Системы контроля привилегированных пользователей становятся важнейшим инструментом информационной безопасности. Они могут использоваться не только для контроля действий штатных системных администраторов, но и внешних подрядчиков, аутсорсеров и проверяющих. В обзоре проводится краткий анализ этого рынка, а также рассматриваются наиболее популярные на глобальном и российском рынке решения.
2. Что такое контроль привилегированных пользователей?
3. Принцип контроля привилегированных пользователей
4. Мировой рынок систем контроля привилегированных пользователей
5. Российский рынок систем контроля привилегированных пользователей
6. Краткий обзор продуктов, предназначенных для контроля привилегированных пользователей
6.7. Новые технологии безопасности
Введение
На практике большинство компаний передают часть своих задач по обслуживанию ИТ-систем внешним подрядчикам (на аутсорсинг). Снижая таким образом издержки, компании получают дополнительные риски, связанные с появлением в своих информационных системах сторонних пользователей, обладающих учетными записями с привилегированными полномочиями (об угрозах передачи администрирования на аутсорсинг мы писали в статье «Контроль действий ИТ-аутсорсеров»). Кроме того, организация получает дополнительные риски, связанные с присутствием специалистов сторонних организаций на своей территории при проведении проверок аудиторами и государственными органами. Эта проблема рассматривалась в нашей статье «Как проверки аудиторов и государственных органов могут нести угрозу ИБ». А потому для руководителей компаний все более актуальными становятся вопросы, связанные с обеспечением контроля таких пользователей.
Однако это касается не только сотрудников сторонних организаций, но и штатных ИТ-специалистов самой компании, обладающих по сути неограниченными полномочиями (см. статью «Конфликты и саботаж системных администраторов»).
Контролировать таких пользователей необходимо, поскольку высок риск утечки конфиденциальной информации, возникновения сбоев в работе информационных систем компании или нарушения деятельности компании в целом.
Контроль действий лиц, которых обычные пользователи считают «всемогущими», возможен только посредством применения специализированных решений. Они будут обеспечивать единую точку входа, записывать все действия привилегированных пользователей в обслуживаемых системах для последующего контроля и анализа. При необходимости такие системы могут блокировать вредоносные или подозрительные действия в ИТ-системах, предотвращая саботаж и откровенное вредительство.
Что такое контроль привилегированных пользователей?
Решения по управлению привилегированными пользователями, как правило, относятся к более крупному рынку систем управления учетными или идентификационными данными — Identity Management (IdM) или Identity and Access Management (IAM) (подробно IdM/IAM-системы рассмотрены в статье «Обзор IdM/IAM-систем на мировом и российском рынке»).
Встречаются различные англоязычные аналоги наименования решений по управлению привилегированными пользователями, такие как Privileged User Management (PUM), Privileged Identity Management (PIM), Privileged Access Management (PAM), Privileged Account Management (PAM), Privileged Password Management (PPM), Privileged Account Security (PAS). Однако мы будем придерживаться аббревиатуры PUM (управление/контроль привилегированными пользователями), которая уже использовалась нами в статье «Рынок решений для управления привилегированными пользователями».
Решения PUM — это один из ключевых инструментов информационной безопасности. Они применяются, чтобы обеспечить соответствие требованиям регуляторов и предотвратить утечки конфиденциальной информации (посредством использования привилегированных учетных записей). Фокус внимания PUM-решений сосредоточен на организации контроля посредством:
- централизованного управления привилегированными учетными записями во время всего жизненного цикла;
- управления аутентификацией и авторизацией (включая управление парольной защитой) для таких учетных записей;
- аудита действий, выполняемых пользователями, наделенными такими полномочиями;
- контроля доступа и записи их сессий.
Применение PUM-решений позволяет сформировать доказательную базу виновности или невиновности таких пользователей — например, за счет исключения у них возможности «замести следы».
Принцип контроля привилегированных пользователей
PUM-решения позволяют проверять и подтверждать полномочия привилегированных пользователей, выявлять их подозрительную активность с помощью регистрации всех действий, уведомлять ответственных лиц о такой активности и при необходимости принудительно разрывать сессии.
