СКДПУ – система контроля действий поставщиков ИТ-услуг (контроль привилегированных пользователей)

Обзор «Системы контроля действий поставщиков ИТ-услуг» (СКДПУ)


Обзор «Системы контроля действий поставщиков ИТ-услуг» (СКДПУ)

В обзоре рассматривается «Система контроля действий поставщиков ИТ-услуг» (СКДПУ), разработанная российской компанией «АйТи БАСТИОН».  Система создана с использованием исходного кода французской компании Wallix, ОАО «НПО РусБИТех», производителя защищенной операционной системы специального назначения Astra Linux Special Edition, и собственных разработок компании «АйТи БАСТИОН». В материале представлены архитектура решения, главные функциональные возможности и описание основных интерфейсов системы.

Сертификат AM Test Lab

Номер сертификата: 172

Дата выдачи: 15.09.2016

Срок действия: 15.09.2021

Реестр сертифицированных продуктов »

 

 

1. Введение

2. Основные возможности продукта

3. Системные требования и поддерживаемые технологии

4. Работа с продуктом

5. Выводы

 

 

Введение

Контроль действий привилегированных пользователей в последнее время оказывается на повестке дня все чаще — то, что проблема существует, понимают все больше людей.

По данным отчета Insider Threat Spotlight Report (2016 год), подготовленного Crowd Research Partners и Хольгером Шульце, привилегированные пользователи, такие как администраторы ИТ-систем, имеющие доступ к конфиденциальной информации, представляют наиболее серьезную угрозу безопасности. Так считают 60% опрошенных специалистов по ИТ-безопасности.

Расширенные привилегии дают возможность легко завладеть ценной корпоративной информацией или вывести из строя информационную систему предприятия. При этом обнаружить несанкционированные действия привилегированных пользователей без специальных инструментов бывает сложно, и их атаки могут оставаться полностью незамеченными довольно долго. К тому же никто не мешает администратору зачистить  все следы несанкционированных действий. Статистика показывает: более 40% руководителей по информационной безопасности не знают, подвергались ли их компании атаке с утечкой данных. Таков результат опроса, проведенного компанией Wallix, в котором приняли участие 2000 руководителей в сфере информационной безопасности.

Контролировать привилегированных пользователей необходимо, поскольку высок риск утечки конфиденциальной информации, возникновения сбоев в работе информационных систем компании, что в конечном итоге может привести к самым пагубным для бизнеса последствиям.

Контролировать необходимо не только штатных администраторов компании, но и технических специалистов сторонних организаций (подрядчиков ИТ-услуг). По данным аналитического центра компании InfoWatch, в 2015 году доля утечек информации со стороны привилегированных пользователей в российских компаниях составила более 9% от всего количества, при этом 7,6% случилось на стороне компаний-подрядчиков ИТ-услуг, сотрудники которых имели легитимный доступ к защищаемой информации заказчиков.

Для минимизации рисков, связанных с использованием привилегированных учетных записей, необходимы специализированные решения — системы контроля привилегированных пользователей (Privileged User Management, PUM).

Российский рынок PUM-решений сейчас активно развивается, и на нем представлены как зарубежные решения, так и отечественные разработки. О рынке PUM-решений мы уже подробно рассказывали в обзоре «Контроль привилегированных пользователей (PUM) — обзор мирового и российского рынка». Данный обзор будет посвящен отечественному решению — «Системе контроля действий поставщиков ИТ-услуг» (СКДПУ), разработанному российской компанией «АйТи БАСТИОН».

СКДПУ создана с использованием технологий безопасности французской компании Wallix , разработчика известной PUM-системы Wallix AdminBastion, ОАО «НПО РусБИТех», производителя защищенной операционной системы специального назначения Astra Linux Special Edition, а также собственных разработок компании «АйТи БАСТИОН». Фактически СКДПУ является русским аналогом зарубежного решения Wallix AdminBastion пятой версии. Предыдущая версия Wallix AdminBastion 4.1.1 уже обозревалась на нашем сайте, данный обзор посвящен СКДПУ версии 5.0.2.

