных критериев (дата и время, учётные записи, пользователи, ресурсы и состояние сессии);
- Обеспечение двухфакторной аутентификации для всех пользователей с расширенными привилегиями;
- Собственный SSH Proxy для работы с SSH-сессиями без Microsoft Remote Desktop Services;
- Реализована гибкая настройка распределения прав доступа привилегированных пользователей по расписанию и типу ресурса, в т.ч. для внештатных сотрудников;
- Функция контроля подключения устройств в RDP сессии: централизованная настройка разрешения или запрета подключения оборудования;
- Разработан механизм слежения за передаваемыми файлами. Все события, связанные с перемещением файлов с подключаемых дисков на целевой ресурс, фиксируются, а сами файлы копируются в хранилище.
Разработчики Indeed Privileged Access Manager регулярно выпускают дополнения. Весь комплекс — полностью российская разработка и подходит для реализации требования законодательства в сфере импортозамещения. В ближайшее время программный комплекс Indeed PAM будет внесен в Реестр отечественного ПО Минкомсвязи РФ.
.png)
SafeInspect
Ссылка на страницу продукта: www.rt-solar.ru
Российская компания «Новые технологии безопасности» предлагает систему контроля привилегированного доступа SafeInspect, которая соответствует требованиям отечественных регуляторов. Программа может использоваться не только как самостоятельное решение, но и как надстройка для других PAM-продуктов. Это даёт российским филиалам международных компаний возможность использовать его вместе с устоявшимися корпоративными системами — для расширения их функционального набора, а также выполнения требований Федеральных законов №152-ФЗ и №187-ФЗ. Для государственных структур важным преимуществом SafeInspect являются сертификаты ФСТЭК (соответствие приказам №№17, 21, 31) и ФСБ России. Продукт внесён в реестр российского ПО.
.png "Программный продукт Safeinspect от компании «Новые технологии безопасности» (в настоящее время принадлежит «Solar»)")
Программный продукт Safeinspect от компании «Новые технологии безопасности» (в настоящее время принадлежит «Solar»)
Возможности решения Safeinspect:
- Мониторинг привилегированных сессий, в том числе — с детальным разбором протоколов SSH и RDP, поддержкой HTTP/HTTPS и Telnet-соединений;
- Работа в изолированной среде, защищённой от внешних проникновений. SafeInspect поддерживает автономный и распределённый режим сбора информации для обеспечения доступности и непрерывности мониторинга;
- Протоколирование в текстовый журнал и видеофиксация действий пользователей с быстрой индексацией архива;
- Собственное хранилище паролей с возможностью автоматической ротации ключей;
- Система гранулированного доступа, позволяющая гибко настраивать правила и сценарии работы для любых категорий привилегированных пользователей — собственных сотрудников, подрядчиков и аудиторов; разделение доступа по ресурсам, расписанию и разрешённым операциям;
- Механизм подстановки собственных токенов авторизации. SafeInspect перехватывает аутентификацию пользователя и авторизуется на целевом ресурсе при помощи собственных ключей и паролей. Такой принцип исключает возможность обхода системы и несанкционированного доступа;
- Интеграция со сторонними IPS-, DLP- и SIEM-решениями;
- Передача данных, собранных внутри канала подключения, в системы Big Data для анализа и обработки. Информация передаётся в виде чистого расшифрованного потока, включая файлы и буфер обмена;
- Технология единого входа (SSO) с использованием решения SafeConnect.
SafeInspect может поставляться в формате Virtual Appliance, что позволяет быстро развернуть её в имеющейся инфраструктуре предприятия. Система выполняет роль шлюза между пользователями и ресурсами сети, оставаясь полностью прозрачной до момента настройки ролей и прав доступа. Важным преимуществом такого подхода является отсутствие агентской части, устанавливаемой на конечные устройства. Кроме того, существует возможность работы через webRDP-клиент.
.png)
Zecurion PAM
Ссылка на страницу продукта: www.zecurion.ru
Российская компания Zecurion позиционирует свою PAM-систему как масштабируемое решение, которое подойдёт и небольшим организациям, и крупным учреждениям. Программа интегрируется в действующую ИТ-инфраструктуру на уровне протоколов, что позволяет гибко настраивать её под нужды любых предприятий.