Подобные решения реализуются в виде программных или программно-аппаратных средств. Контроль, как правило, осуществляется благодаря встраиванию данных средств между привилегированными пользователями и ресурсами в сети компании через так называемые «проходные».
По международной классификации, предложенной аналитическим агентством Gatner, функциональность систем PUM можно разделить на следующие категории:
- Shared account password management (SAPM) — управление паролями и контроль доступа к общим учетным записям.
- Privileged session management (PSM) — управление привилегированными сессиями к различным целевым системам при помощи SSO (Single Sign-On), мониторинг и запись всех действий в них.
- Superuser privilege management (SUPM) — анализ и фильтрация вводимых администраторами команд.
- Application-to-application password management (AAPM) — контроль встроенных в приложения служебных учетных записей.
PSM интересен тем, что весь трафик проходит через единую точку входа, где осуществляется аутентификация и авторизация пользователя (Single Sign-On), а уже после этого от имени пользователя открывается соединение с целевым устройством ИТ-инфраструктуры компании. При этом вся информация в канале записывается в специальный журнал (либо в текстовом режиме, либо в формате видеофайла). Впоследствии уполномоченные лица, просматривая журнал, могут восстановить сеанс связи привилегированного пользователя и проанализировать все его действия. Некоторые системы позволяют анализировать действия пользователей еще до их исполнения на устройствах ИТ-среды. Выявляя подозрительную активность, они направляют уведомления ответственным лицам службы безопасности или SOC-центра, а также могут автоматически разорвать сеанс связи.
Технически PUM может быть организован с помощью локальных, облачных или гибридных решений. Локальные решения, как правило, требуют больших капитальных затрат, консолидации ресурсов конечных пользователей, а также высоких операционных расходов. Использование облачных технологий для реализации PUM-решений способствует минимизации затрат для конечных потребителей на инфраструктуру, необходимую для функционирования решения.
Мировой рынок систем контроля привилегированных пользователей
Исследовательская компания TechNavio в своем отчете Global Privileged Identity Management Market 2015-2019 проанализировала глобальный рынок систем контроля привилегированных пользователей и перечислила его представителей, разделив их на две группы:
- глобальные ИТ-компании с большим портфелем продуктов и услуг. Основной свой доход такие компании получают посредством предоставления услуг. И для таких компаний продажа подобных систем и услуг (по модели SaaS) относится к сопутствующему виду деятельности;
- производители специализированных PUM-систем. Основной свой доход они получают от продажи собственных продуктов (лицензий). Такие компании могут заниматься и другими направлениями ИТ, но PUM остается ключевым направлением их деятельности.
В данной статье мы будем рассматривать только тех представителей рынка, основной деятельностью которых является реализация PUM-решений, и тех, кто уделяет значительное внимание этому направлению деятельности (как, например, компания IBM, которая в августе 2014 года приобрела Lighthouse Security Group, чтобы закрепиться на этом растущем рынке).
Лидерами глобального рынка, по результатам исследования компании TechNavio, являются:
- BalaBit;
- BeyondTrust Software;
- Centrify;
- CyberArk Software;
- Dell;
- IBM (Lighthouse Security Group);
- Hitachi ID Systems;
- MasterSAM;
- Lieberman Software;
- Wallix;
- CA Technologies (Xceedium).
Кроме перечисленных выше компаний на рынке присутствует еще целый ряд менее заметных или локальных игроков, например Applecross Technologies, Arcon, Bomgar, Enforcive, Fox Technologies, HelpSystems, Hitachi ID Systems, ObserveIT, SSH Communications Security и другие.
Распределение рынка по размеру компаний показано на рисунке 1 (к прочим отнесены учебные заведения, некоммерческие организации, организации здравоохранения).