 

Основные возможности продукта

Решение построено на принципе перенаправления (проксирования) сетевого трафика по административным протоколам. При этом СКДПУ не требует развертывания агентов защиты на подконтрольные объекты инфраструктуры — привилегированные пользователи подключаются к веб-консоли СКДПУ и получают доступ к конечному серверу или приложению через специально сформированные файлы для подключения или настройки.

В ИТ-инфраструктуре СКДПУ может использоваться для контроля системных администраторов, производящих настройку и обслуживание серверов, сетевого оборудования и приложений. Еще СКДПУ обеспечивает контролируемый доступ внешних пользователей к защищаемым информационным ресурсам — например, технических специалистов вендоров программного обеспечения или инженеров системных интеграторов.

 

Рисунок 1. Логическая схема работы СКДПУ

Логическая схема работы СКДПУ

К основным функциональным возможностям СКДПУ можно отнести:

  • Мониторинг действий пользователей. Полная информация о том, кто, как и когда выполнил определенную операцию. СКДПУ обеспечивает мониторинг подключений и действий, выполняемых ИТ-специалистами на администрируемых устройствах и ИТ-системах. Консоль администрирования позволяет осуществлять мониторинг подключений в реальном времени, а также ретроспективно — для анализа сбоев или инцидентов ИБ.
  • Запись сеансов. Действия, выполняемые на управляемых устройствах, непрерывно записываются для последующего просмотра в формате Flash Video (для графических сеансов Windows Terminal Server (RDP) и (VNC)) и в текстовом формате (для сеансов командной строки (SSH, Telnet, RS-232)).
  • Анализ потока SSH. Все вводимые команды анализируются в реальном времени. При обнаружении запрещенных строк можно отправить предупреждение или прервать подключение SSH.
  • Контроль доступа. Контроль доступа к устройствам на основе простых и эффективных правил. Эти правила учитывают различные критерии, таких как IP-адрес, имя пользователя, интервал времени, протокол или тип сеанса SSH (X11, Shell, Remote exec и т. д.).
  • Контроль в реальном времени. СКДПУ уведомляет о подключениях к устройствам, определенным как критичные, о неудачной попытке авторизации в СКДПУ или о невозможности автоматического входа с использованием заданной учетной записи.
  • Единый вход. Каждый пользователь входит в СКДПУ, используя свои учетные данные, и получает доступ к разрешенным устройствам без повторной авторизации. Пароли для устройств хранятся в СКДПУ, поэтому сеансы могут открываться автоматически.

Относительно Wallix AdminBastion 4.1 СКДПУ (российский аналог пятой версии Wallix AdminBastion) претерпела ряд изменений.

Теперь в качестве платформы применяется отечественная сертифицированная операционная система Astra Linux Special Edition версии 1.5. В качестве встроенной базы данных вместо mySQL используется PostgreSQL версии 9.4 из поставки Astra Linux SE.

Пользовательский интерфейс СКДПУ также изменился:

  • добавлена поддержка русского языка;
  • изменилась тема оформления (теперь она оранжевая);
  • проведена реорганизация меню системы.

На функциональном уровне продукт обновлен в части технологий доступа и парольных политик:

  • Менеджер паролей позволяет просмотреть текущий пароль к системе один раз одному человеку, после чего меняет пароль на новый, а также распределяет права на доступ к сейфу, хранящему пароли.
  • Для организации единой точки входа через несколько шлюзов СКДПУ, реализован дополнительный модуль «Портал доступа», который позволяет в едином веб-интерфейсе использовать все разрешенные пользователю варианты доступа, даже если подключения реализуются через разные физические шлюзы. Модуль оптимизирован для работы в т.ч. с мобильных устройств, использует клиенты протоколов, реализованные как html5 приложения и позволяет для интеграции в информационные системы использовать протокол SAML для аутентификации.

СКДПУ не имеет экспортных ограничений и сертифицирован  по требованиям безопасности ФСТЭК России (сертификат ФСТЭК России № 3352 на соответствие ТУ и 4 уровню РД НДВ,  действителен до 18.02.2018 г). Сертификация по требованиям безопасности ФСТЭК России дает возможность использовать СКДПУ в составе системы защиты информационных систем, где применение сертифицированных продуктов обязательно, например, в информационных системах персональных данных, государственных информационных системах (ГИС), автоматизированных системах управления технологическим процессом (АСУ ТП).

