Сторонние пользователи, обладающие административными привилегиями, представляют угрозу для информационной безопасности компании. Не меньшую опасность могут нести и избыточные права собственных сотрудников организации, способных воспользоваться отсутствием контроля и причинить компании ущерб — из корыстных побуждений или по личным мотивам. Разобраться в многообразии решений для борьбы с такими рисками поможет наш обзор рынка PAM-систем.
- Введение
- Что такое контроль привилегированных пользователей?
- Принцип контроля привилегированных пользователей
- Мировой рынок систем контроля привилегированных пользователей
- Российский рынок систем контроля привилегированных пользователей
- Краткий обзор систем для управления доступом привилегированных пользователей
- 6.1. Зарубежные производители
- 6.1.1. BeyondInsight
- 6.1.2. Core Privileged Access Security
- 6.1.3. Layer7 Privileged Access Management
- 6.1.4. One Identity Safeguard
- 6.1.6. PxM Platform
- 6.1.6. Wallix Bastion
- 6.1.7. Zero Trust Privilege Services
- 6.2. Российские производители
- 6.2.1. Indeed Privileged Access Manager
- 6.2.2. SafeInspect
- 6.2.3. Zecurion PAM
- 6.2.4. СКДПУ
- Выводы
Введение
Сегодня большое число компаний вне зависимости от размера, формы собственности и профиля деятельности прибегает к услугам сторонних ИТ-специалистов. Развитие телекоммуникаций позволяет обслуживать компьютерную инфраструктуру удалённо, предоставляя аутсорсерам доступ в корпоративную информационную систему. Обычно для этих целей создаётся отдельный аккаунт с административными правами.
Действия ИТ-специалистов нередко становятся причиной утечки конфиденциальной информации. Даже если привилегированный пользователь не имеет злого умысла, ценные данные могут оказаться в Сети из-за неправильных настроек доступа к файловому хранилищу или корпоративному веб-ресурсу.
Ещё одна причина появления внешних привилегированных пользователей — финансовые проверки со стороны государственных органов и аудиторских компаний, которые могут проводиться как очно, так и удалённо. И в том, и в другом случае для доступа к бухгалтерской и управленческой отчётности проверяющим требуются расширенные права в информационной системе.
Нельзя обойтись и без внутренних учётных записей, наделённых нужными для управления инфраструктурой полномочиями. В том, что ими можно злоупотребить, не приходится сомневаться: достаточно вспомнить нашумевшие истории системных администраторов, мстившим своим работодателям.
Таким образом, со стороны руководителей организаций есть запрос не только на мониторинг и протоколирование действий всех типов привилегированных пользователей, но и на возможность гибкого управления их правами. Выделение избыточных разрешений может привести к утечке информации и финансовым потерям — например, если конфиденциальные данные, «попутно» доступные проверяющему или ИТ-специалисту, будут переданы конкурентам. Дополнительную ответственность на компании накладывают законы о защите персональной информации, такие как отечественный Федеральный закон №152-ФЗ и европейский GDPR.
Решить вопросы, связанные с контролем работы привилегированных пользователей, адаптивно управлять их правами доступа и (при необходимости) автоматически ограничивать или совсем разрывать сессию помогут специализированные решения, о которых пойдёт речь в этом обзоре.
Что такое контроль привилегированных пользователей?
Программы, относящиеся к этому классу, способны решать следующие задачи:
- Идентификация и аутентификация пользователей с расширенным набором прав.
- Мониторинг деятельности владельцев административных аккаунтов, сбор статистики и ведение журнала их работы.
- Оперативный анализ аномальной активности привилегированных пользователей, выявление действий, которые могут нести угрозу информационной безопасности, и их блокировка.
- Организация защищённого хранилища учётных записей и предоставление единой точки входа с наличием многофакторной авторизации и других механизмов.
- Адаптивное понижение разрешений, выданных привилегированным пользователям, до уровня, который достаточен для выполнения определённой задачи.
- Блокировка использования неизменяемых логинов и паролей в сторонних приложениях.
- Уход от бесконтрольного использования разделяемых учетных записей (вроде root и admin).
В данный момент сложилась устойчивая терминология для обозначения таких систем. Чаще всего этот класс называют Privileged Access Management (PAM), хотя ранее производители использовали при описании своих решений и другие термины:
- Privileged User Management (PUM);
- Privileged Identity Management (PIM);
- Privileged Password Management (PPM);
- Privileged Account Security (PAS).