Рисунок 1. Распределение рынка решений по видам организаций
Наибольшее развитие рынка можно ожидать именно в сегменте SMEs, так как основным сдерживающим фактором внедрения этих решений в таких организациях до настоящего времени являлась их стоимость. Но выбранная производителями тенденция на обеспечение доступности цен может коренным образом изменить сложившуюся ситуацию. Минимизации цен на PUM-решения способствует появление и развитие услуг по модели SaaS, снимая с конечного потребителя львиную долю затрат, необходимых для приобретения и обслуживания дорогостоящего оборудования. Прогноз изменения в распределении доли рынка по видам организаций потребителей показан на рисунке ниже.
Рисунок 2. Прогноз изменения доли рынка по видам организаций — потребителей решений
Аналитики TechNavio прогнозируют рост рынка PUM-решений в среднем на 26,82% в год. Так, в 2014 году рынок оценивался всего в $376,8 млн, а в 2019 году, по прогнозу, его объем составит $1236 млн.
Рисунок 3. Прогноз изменения объема рынка
Gartner в своем отчете Market Guide for Privileged Access Management от 27 мая 2015 года оценивает объем рынка PUM чуть выше — в $512 млн в 2014 году . При этом рост рынка по итогам 2014 года составил 32%. Наибольший рост, по мнению Gartner, показали компании BalaBit, Bomgar, Centrify и Wallix.
Основным фактором, способствующим развитию рынка решений по управлению привилегированными пользователями, являются требования государственных и отраслевых регуляторов. Кроме этого к ключевым факторам, влияющим на данный рынок, можно отнести:
- рост доли аутсорсинга в ИТ;
- усложнение ИТ-систем и необходимость сквозного контроля действий администраторов во всей инфраструктуре ИТ;
- необходимость уменьшения времени вынужденного простоя по причине сбоев;
- необходимость контроля доступа привилегированных пользователей к конфиденциальным данным;
- рост рисков информационной безопасности, в частности умышленного вывода ИТ-систем из строя (критический случай АСУ ТП);
- необходимость повышения производительности сотрудников ИТ-департамента.
Именно поэтому все больше организаций старается внедрить у себя PUM-системы.
Современное развитие технологий, в частности распространение облачных сервисов, использование мобильных устройств и планшетов (в том числе для доступа к конфиденциальной информации), применение разнообразных средств безопасности заставляет производителей PUM-решений совершенствовать их возможности, для того чтобы:
- охватывать все возможные каналы администрирования;
- оперативно распознавать несанкционированные действия, совершаемые в разнородных средах;
- однозначно идентифицировать лицо, использующее привилегированные полномочия с целью совершения неправомерных действий;
- накапливать подробную доказательную базу поведения привилегированных пользователей.
В связи с этим в последнее время основными рыночными тенденциями являются:
- Рост популярности услуг PUM по модели SaaS (Software as a Service). Такие услуги пользуются спросом благодаря доступной модели оплаты (по факту использования) и небольшому времени внедрения. Спрос на них растет гораздо быстрее, чем на ПО и программно-аппаратные комплексы.
- Увеличение расходов вендоров на исследование и разработку — позволяет выводить на рынок недорогие и передовые решения, обладающие высокой точностью определения несанкционированной активности и способностью к интеграции с другими средствами защиты.
- Интеграция с другими средствами защиты — способствует улучшению контроля действий привилегированных пользователей и созданию доказательной базы их действий.
- Консолидация рынка. Более крупные представители рынка стараются поглотить небольшие организации, специализирующиеся на PUM-решениях, расширяя тем самым свою линейку продуктов и охватывая большую долю рынка.
Российский рынок систем контроля привилегированных пользователей
На российском рынке наиболее распространены решения таких компаний, как CyberArk, BalaBit и Wallix. Эти три компании, по нашей оценке, можно считать лидерами рынка в России. Присутствуют на рынке также Centrify, IBM (Lighthouse Security Group), Lieberman Software и CA Technologies (Xceedium). Отечественные интеграторы, с целью обеспечения контроля действий привилегированных пользователей, предлагают компаниям разнообразные решения, основанные на системах указанных производителей, от простого внедрения «коробочного» продукта, до построения более сложных схем с участием продуктов разных производителей.