.png "Программный продукт Zecurion PAM от компании «Zecurion»")
Программный продукт Zecurion PAM от компании «Zecurion»
Базовые возможности Zecurion PAM:
- Централизованное хранение учётных записей с расширенным набором прав;
- Изоляция критически важных сетевых объектов и полный контроль доступа к ним извне;
- Протоколирование действий привилегированных пользователей и поддержка защищённого архива сессий;
- Развитая система отчётности, позволяющая анализировать действия пользователей и выявлять отклонения от допустимых параметров;
- Гранулированный подход к удалённому доступу – ограничение RDP-сессии на уровне приложений;
- Использование аккаунтов Active Directory для авторизации привилегированных пользователей.
Zecurion PAM внесена в реестр российского ПО, не содержит иностранного кода и может быть использована государственными компаниями по программе импортозамещения.
.png)
СКДПУ
Ссылка на страницу продукта: www.it-bastion.com
Компания «АйТи БАСТИОН» предлагает на отечественном рынке семейство программных продуктов СКДПУ («Система контроля действий поставщиков IT-услуг»). Изначально предприятие выступало в роли дистрибьютора Wallix, но впоследствии приняло решение о разработке собственной системы контроля привилегированных пользователей. СКДПУ сертифицирована Минкомсвязи РФ, имеет допуски НДВ-4 ФСТЭК России и НДВ-2 Министерства обороны РФ.
.png "Программный продукт СКДПУ-НТ от компании «АйТи БАСТИОН»")
Программный продукт СКДПУ-НТ от компании «АйТи БАСТИОН»
Система обладает следующими характеристиками:
- Протоколирование сеансов удалённого доступа пользователей по SSH, SCP/SFTP, RDP, VNC, Telnet, Rlogin, а также RS-242 и RS-485 — запись работы с клавиатурой, видеофиксация, OCR-методы;
- Использование стандартных средств подключения по SSH- или RDP-консоли (например, Putty и mstsc);
- Единая точка входа и управление паролями привилегированных пользователей с возможностью прозрачной аутентификации на целевых устройствах (без необходимости ввода реквизитов доступа);
- Масштабируемость и географически распределённые инсталляции;
- Мониторинг введённых команд текстовых сессий, клавиатурного ввода, запуска приложений; анализ изображения (OCR), поддержка чёрных списков действий и команд;
- Интеграция с внешними каталогами, такими как Active Directory и LDAP(s);
- Поддержка работы с брокером фермы RDP серверов Windows версии 2012 и выше;
- Возможность интеграции с внешними системами посредством собственного API;
- Работа без использования агентов;
- Работа в формате Virtual Appliance и ПАК.
Новый продукт вендора — СКДПУ НТ — имеет обратную совместимость с другими решениями компании, сохраняя преемственность более ранних продуктов. СКДПУ НТ внесён в реестр отечественного ПО Минкомсвязи РФ. Решение предоставляет возможность глубокого анализа действий привилегированных пользователей при помощи мультиплатформенного поиска. Программа автоматически выявляет аномальную активность и отправляет сообщения об инцидентах администраторам безопасности. На основе стандартных сценариев и действий СКДПУ НТ создаёт цифровой профиль каждого конкретного пользователя.
Выводы
Рынок систем контроля привилегированного доступа имеет хорошие перспективы роста. Риски репутационных издержек и финансовых потерь, вызванных утечками конфиденциальной информации, будут склонять компании всех уровней к внедрению PAM-продуктов. Дополнительным стимулом для приобретения подобных решений будет давление регуляторов в сфере безопасности персональных данных.
Разработчикам нужно создать удобное решение, которое обеспечит контроль действий привилегированных пользователей во всех сферах работы организаций, включая облачные сервисы и распределённые системы. Также важно улучшить способы реагирования программы на их поведение. Система должна не только завершать сессию при подозрительных действиях, но и гибко ограничивать права при обнаружении незначительных угроз.