Также в настоящее время продукт проходит испытания в системах сертификации средств защиты информации Министерства обороны РФ и ФСТЭК России с целью получения сертификатов на соответствие требованиям РД НДВ-2, что позволит в дальнейшем использовать решение при обработке данных с грифом «Совершенно секретно».

 

Системные требования и поддерживаемые технологии

Платформа СКДПУ доступна в виде готового программно-аппаратного комплекса или виртуального устройства (virtual appliance). Для нормального функционирования системы (в виде виртуального образа) потребуется выделить как минимум 4 Гб оперативной памяти и 16 Гб дискового пространства. Также для хранения логов, видеозаписей рекомендуется использовать внешнее хранилище данных. Для управления СКДПУ достаточно любого современного веб-браузера (Firefox , Chrome или Internet Explorer).

В рамках работ по сертификации, отработана установка и эксплуатация на платформы производства компаний Аквариус, Крафтвей и Т-Платформы, совместимые с Astra Linux SE 1.5.

Поддерживаемые технологии и протоколы для контроля:

  • SSH-клиенты: OpenSSH, PuTTY, Cygwin (+ Xming for X11 forwarding), FileZilla, WinSCP;
  • SSH-сервера: OpenSSH и Cisco IOS SSH Server;
  • RDP-клиенты: MSTSC for Windows XP, Windows 7, Windows 10, rdesktop (Linux), FreeRDP (Linux), Remmina;
  • RDP-сервера:  Microsoft Terminal Server for: Windows Server 2003 / 2008 / 2008 R2 /2012 / 2012 R2, возможен контроль опубликованных приложений;
  • VNC: RealVNC (for Windows), TigerVNC;
  • TELNET, RLOGIN;
  • терминальные подключения по последовательным портам RS-232,RS-485 на аппаратных платформах с установленными платами сопряжения (до 32 портов).

Поддерживаемые системы для управления парольной информацией:

  • GNU/Linux (Red Hat RHEL, Suse SLES, Debian и другие);
  • Windows Server 2003 / 2008 / 2008 R2 / 2012 / 2012 R2;
  • Cisco IOS 12.4;
  • Oracle: 11g, 12c.

СКДПУ поддерживает интеграцию:

  • с каталогами LDAP/Active Directory;
  • авторизацию по протоколам Kerberod, Radius, Tacacs+;
  • с системами класса SIEM.

Для усиления защиты СКДПУ поддерживает аутентификацию внутренних и внешних пользователей с применением сертификатов Х509 V3.

Для высокой отказоустойчивости решения СКДПУ поддерживает объединение в кластеры высокой доступности (High-Availability).

 

Работа с продуктом

Работа с СКДПУ начинается с авторизации пользователя в системе на веб-портале. В веб-браузере необходимо набрать URL: https://<имя хоста СКДПУ> или https://<ip адрес хоста СКДПУ>. После ввода появляется приглашение для ввода аутентификационных данных пользователя.

 

Рисунок 2. Окно авторизации СКДПУ

Окно авторизации СКДПУ

 

После авторизации в зависимости от прав доступа и роли пользователя отображаются различные пункты меню и основная информация о подключении.

 

Рисунок 3. Новый пользовательский интерфейс СКДПУ

Новый пользовательский интерфейс СКДПУ

 

В разделе «Мои настройки» можно изменить настройки профиля администратора и настройку пароля для подключения к СКДПУ. Также здесь можно выбрать язык интерфейса и указать публичный ключ SSH для шифрования трафика.

 

Рисунок 4. Общие настройки профиля администратора в консоли СКДПУ

Общие настройки профиля администратора в консоли СКДПУ

 

Раздел «Мои авторизации» содержит меню «Сессии» и «Пароли». В меню «Сессии» отображается список систем, к которым предоставлен доступ для учетной записи. Отсюда пользователи совершают подключения к целевым системам. При этом администраторы не знают учетные данные целевых систем. С помощью специально генерируемых профилей для подключения СКДПУ предоставляет администраторам необходимый доступ и одновременно с этим записывает все их действия.