С целью охвата большей доли российского рынка, например, в рамках применения своих продуктов для защиты информации (в том числе и персональных данных) в крупных территориально-распределенных государственных информационных системах (ГИС), международные компании стараются сертифицировать свои продукты в соответствии с требованиями ФСТЭК России, чей сертификат уже получили:
- Wallix AdminBastion: программный комплекс «Система контроля действий поставщиков ИТ-услуг (ограниченная партия экземпляров)» — сертификат ФСТЭК России № 3352 на соответствие ТУ и 4 уровню РД НДВ, выдан 18.02.2015 г., действителен до 18.02.2018 г.
- Balabit Shell Control Box: программно-технический комплекс видеофиксации действий привилегированных пользователей (ограниченная партия экземпляров) — сертификат ФСТЭК России №3452 на соответствие 4 уровню РД НДВ и ТУ, выдан 11.11.2015 г., действителен до 11.11.2018 г.
- CyberArk Privileged Identity Management and Session Management Suite 8.0: программный комплекс управления привилегированными учетными записями и привилегированными сессиями (серия) — сертификат ФСТЭК России на соответствие ТУ № 3267, переоформлен 12.08.2015г., действителен до 24.11.2017 г.
На волне импортозамещения в России появились сразу две отечественные компании — производители средств контроля действий привилегированных пользователей.
Первая — «АйТи Бастион», эксклюзивный партнер французской компании Wallix в России. Чтобы удовлетворить требованиям российских клиентов и законодательству по импортозамещению, на базе исходного кода Wallix AdminBastion они разработали свой продукт «АйТи Бастион СКДПУ».
Вторая — компания «Новые технологии безопасности» (НТБ), основанная в 2008 году. Компания НТБ разрабатывает специализированный продукт SafeInspect, позволяющий контролировать привилегированных пользователей различных уровней. В его основе лежит исходный код, купленный у финской компании SSH Communications Security.
Краткий обзор продуктов, предназначенных для контроля привилегированных пользователей
CyberArc
Компания CyberArc предлагает продукт CyberArc Privileged Account Security — комплексное решение, построенное по принципу модульной платформы, в рамках которой управление может осуществляться как отдельными модулями, независимо друг от друга, так и их комбинацией. Данное решение ориентировано в первую очередь на локальные, гибридные облачные инфраструктуры, а также на OT/SCADA-среды.
Преимущества:
- полная защита привилегированных паролей. Защита осуществляется на основании соответствующих политик безопасности и средств контроля того, кто, где и с каким паролем может получить доступ;
- наличие контроля доступа к SSH-ключам. Данная возможность предотвращает получение несанкционированного доступа к привилегированным учетным записям;
- изоляция, контроль и мониторинг доступа от имени пользователя с привилегированной учетной записью, а также его деятельности в отношении критичных систем Unix, Linux и Windows;
- анализ и оповещение о ранее необнаруженном злонамеренном поведении привилегированного пользователя. Данная возможность позволяет оперативно отреагировать и прервать совершаемую атаку;
- исключение у пользователей бизнес-подразделений прав локальных администраторов;
- управление и непрерывный мониторинг команд, выполняемых от имени пользователей, наделенных привилегированными полномочиями.
Подробнее с продуктом CyberArc Privileged Account Security Solution можно ознакомиться здесь.
IBM
Компанией IBM представлен продукт IBM Security Privileged Identity Manager. Он обеспечивает безопасность, автоматизацию и аудит использования привилегированных учетных записей, в том числе в облачных средах. Виртуальное устройство и модернизированный пользовательский интерфейс упрощают установку и управление IBM Security Privileged Identity Manager.