В некоторых интерпретациях вместо «Access» пишут «Account», а вместо «Management» — «Manager». Так или иначе, в дальнейшем мы будем использовать в статье аббревиатуру «PAM» для обозначения программных и программно-аппаратных комплексов, основными задачами которых являются управление работой привилегированных пользователей и её контроль.
Принцип контроля привилегированных пользователей
Контроль действий привилегированных пользователей достигается за счёт идентификации сессий, требующих расширенного набора прав, и авторизации их инициаторов через специальный защищённый шлюз. В дальнейшем PAM-решение регистрирует все действия привилегированных клиентов, а также анализирует их поведение по ряду параметров. Сейчас для реализации этой функции всё чаще применяют искусственный интеллект и методы машинного обучения.
В случае некорректных действий со стороны привилегированной учётной записи система может отправить уведомление ответственному лицу, ограничить набор прав или полностью разорвать соединение.
Ещё несколько лет назад большинство PAM-продуктов представляло собой одну из подсистем комплексных решений для управления процессом идентификации пользователей — Identity and Access Management (IAM). Такой идеологии до сих пор придерживаются многие крупные игроки, старающиеся закрыть максимум потребностей потенциальных клиентов. Например, у One Identity есть отдельное PAM-решение с возможностью интеграции между IDM и PAM. В результате на выходе клиенты могут получить «комбайн» PAG (Privileged Access Governance).
Но наблюдается и обратный процесс — продукты, ранее сфокусированные на решении относительно узкой задачи контроля привилегированных пользователей, приобретают всё больше функций, ранее им несвойственных. Помимо мониторинга сессий многие PAM-системы обеспечивают защищённое хранение паролей и криптоключей, интеграцию с SIEM-продуктами, фильтрами безопасности и CRM-системами. Некоторые разработки способны выступать в качестве надстройки для других решений, обеспечивая двухфакторную аутентификацию и управление DevOps-средами.
Современные программы для управления привилегированным доступом могут содержать следующие подсистемы:
- диспетчер сеансов (Privileged Session Manager, PSM), который контролирует сессии с расширенным набором прав в разрезе используемых ресурсов;
- блок анализа действий пользователя и предупреждения противоправной активности;
- диспетчер паролей приложений (Application-to-Application Password Manager, AAPM), выявляющий «вшитые» пароли и подменяющий их собственной службой авторизации;
- модуль единого входа (Single Sign-On, SSO), реализующий одноимённую технологию для уменьшения поверхности атаки.
Технически PAM-решения могут представлять собой локальные продукты, однако этот формат поставки сопряжён с высокими затратами на внедрение и операционными расходами. Большинство поставщиков предлагает своим клиентам облачные или гибридные системы, распространяемые по модели «программное обеспечение как услуга» (Software-as-a-Service, SaaS). Одним из прогрессивных трендов последнего времени стало отсутствие агентов на клиентских устройствах, что позволяет безопасно работать с необходимыми ресурсами через обычный браузер.
Мировой рынок систем контроля привилегированных пользователей
Глобальный рынок решений для управления привилегированным доступом активно развивается. По данным компании TechNavio, с 2018 года он демонстрирует совокупный среднегодовой темп роста в размере 23% и сохранит эту динамику вплоть до 2020-го. В нашем предыдущем обзоре, вышедшем три года назад, мы отмечали, что по прогнозам к 2019 году объём реализуемых PAM-продуктов составит около $1,2 млрд, однако на деле такие показатели были достигнуты на два года раньше.
По мнению аналитиков, рынок представляет собой высококонцентрированную конкурентную среду, где большая часть объёма продаж приходится на относительно небольшую группу сильнейших игроков. Как следует из исследования TechNavio, активнее всего приобретают PAM-решения компании из США — на их долю приходится около 40% общемирового объёма продаж.
В декабре 2018 года компания Gartner проанализировала основных поставщиков систем для управления доступом привилегированных пользователей и выделила группу лидеров, куда включила четыре компании:
- CyberArk,
- BeyondTrust,
- Centrify,
- CA Technologies (ныне Broadcom).
Исследователи считают, что эти вендоры предлагают наиболее полный набор инструментов для администрирования привилегированного доступа и имеют самую большую клиентскую базу. Это — глобальные игроки, ориентированные на самый широкий сегмент потенциальных заказчиков.