 

Рисунок 5. Раздел «Мои авторизации» в СКДПУ

Раздел «Мои авторизации» в СКДПУ

 

В разделе «Аудит» администратор безопасности может ознакомиться с перечнем текущих соединений и осуществлять мониторинг привилегированных сессий в режиме реального времени. Также у администратора безопасности существует возможность при необходимости разорвать сессию.

 

Рисунок 6. Перечень текущих соединений в СКДПУ

Перечень текущих соединений в СКДПУ

 

В меню «Истории подключений» можно ознакомиться с историей всех прошлых подключений к целевым системам, посмотреть видеозаписи привилегированных сессий.

 

Рисунок 7. История подключений привилегированных пользователей в СКДПУ

История подключений привилегированных пользователей в СКДПУ

 

В подразделе «История запросов» можно ознакомиться со всеми запросами пользователей на доступ к защищаемым системам.

 

Рисунок 8. История запросов на доступ в СКДПУ

История запросов на доступ в СКДПУ

 

В подразделе «Статистика соединений» можно построить графики статистики по подключениям за определенный период времени.

 

Рисунок 9. Графики статистики по подключениям в СКДПУ

Графики статистики по подключениям в СКДПУ

 

Раздел «Пользователи» позволяет управлять аккаунтами, группами и профилями СКДПУ.

 

Рисунок 10. Создание аккаунта в разделе «Пользователи» СКДПУ

Создание аккаунта в разделе «Пользователи» СКДПУ

 

Раздел «Ресурсы» содержит подразделы с настройками для различных объектов доступа — перечень защищаемых серверов и приложений, учетные записи к защищаемым объектам, настройки механизмов аутентификации и кластеров.

 

Рисунок 11. Раздел «Ресурсы» в СКДПУ

Раздел «Ресурсы» в СКДПУ

 

В рассматриваемой версии продукта появились новые разделы — «Управление паролями» и «Управление сессиями». В разделе «Управление паролями» можно ознакомиться с перечнем плагинов, которые позволяют автоматически менять пароли на целевых системах, а также создавать и редактировать политики автоматической смены паролей учетных записей целевых систем. Раздел «Управление сессиями» позволяет задать настройки записи сессий и пользователей, а также создавать и редактировать политики соединений с целевыми системами.

 

Рисунок 12. Редактирование политики замены паролей в СКДПУ

Редактирование политики замены паролей в СКДПУ

 

Настройка прав доступа привилегированных пользователей к учетным записям устройств осуществляется в разделе «Авторизации». С помощью данного раздела задается соответствие пользовательских групп и групп авторизационных данных, а также настраиваются такие параметры, как «Критичность задачи» для фильтрации в журнале доступа особо важных прав доступа, включение или отключение механизмов записи всех действий привилегированных пользователей, согласование доступа и другие параметры.

 

Рисунок 13. Управление авторизациями в СКДПУ

Управление авторизациями в СКДПУ

 

Раздел «Конфигурация» содержит настройки времени доступа пользователей к защищаемым объектам, позволяет импортировать пользователей из внешних систем аутентификации на базе различных каталогов пользователей, работающих в сети предприятия, помогает настроить уведомления, локальную политику паролей, определить параметры подключения, настроить параметры аутентификации с использованием сертификатов x.509, шифрования, осуществлять управление лицензиями, а также просматривать системные события.

 

Рисунок 14. Просмотр событий в меню «Собственный аудит» в СКДПУ

Просмотр событий в меню «Собственный аудит» в СКДПУ

 

Раздел «Система» содержит различные системные настройки. Краткое содержимое внутренних подразделов:

  • Статус — отображает информацию о статусе устройства.
  • Сеть — управление сетевыми интерфейсами.
  • Сервис времени — настройки синхронизации времени.
  • Удаленное хранилище — настройки удаленного файлового хранилища для хранения записей сеансов и журналов.
  • Интеграция с SIEM — настройка отправки логов в систему класса SIEM.
  • SNMP — настройки передачи данных о состоянии системы по протоколу SNMP.
  • Почтовый сервер — настройка сервера для отправки электронной почты.
  • Управление сервисами — настройки кластера высокой доступности из нескольких СКДПУ.
  • Syslog — содержит журнал системных событий.
  • Отчет по запуску — отображает отчет о старте сервера СКДПУ.
  • Резервные копии ­— сохранение всех настроек и восстановление системы из ранее сделанной резервной копии.