Преимущества:
- обеспечение автоматического управления паролями и параметрами единого входа в систему;
- наличие возможности автоматической временной регистрации, которая предоставляет пользователям ограниченное время для использования привилегированных прав;
- возможность запроса доступа к привилегированной учетной записи;
- защита и отслеживание доступа между приложениями;
- контроль загрузки и выгрузки совместно используемых идентификационных данных из зашифрованного хранилища. Минимизация времени загрузки идентификационных данных пользователей с привилегированным доступом в зашифрованное хранилище;
- минимизация затрат за счет применения масштабируемого виртуального устройства;
- ведение подробного учета действий привилегированных пользователей с помощью функции регистрации сеансов привилегированных пользователей, включая запись шагов идентификации;
- повышение безопасности за счет аудита и составления отчетности о действиях пользователей с привилегированным доступом.
Подробнее с продуктом IBM Security Privileged Identity Manager можно ознакомиться здесь.
Wallix
Компания WALLIX предлагает решение Wallix AdminBastion (WAB). Платформа WAB не требует установки агентов на контролируемых системах, она доступна в виде физического или виртуального устройства. Данное решение разворачивается в ИТ-среде всего за несколько часов и предоставляет информацию о выполняемых в системе операциях как в реальном времени, так и ретроспективно. WAB позволяет надежно контролировать доступ внутренних и внешних и поставщиков ИТ-услуг, владельцев учетных записей с расширенными привилегиями и пользователей с повышенными рисками.
Преимущества:
- мониторинг подключений и действий на администрируемых устройствах. Консоль администрирования WAB позволяет осуществлять мониторинг подключений к ИТ-системам в реальном времени и ретроспективно (в журнале);
- непрерывная запись действий, выполняемых на управляемых устройствах, для последующего просмотра в формате Flash Video (для графических сеансов) и в текстовом формате (для сеансов командной строки);
- обеспечение возможности просмотра графиков и статистики активности WAB (количество и распределение подключений, классификация пользователей и т. д.), а также автоматического создания ежедневных отчетов в формате CSV;
- анализ всех вводимых команд в реальном времени с возможностью отправки предупреждений или прерывания подключений SSH при обнаружении запрещенных строк;
- создание политики управления доступом на основе прав пользователей: целевые учетные записи, протоколы, интервалы времени и типы сеансов. Обеспечение точного определения учетных записей и устройств, доступных администратору. Исключение предоставления избыточного доступа к ИТ-системам и оптимизация политики управления рисками;
- поддержка большинства протоколов администрирования устройств и серверов: HTTP/HTTPS, RDP/TSE, SSH, Telnet, VNC, SFTP и т. д.;
- точный контроль каналов для протоколов SSH и RDP. Для протокола RDP можно отслеживать значительный объем событий, включая запуск и завершение процессов, нажатие на кнопки диалогов и другие события, которые могут быть важны для расследования инцидентов; *
- обеспечение единой точки входа в систему. Каждый пользователь входит в WAB, используя свои учетные данные, и получает доступ к разрешенным устройствам без выполнения второй процедуры входа. Пароли для устройств хранятся в WAB, поэтому сеансы могут открываться автоматически;
- уведомление пользователя о подключениях к устройствам, определенным как критичные ресурсы, о неудачной попытке входа в WAB или о невозможности автоматического входа с использованием заданной учетной записи;
- возможность использования для аутентификации сертификатов Х509 V3;
- возможность изменять пароли на управляемых устройствах по запросу или через заданные интервалы времени
- подсистема управления паролями позволяет сохранять пароли и ключи SSH в специальном хранилище с возможностью доступа к ним (включая изменение после использования – одноразовые пароли); *
- возможно задать один или несколько «доменов», в составе которых объединять учетные записи, профили защищаемых систем и права доступа к ним. С помощью данного механизма в рамках одной инсталляции можно гибко разделять права доступа к объектам; *
- конструктор отчетов не требует выделения отдельных узлов для обработки журналов, есть возможность создавать собственные настаиваемые отчеты. *
* доступно в новой версии Wallix AdminBastion 5.0 в первом квартале 2016 года.
Такими же функциями обладает российский «АйТи Бастион СКДПУ», созданный на базе исходного кода Wallix AdminBastion. Помимо этого «АйТи Бастион СКДПУ» обладает рядом дополнительных функций, например, в нем реализован контроль действий, выполняемых по протоколам RS-232 и RS-485.