Ещё три разработчика — One Identity, Thycotic и senhasegura — близки к позициям мировых лидеров, однако пока имеют меньшую инсталляционную базу или сфокусированы на отдельных сегментах рынка или географических территориях. В частности, бразильская компания senhasegura больше известна в Латинской Америке, чем в Европе. У One Identity, в свою очередь, — более 50 заказчиков в России и СНГ.
Специалисты Gartner выделили также большую группу нишевых игроков:
- ARCON,
- Hitachi ID Systems,
- Osirium,
- Wallix,
- MicroFocus,
- ManageEngine,
- Fudo Security.
Разработки этих вендоров нацелены на конкретные отрасли, для которых набор их возможностей является оптимальным. Количество клиентов у них невелико (в сравнении с лидерами), однако они, как правило, предлагают заказчикам наиболее эффективные решения для определённой области деятельности.
Драйверами роста этого сегмента рынка будут являться следующие факторы:
- дальнейшее развитие телекоммуникационных технологий и связанное с ним увеличение количества услуг на базе ИТ-аутсорсинга,
- развитие DevOps-методов и необходимость поддерживать безопасность процесса разработки и обслуживания программных продуктов,
- повсеместное использование бизнесом облачных решений с различными подходами к обеспечению безопасности,
- жёсткие требования государственных органов по контролю персональных данных граждан и рост возможных санкций за нарушение GDPR, Федерального закона №152-ФЗ и других нормативных правовых актов.
Российский рынок систем контроля привилегированных пользователей
На российском рынке представлены наиболее значимые зарубежные решения для контроля привилегированных пользователей. Обычно продажи и внедрения таких систем осуществляются через уполномоченных представителей. В частности, программные продукты компании One Identity, которая в России представлена как вендор, продвигают дистрибьюторы Merlion и Aflex (в СНГ — «БАКОТЕК»), за решения BeyondTrust отвечает ООО «Пирит», а за системы CyberArk — дистрибьютор Softprom.
Среди российских разработчиков PAM-решений можно выделить компанию «Новые технологии безопасности» с продуктом SafeInspect. Вендор позиционирует своё решение как простой и гибкий инструмент для контроля действий привилегированных пользователей и управления доступом к приложениям. Программа сертифицирована российскими регуляторами.
Отечественная компания Zecurion, специализирующаяся на защите информации от утечек, продаёт собственную PAM-систему. Решение Zecurion Privileged Access Management обеспечивает безопасный удалённый доступ привилегированных пользователей к серверам, запись их действий и видеофиксацию рабочего стола, протоколирует параметры входа.
Относительно недавно, в 2018 году, российская компания «Индид» начала работу над PAM-системой. Разработка «Индид» позволяет вести видеомониторинг действий привилегированных пользователей и управлять учётными записями с расширенным набором прав, обеспечивает двухфакторную аутентификацию администраторов. Помимо этого, в зависимости от типа сессии PAM-система от «Индид» способна вести текстовый протокол, делать снимки экрана и фиксировать передаваемые на конечные ресурсы файлы.
Также выделим «АйТи БАСТИОН» — компанию, разрабатывающую семейство программных продуктов СКДПУ («Система контроля действий поставщиков IT-услуг»). Решение СКДПУ сертифицировано Минкомсвязи РФ, имеет допуск НДВ-2 Министерства обороны РФ и выпускается на отечественном рынке.
В целом необходимо отметить, что за несколько лет, прошедших с выхода нашего предыдущего обзора PAM-решений, конкуренция в секторе увеличилась. В борьбу за клиентов как на мировом, так и на отечественном рынке включились новые игроки. Российские производители успешно разыгрывают национальную карту, предлагая сертифицированные решения государственным организациям. Зарубежные производители тоже работают в этом направлении, но лучшие перспективы имеют в частных компаниях.
Некоторые вендоры не рассматривают рынок систем управления привилегированным доступом в качестве основного и предлагают соответствующую функциональность пользователям своих IDM-решений или DLP-продуктов (к примеру, Zecurion).
Краткий обзор систем для управления доступом привилегированных пользователей
Зарубежные производители
Американский вендор BeyondTrust предлагает своим клиентам несколько решений для управления доступом привилегированных пользователей, объединённых в общую платформу BeyondInsight. Компоненты для управления учётными записями, контроля избыточных прав и организации удалённого доступа с расширенными привилегиями могут быть интегрированы в рамках единого решения.
Центр управления учётными записями Password Safe предназначен для менеджмента паролей и сеансов. Основные возможности продукта:
- Автоматическое обнаружение аккаунтов с расширенными правами и включение их в контролируемый контур.
- Безопасное управление SSH-ключами и защита секретов от компрометации.
- Адаптивный API для авторизации в сторонних приложениях, который предотвращает использование встроенных или сохранённых паролей.
- Мониторинг привилегированных сеансов в режиме реального времени с расширенной аналитикой по основным характеристикам поведения пользователей.
Полная информация о продукте размещена на странице Password Safe сайта BeyondTrust.
Приложение Endpoint Privilege Management обеспечивает удаление избыточных прав пользователей на рабочих станциях, серверах и сетевых устройствах. Решение позволяет:
- оперативно изменять уровень доступа пользователей и приложений в зависимости от их задач и в соответствии с заданными политиками безопасности (избыточные права, ненужные для выполнения запрошенных действий, отключаются);
- вести белый список приложений и управлять рисками их использования на основе данных об известных уязвимостях;
- проводить аналитику угроз — определять уровень опасности того или иного действия пользователя с учётом сведений об известных недостатках в ПО;
- выполнять мониторинг файлов и реестров — регулярный аудит изменений в критически важных политиках, системных и прикладных объектах и ключах реестра.
Подробное описание возможностей решения опубликовано на сайте разработчика.
Отдельный продукт, Privileged Remote Access, обеспечивает безопасность при удалённом подключении привилегированных пользователей к корпоративной сети. Приложение даёт возможность:
- контролировать сеансы удалённого доступа с расширенными правами, открытые через протоколы RDP, VNS, SSH, а также при помощи собственного защищённого агента,
- гибко интегрировать процессы управления правами с SIEM-решениями различных производителей для оперативного обнаружения угроз,
- управлять привилегированным доступом к облачным ресурсам с использованием собственной веб-консоли или интерфейсов массовых сервисов (AWS, Google Cloud, Microsoft Azure, IBM Softlayer и других).
Информация о Privileged Remote Access доступна на сайте BeyondTrust.
Core Privileged Access Security
Компания CyberArk предлагает линейку решений для контроля доступа привилегированных пользователей, флагманом которой является комплексная система Core Privileged Access Security. Продукт защищает аккаунты пользователей с расширенным набором прав в среде Windows и *NIX, а также предоставляет широкие возможности для аудита их действий, включая автоматическое предупреждение об аномальной активности.
Решение содержит подсистему хранения паролей — Enterprise Password Vault (EPV), менеджер сеансов привилегированных пользователей — Privileged Session Manager (PSM), диспетчер доступа к приложениям — Application Access Manager (AAM), а также аналитический модуль для распознавания угроз — Privileged Threat Analytics (PTA). Программа поставляется в формате локального, облачного или SaaS-решения.
Ключевые возможности Core Privileged Access Security:
- Формирование собственных правил и политик управления доступом, охватывающих всех привилегированных пользователей, изоляция и дополнительная защита аккаунтов с расширенным набором прав.
- Мониторинг работы привилегированных аккаунтов в режиме реального времени с возможностью создания текстового журнала или видео на основе выполненных действий.
- Автоматическое определение аномальной активности пользователя на основании данных из нескольких источников и сложной комбинации статистических и детерминированных алгоритмов.
- Отключение ненужных root-привилегий при запуске административных команд из сеансов Unix и Linux.
- Единая служба управления SSH-ключами, которая обеспечивает безопасное хранение хеш-последовательностей, контроль доступа к ним и синхронизацию с открытыми подписями.
- Защита контроллера домена Windows, позволяющая управлять правами пользователей и приложений при использовании ключевых сетевых ресурсов. Решение способно выявлять атаки на сервер Active Directory и центр распределения ключей, включая инциденты вида Golden Ticket и Overpass-the-Hash, манипулирование PAC-сертификатом.
Подробную информацию и спецификации системы Core Privileged Access Security можно найти на сайте разработчика.
Layer7 Privileged Access Management
В ноябре 2018 года Broadcom приобрела компанию CA Technologies и провела ребрендинг её продуктовой линейки. В связи с этим решение для управления привилегированным доступом CA Privileged Access Management теперь распространяется под названием Layer7 Privileged Access Management. Разработка позиционируется как универсальная, кроссплатформенная система для контроля работы со всеми ИТ-ресурсами организации. В состав продукта входит модуль анализа угроз на основе машинного обучения, который способен автоматически снижать уровень привилегий или полностью разрывать соединение при обнаружении подозрительной активности.