Подробнее с продуктом Wallix AdminBastion можно ознакомиться в нашем обзоре Wallix AdminBastion 4.1 и на сайте производителя — здесь.
Balabit
Компания Balabit предлагает продукт Shell Control Box — независимое от клиентов и серверов устройство мониторинга активности, контролирующее привилегированный доступ к удаленным ИТ-системам. Данное средство относится к инструментам корпоративного класса с самым широким охватом протоколов.
Преимущества:
- организация единой точки входа в систему. Позволяет организовать предварительную аутентификацию и авторизацию на Shell Control Box, прежде чем предоставить доступ к критичным ресурсам ИТ-среды компании;
- изоляция систем ИТ-среды компании от лиц, не наделенных соответствующими полномочиями на доступ. Привилегированный пользователь осуществляет действия, используя свою учетную запись на Shell Control Box. Shell Control Box перенаправляет все действия пользователя на целевую систему уже с административной учетной записью данной системы;
- видеофиксация всех действий в рамках санкционированного доступа. Действия регистрируются в защищенные от несанкционированных изменений и воспроизведений аудит-трейлы и затем просматриваются как видео. Данные сведения предоставляются уполномоченным лицам при «разборе полетов»;
- полная индексация всех записываемых сессий для поиска ключевых событий. Возможность поиска по ключевым словам, отображаемым на экране администратора (поддерживается 125 языков, включая русский и языки стран СНГ), вводимым командам и т. д.;
- поддержка большинства протоколов администрирования устройств и серверов: HTTP/HTTPS, RDP/TSE(версии от Windows Server 2003 до Windows Server 2012R2 и Windows 10), Citrix ICA, SSH, SCP SFTP, Telnet, TN3270, TN5250, VNC и т. д.;
- информирование ответственных лиц и немедленное прерывание сеансов при обнаружении подозрительного (нетипичного) действия пользователя;
- точное установление субъекта, совершившего то или иное действие, с целью исключения «анонимности» — например, при использовании общей административной учетной записи;
- возможность просмотра активности пользователя непосредственно в веб-консоли комплекса с любой клиентской операционной системой (воспроизведение по принципу работы Youtube);
- уведомление администраторов SCB о подключениях к устройствам, неудачных попытках входа в SCB и т. д.;
- возможность использования для аутентификации сертификатов Х509 V3.
Подробнее с продуктом Shell Control Box можно ознакомиться здесь.
Xceedium
Xсeedium Xsuite применяется для контроля привилегированных пользователей в классических корпоративных центрах обработки данных, виртуальной среде и в облаке. В основе решения лежит модель «нулевого доверия» (Zero trust), запрещающая доступ ко всем ресурсам, за исключением указанных в политике.
Преимущества:
- контроль действий привилегированных пользователей в гетерогенной среде;
- хранение и передача привилегированных учетных записей в зашифрованном виде;
- интеграция с системами управления доступом, с Microsoft Active Directory, LDAP-каталогами с системами аутентификации, такими как Radius;
- поддержка управления сертификатами на основе PKI/X.509 и маркеров безопасности, а также поддержка Personal Identity Verification/Common Access Cards (PIV/CAC);
- организация привилегированного доступа через единую точку входа, посредством чего пользователи, регистрируясь на Xsuite, получают доступ к ресурсам для администрирования, но административные учетные записи им не раскрываются;
- проверка всех действий привилегированных пользователей еще до их исполнения;
- информирование сотрудников службы информационной безопасности и (или) центров SOC о выявленных ситуациях для предупреждения и, возможно, блокирования сеансов;
- регистрация действий для консольного и графического режимов сессий в форме видеозаписи;
- исключение «анонимности» для администраторов, использующих одну учетную запись;
- организация доступа только к строго определенному перечню систем и с определенным набором полномочий для исключения возможности перехода от системы к системе с целью изучения «слабых мест» сети;
- автоматический поиск ресурсов в виртуальной или облачной среде, с последующим применением заблаговременно определенных политик безопасности.
Подробнее с продуктом Xceedium Xsuite можно ознакомиться здесь.