Ключевые преимущества Layer7 Privileged Access Management:
- Собственное защищённое хранилище учётных записей для административных паролей и SSH-ключей с возможностью автоматического обновления данных; собственная служба двухфакторной аутентификации, выполняемой поверх стандартных процедур идентификации пользователей.
- Непрерывный мониторинг сессий с расширенным набором прав, оценка действий пользователей и реакция на нетиповую активность для снижения вероятности кибератаки или уменьшения возможного ущерба.
- Управление доступом на уровне серверов для защиты критически важных ресурсов сети. Обеспечивает авторизацию через Active Directory и Kerberos для пользователей Unix и Linux, а также позволяет контролировать работу с отдельными папками, файлами, процессами и Docker-контейнерами.
- Контроль паролей на уровне «приложение-приложение» и «приложение-база данных». Не допускает применения жёстко запрограммированных паролей при работе привилегированных пользователей.
- Защищённое хранилище для журналов и протоколов, в том числе — результатов видеофиксации действий привилегированных пользователей.
- Возможность установки решения как с использованием клиентских агентов, так и без них.
- Автоматический поиск и включение в контур безопасности облачных хранилищ, API и виртуальных ресурсов.
Разработчики утверждают, что Layer7 Privileged Access Management является одним из наиболее масштабируемых решений, представленных на рынке, и способна обрабатывать и записывать значительно больше одновременных подключений, чем другие системы. Дополнительную информацию о программном продукте можно найти на сайте Broadcom.
После приобретения венгерского разработчика Balabit компанией One Identity его продукты стали частью экосистемы, предназначенной для решения широкого спектра задач в области идентификации и управления доступом. Функциональные возможности РАМ-решения были существенно расширены, в результате чего появился флагманский продукт One Identity Safeguard, содержащий следующие модули:
- Safeguard for Privileged Sessions (запись сеансов пользователей с последующим разбором и предоставлением гибких возможностей поиска и блокировки исполнения опасных команд);
- Safeguard for Privileged Passwords (управление паролями привилегированных пользователей, возможность предоставления доступа без раскрытия пароля и т.д.);
- Safeguard for Privileged Analytics (выявление аномального поведения, продукт класса UEBA).
Продуктовая линейка One Identity также включает и отдельные продукты, позволяющие ещё больше расширить спектр задач по управлению доступом:
- Safeguard for Privileged Analytics — система для анализа поведения привилегированных пользователей в режиме реального времени. Аномальные действия выявляются и ранжируются в зависимости от степени возможной угрозы. Вместо использования шаблонов для обнаружения «заведомо неправильного» поведения разработчики формируют базовые показатели «нормальной» активности на основании данных, собранных из ИТ-среды предприятия. Далее программа анализирует отклонения от базового уровня при помощи 13 различных алгоритмов машинного обучения.
- Privilege Manager for Windows — агентское решение для контроля доступа пользователей к учётной записи администратора с механизмом оперативного повышения уровня привилегий. Приложение может работать в среде Windows 7…10 и Windows Server 2008…2016.
- Active Roles — реализует модель предоставления наименьших привилегий при выполнении пользовательских задач для служб Microsoft Active Directory и Azure Active Directory.
- Privileged Access Suite for Unix — решение для интеграции методов аутентификации Active Directory в системы под управлением UNIX, Mac OS X и Linux.
Полную информацию о продуктах One Identity можно найти на сайте компании.
Британская компания Osirium специализируется на решениях для контроля работы привилегированных пользователей. В её портфеле присутствуют отдельные приложения для управления доступом, менеджмента процессов и защиты локальных рабочих станций. Комплексный подход реализован в продукте PxM Platform, который обеспечивает быстрое и безопасное выполнение привилегированных операций и DevOps-задач, а также сквозную отчётность и аналитику действий пользователей.
Основные возможности PxM Platform:
- Хранение административных учётных данных вне рабочей станции в защищённом хранилище.
- Поддержка работы MSP- и MSSP-операторов.
- Бесшовная интеграция с существующими IAM-системами и сканерами уязвимостей; поддержка платформ Sailpoint, Nessus и Active Directory.
- Упаковка любого бизнес-процесса или действия с элементами ИТ-инфраструктуры в задачу, которую можно делегировать рядовому пользователю; запуск задач, требующих расширенного набора прав, без предоставления прямого доступа к привилегированным учётным записям.
- Поддержка большого числа интерфейсов управления и протоколов — SSH, Telnet, RPC, vSphere, HTTP(S), индивидуальные API; полная поддержка веб-приложений и облачных сервисов.
- Запись и протоколирование привилегированных сессий в реальном времени. Помимо видеопотока PxM Platform сохраняет данные о работе с клавиатурой, что позволяет использовать шаблоны нажатий клавиш для поиска по журналу.
- Поддержка основных стандартов безопасности: ISO-27001, NIST-800-53, MAS-TRM, PCI.
- Адаптивная система оценки действий привилегированных пользователей, отражающая индивидуальные паттерны поведения.
Подробнее о решениях Osirium можно узнать на сайте компании.
Компания Wallix выпускает три варианта PAM-платформы Wallix Bastion — для микроорганизаций, SMB-сектора и крупных предприятий. Система обеспечивает контроль и протоколирование действий привилегированных пользователей в режиме реального времени. При выявлении подозрительной активности Bastion может автоматически завершить сеанс и уведомить администратора об инциденте. Решение не требует установки агентов на клиентских устройствах и отвечает требованиям GDPR, PCI-DSS, SOX, а также других нормативных документов.
Преимущества Wallix Bastion:
- Единый пользовательский интерфейс: привилегированные пользователи продолжают работать с критически важными ресурсами через SSH- или RDP-консоли, встроенные в веб-браузер. Также сохраняется возможность использования нативных средств подключения по SSH- или RDP-консоли, например Putty и mstsc.
- Снижение стоимости владения и ограничение поверхности атаки в связи с отсутствием «толстых клиентов».
- Единая консоль для мониторинга и аудита всех внешних сеансов с возможностью поиска по ключевым словам и метаданным.
- Интеграция с имеющимися IAM-системами через SAML, X.509 или Radius.
- Широкий набор инструментов для мониторинга и оценки активности пользователей — запись работы с клавиатурой, видеофиксация, OCR-методы, поддержка чёрных списков действий и команд.
- Интеграция с рядом SIEM-решений, включая IBM QRadar, Splunk и LogPoint; совместная работа с CRM-системами и антивирусными сканерами — Salesforce, Fortinet, McAfee и другими.
- Собственное защищённое хранилище паролей и SSH-ключей с открытой архитектурой и возможностью их смены на целевых хостах; данные шифруются криптоалгоритмом AES-256.
- Возможность использования внешних сторонних хранилищ паролей, включая CyberArk Enterprise Password Vault, HashiCorp Vault, Thycotic Secret Server.
- Подсистема AAPM не допускает применения жёстко заданных паролей в сторонних приложениях.
- PEDM-агент для компьютеров под управлением ОС Windows — система разделения привилегий через установление контекста безопасности для приложений и процессов, а не пользователей.
- Механизмы предварительного подтверждения доступа к критически важным серверам по согласованию с одним сотрудником или несколькими лицами.
- Политика «нулевой терпимости» к локальному хранению административных паролей.
- Собственная защита файлов от несанкционированного доступа на уровне NTFS.
Полные спецификации всех компонентов Wallix Bastion доступны здесь.
За последние несколько лет компания Centrify превратилась из поставщика нишевых решений в одного из лидеров рынка. Разработчик предлагает клиентам комплексную систему управления привилегированным доступом на базе собственной службы Zero Trust Privilege Services. Продукт распространяется по модели SaaS и обеспечивает безопасный доступ к любым объектам компьютерной инфраструктуры предприятия, включая облачные хранилища, DevOps-среды и массивы «больших данных» (Big Data).
Платформа состоит из пяти компонентов.
- Privileged Access Service обеспечивает единое пространство для хранения учётных данных пользователей, а также обработку запросов на доступ к ресурсам. Хранилище паролей поддерживает многофакторную аутентификацию и удалённый доступ к объектам зоны общего пользования (ДМЗ) через инсталляционный сервер (Jump Box).
- Authentication Service отвечает за безопасный процесс авторизации привилегированных пользователей на уровне отдельного устройства или всей сети. Служба обеспечивает репликацию Active Directory и поддерживает групповые политики.
- Privilege Elevation Service предназначен для гибкого управления назначенными правами с возможностью делегирования привилегий и временного доступа к локальным и сетевым ресурсам.
- Audit & Monitoring Service предоставляет широкие возможности протоколирования сеансов на уровне хоста, шлюза и конкретного устройства.
- Privilege Threat Analytics Service взаимодействует с четырьмя другими подсистемами для анализа поведения пользователя и выявления аномальной активности.
Полные спецификации продуктов Centrify можно найти на сайте вендора.