Centrify
Компания Centrify предлагает на рынке продукт Centrify Server Suite для контроля доступа привилегированных пользователей, записи сеансов доступа, управления встроенными административными учетными записями и выявления подозрительной активности.
Преимущества:
- контроль действий привилегированных пользователей в гетерогенной среде;
- организация привилегированного доступа через единую точку входа;
- регистрация действий, выполняемых в рамках привилегированных сессий (в форме видеозаписи);
- исключение «анонимности», посредством точного сопоставления действий выполняемых от имени привилегированной учетной записи физическому лицу;
- аудит паролей;
- формирование соответствующей отчетности;
- оперативное выявление подозрительной активности.
Подробнее о решениях и продуктах Centrify можно ознакомиться здесь.
Новые технологии безопасности
Компания «Новые технологии безопасности» вывела на рынок продукт SafeInspect. Это российская платформа эффективного контроля привилегированных учетных записей и сессий в современных информационных системах, построенных на основании классических и облачных решений.
Преимущества:
- контроль самых распространенных протоколов администрирования, таких как SSH, RDP, HTTP/HTTPS и Telnet;
- запись сеансов работы привилегированных пользователей с возможностью последующего просмотра в формате эмуляции видео, а также наличие возможности контроля работы администраторов онлайн. Возможность в режиме реального времени при необходимости разорвать сессию;
- возможность просмотра графиков и статистики активности SafeInspect, а также автоматическое создание ежедневных отчетов в формате CSV;
- отсутствие потребности в установке агентов на администрируемых устройствах или рабочих станциях;
- организация единой точки входа. Каждый пользователь входит на сервер, используя свои учетные данные, и получает доступ к разрешенным ему устройствам, но административные учетные записи этих устройств ему не раскрываются;
- наличие возможности использования технологии входа на основании сертификатов;
- интеграция с современными системами SIEM, IPS, веб-фильтрации и DLP.
Подробнее с продуктом SafeInspect можно ознакомиться здесь.
Выводы
Производители предлагают системы контроля действий привилегированных пользователей в нескольких вариантах: в виде программных и программно-аппаратных решений; в качестве услуги по подписке (модель SaaS). Технологически системы PUМ очень активно развиваются, вендоры охотно тратят деньги на исследования инноваций в данной области. С ростом зрелости рынок постепенно консолидируется, специализированные вендоры поглощаются глобальными ИТ-гигантами.
Помимо зарубежных систем на рынке уже присутствуют два российских продукта: «АйТи Бастион СКДПУ» и SafeInspect. Оба созданы на базе зарубежного программного кода, не писались с нуля и являются стабильными решениями на базе исходного кода Wallix AdminBastion и SSH Communications Security соответственно.
Популярные на рынке продукты, как правило, позволяют записывать действия по всем основным протоколам администрирования, позволяют организовать единую точку доступа к ИТ-ресурсам заказчика, охватывают основные протоколы администрирования, регистрируют действия привилегированных пользователей как в видео-, так и в текстовом формате. Развиваются алгоритмы автоматического анализа действий и блокировки опасных или вредоносных действий в администрируемых системах.
Технологические отличия в продуктах проявляются в зависимости от среды функционирования. Так, некоторые из них позволяют осуществлять контроль только в отношении определенных операционных систем, другие встраиваются в сеть компании в виде отдельного устройства и «неприхотливы» к окружающим условиям функционирования. Кроме того, некоторые решения нуждаются в применении агентов на администрируемых устройствах ИТ-среды компании. Также отдельные решения реализованы в виде самостоятельных продуктов, а иные являются частью более крупного продукта, реализующего и другие решения по безопасности, что, соответственно, увеличивает их стоимость и сложность эксплуатации.
В целом рынок контроля действий привилегированных пользователей будет динамично развиваться, так как спрос рождает предложение. А на фоне развития технологий, в частности распространения облачных сервисов и использования мобильных устройств и планшетов (в том числе для доступа к конфиденциальной информации), спрос на такие решения будет расти.