Российские производители
Indeed Privileged Access Manager
Компания «Индид», отечественный разработчик ПО для обеспечения информационной безопасности в финансовой, промышленной, транспортной и других сферах выпустила свою систему для контроля привилегированного доступа в 2018 году. Решение обладает набором необходимых компонентов наряду с современными PAM-продуктами и имеет следующие функции:
- Управление учетными записями Active Directory, Windows, Linux/Unix, PostgreSQL, MS SQL, MySQL, Oracle DB.
- Регулярный автоматический поиск новых учетных записей, проверка и смена паролей и SSH-ключей зарегистрированных учетных записей на случайные в собственном хранилище паролей.
- Контроль RDP- / SSH-доступа к сетевым ресурсам под управлением ОС Windows и Linux, а также к отдельным приложениям (браузер, “толстый” клиент).
- Отслеживание действий привилегированных пользователей с записью в текстовый журнал, видеофиксацией и сохранением снимков экрана. Гибкий поиск по архиву сессий с поддержкой различных критериев (дата и время, учётные записи, пользователи, ресурсы и состояние сессии).
- Обеспечение двухфакторной аутентификации для всех пользователей с расширенными привилегиями.
- Собственный SSH Proxy для работы с SSH-сессиями без Microsoft Remote Desktop Services.
- Реализована гибкая настройка распределения прав доступа привилегированных пользователей по расписанию и типу ресурса, в т.ч. для внештатных сотрудников.
- Функция контроля подключения устройств в RDP сессии: централизованная настройка разрешения или запрета подключения оборудования.
- Разработан механизм слежения за передаваемыми файлами. Все события, связанные с перемещением файлов с подключаемых дисков на целевой ресурс, фиксируются, а сами файлы копируются в хранилище.
Подробнее о возможностях Indeed Privileged Access Manager читайте в нашем обзоре, а также на сайте «Индид».
Разработчики Indeed Privileged Access Manager регулярно выпускают дополнения. Весь комплекс — полностью российская разработка и подходит для реализации требования законодательства в сфере импортозамещения. В ближайшее время программный комплекс Indeed PAM будет внесен в Реестр отечественного ПО Минкомсвязи РФ.
Российская компания «Новые технологии безопасности» предлагает систему контроля привилегированного доступа SafeInspect, полностью соответствующую требованиям отечественных регуляторов. Программа может использоваться не только как самостоятельное решение, но и как надстройка для других PAM-продуктов. Это даёт российским филиалам международных компаний возможность использовать его вместе с устоявшимися корпоративными системами — для расширения их функционального набора, а также выполнения требований Федеральных законов №152-ФЗ и №187-ФЗ. Для государственных структур важным преимуществом SafeInspect являются сертификаты ФСТЭК (соответствие приказам №№17, 21, 31) и ФСБ России. Продукт внесён в реестр российского ПО.
Возможности решения:
- Мониторинг привилегированных сессий, в том числе — с детальным разбором протоколов SSH и RDP, поддержкой HTTP/HTTPS и Telnet-соединений.
- Работа в изолированной среде, защищённой от внешних проникновений. SafeInspect поддерживает автономный и распределённый режим сбора информации для обеспечения доступности и непрерывности мониторинга.
- Протоколирование в текстовый журнал и видеофиксация действий пользователей с быстрой индексацией архива.
- Собственное хранилище паролей с возможностью автоматической ротации ключей.
- Система гранулированного доступа, позволяющая гибко настраивать правила и сценарии работы для любых категорий привилегированных пользователей — собственных сотрудников, подрядчиков и аудиторов; разделение доступа по ресурсам, расписанию и разрешённым операциям.
- Механизм подстановки собственных токенов авторизации. SafeInspect перехватывает аутентификацию пользователя и авторизуется на целевом ресурсе при помощи собственных ключей и паролей. Такой принцип исключает возможность обхода системы и несанкционированного доступа.
- Интеграция со сторонними IPS-, DLP- и SIEM-решениями.
- Передача данных, собранных внутри канала подключения, в системы Big Data для анализа и обработки. Информация передаётся в виде чистого расшифрованного потока, включая файлы и буфер обмена.
- Технология единого входа (SSO) с использованием решения SafeConnect.
SafeInspect может поставляться в формате Virtual Appliance, что позволяет быстро развернуть её в имеющейся инфраструктуре предприятия. Система выполняет роль шлюза между пользователями и ресурсами сети, оставаясь полностью прозрачной до момента настройки ролей и прав доступа. Важным преимуществом такого подхода является отсутствие агентской части, устанавливаемой на конечные устройства. Кроме того, существует возможность работы через webRDP-клиент.
Подробнее о продукте рассказано на сайте разработчика.
Российская компания Zecurion позиционирует свою PAM-систему как масштабируемое решение, которое подойдёт и небольшим организациям, и крупным учреждениям. Программа интегрируется в действующую ИТ-инфраструктуру на уровне протоколов, что позволяет гибко настраивать её под нужды любых предприятий.
Базовые возможности Zecurion PAM:
- Централизованное хранение учётных записей с расширенным набором прав.
- Изоляция критически важных сетевых объектов и полный контроль доступа к ним извне.
- Протоколирование действий привилегированных пользователей и поддержка защищённого архива сессий.
- Развитая система отчётности, позволяющая анализировать действия пользователей и выявлять отклонения от допустимых параметров.
- Гранулированный подход к удалённому доступу – ограничение RDP-сессии на уровне приложений.
- Использование аккаунтов Active Directory для авторизации привилегированных пользователей.
Zecurion PAM внесена в реестр российского ПО, не содержит иностранного кода и может быть использована государственными компаниями по программе импортозамещения. Подробнее о возможностях этого решения можно узнать на сайте разработчика.
Компания «АйТи БАСТИОН» предлагает на отечественном рынке семейство программных продуктов СКДПУ («Система контроля действий поставщиков IT-услуг»). Изначально предприятие выступало в роли дистрибьютора Wallix, но впоследствии приняло решение о разработке собственной системы контроля привилегированных пользователей.
СКДПУ сертифицирована Минкомсвязи РФ, имеет допуски НДВ-4 ФСТЭК России и НДВ-2 Министерства обороны РФ. Система обладает следующими характеристиками:
- Протоколирование сеансов удалённого доступа пользователей по SSH, SCP/SFTP, RDP, VNC, Telnet, Rlogin, а также RS-242 и RS-485 — запись работы с клавиатурой, видеофиксация, OCR-методы.
- Использование стандартных средств подключения по SSH- или RDP-консоли (например, Putty и mstsc).
- Единая точка входа и управление паролями привилегированных пользователей с возможностью прозрачной аутентификации на целевых устройствах (без необходимости ввода реквизитов доступа).
- Масштабируемость и географически распределённые инсталляции.
- Мониторинг введённых команд текстовых сессий, клавиатурного ввода, запуска приложений; анализ изображения (OCR), поддержка чёрных списков действий и команд.
- Интеграция с внешними каталогами, такими как Active Directory и LDAP(s).
- Поддержка работы с брокером фермы RDP серверов Windows версии 2012 и выше.
- Возможность интеграции с внешними системами посредством собственного API.
- Работа без использования агентов.
- Работа в формате Virtual Appliance и ПАК.
Подробнее о программном продукте СКДПУ можно узнать здесь.
Новый продукт вендора — СКДПУ НТ — имеет обратную совместимость с другими решениями компании, сохраняя преемственность более ранних продуктов. СКДПУ НТ внесён в реестр отечественного ПО Минкомсвязи РФ. Решение предоставляет возможность глубокого анализа действий привилегированных пользователей при помощи мультиплатформенного поиска. Программа автоматически выявляет аномальную активность и отправляет сообщения об инцидентах администраторам безопасности. На основе стандартных сценариев и действий СКДПУ НТ создаёт цифровой профиль каждого конкретного пользователя.
Дополнительная информация о решении СКДПУ НТ доступна на сайте «АйТи Бастион».
Выводы
Рынок систем контроля привилегированного доступа имеет хорошие перспективы роста. Риски репутационных издержек и финансовых потерь, вызванных утечками конфиденциальной информации, будут склонять компании всех уровней к внедрению PAM-продуктов. Дополнительным стимулом для приобретения подобных решений будет давление регуляторов в сфере безопасности персональных данных.
Разработчикам предстоит принять вызовы сегодняшнего дня и предложить своим клиентам универсальное решение, которое позволит распространить контроль действий привилегированных пользователей на все сферы деятельности организаций, включая облачные службы и прикладные распределённые системы. Ещё одним направлением деятельности вендоров должно стать совершенствование методов адаптивной реакции системы на различные действия привилегированных пользователей. Программа должна уметь не только разрывать сессию в случае ненормального поведения, но и гибко урезать права при обнаружении малоопасных триггеров, рассматривая все аспекты работы пользователя в комплексе.