Последний раздел «Импорт/экспорт» позволяет настроить параметры импорта/экспорта информации в формате CSV, а также импортировать пользователей из LDAP(S) или Active Directory.

 

Рисунок 15. Системный статус в СКДПУ

Системный статус в СКДПУ

 

При авторизации в СКДПУ под учетной записью пользователя доступны будут только два раздела — «Мои настройки» для управления своей учетной записью и «Мои авторизации» для доступа к защищаемым серверам.

 

Рисунок 16. Подключение к защищаемому серверу из консоли пользователя СКДПУ

Подключение к защищаемому серверу из консоли пользователя СКДПУ

 

При подключении к удаленному серверу по RDP отображается окно авторизации и выбора сеанса для подключения.

 

Рисунок 17. Окно авторизации пользователей в СКДПУ

Окно авторизации пользователей в СКДПУ

 

Рисунок 18. Выбор сеанса для подключения в СКДПУ

Выбор сеанса для подключения в СКДПУ

 

После выбора нужной учетной записи на контролируемом сервере и нажатия кнопки Connect появляется окно создания запроса на доступ к целевой системе.

 

Рисунок 19. Создание запроса на доступ к системе в СКДПУ

Создание запроса на доступ к системе в СКДПУ

 

После подтверждения доступа администратором безопасности отображается предупреждение о том, что начинается запись сессии.

 

Рисунок 20. Предупреждение о записи RDP-сеанса в СКДПУ

Предупреждение о записи RDP-сеанса в СКДПУ

 

Если пользователь соглашается с данной информацией, производится доступ к контролируемому серверу, а действия удаленного администратора записываются.

Во время сеанса удаленного пользователя у администратора безопасности в консоли СКДПУ в разделе «Текущие соединения» есть возможность в режиме реального времени осуществлять мониторинг сессии.

 

Рисунок 21. Мониторинг сессии в режиме реального времени в СКДПУ

Мониторинг сессии в режиме реального времени в СКДПУ

 

После завершения сессии пользователя администратор безопасности в меню «История соединений» может просмотреть видеозапись этой сессии.

 

Рисунок 22. Просмотр видеозаписи сессии в СКДПУ

Просмотр видеозаписи сессии в СКДПУ

 

Выводы

Система контроля действий поставщиков ИТ-услуг (СКДПУ) — это функциональный и простой в настройке и эксплуатации продукт для обеспечения контроля действий привилегированных пользователей, подходящий для защиты широкого круга информационных и автоматизированных систем. Его применение позволяет существенно снизить риски утечки информации и возникновения инцидентов, вызванных внутренними и внешними пользователями.

СКДПУ является отечественным решением и поставляется вместе с сертифицированной защищенной платформой Astra Linux Special Edition. Совместное решение позволит в дальнейшем использовать СКДПУ при обработке данных с грифом «Совершенно секретно». В настоящее время продукт уже проходит сертификацию на соответствие требованиям РД НДВ-2, а наличие действующего сертификата по требованиям безопасности ФСТЭК России (4 уровень РД НДВ) дает возможность использовать СКДПУ в составе системы защиты информационных систем, где применение сертифицированных продуктов обязательно (ГИС, АСУ ТП, защита персональных данных). Все это делает решение конкурентоспособным на российском рынке PUM-решений на фоне импортных продуктов в эпоху импортозамещения, а также на фоне других российских PUM-решений.

С функциональной точки зрения к сильным сторонам продукта относятся широкий спектр поддерживаемых целевых систем, клиентов доступа, протоколов, методов аутентификации, возможность мониторинга и записи всех действий привилегированных пользователей, возможность оперативного контроля за работой сотрудников в режиме реального времени и предоставление всей необходимой информации для обнаружения и предотвращения утечек информации.

К явным недостаткам можно отнести отсутствие на текущий момент эксплуатационной документации и раздела «Справка» на русском языке, что может затруднить работу с системой, если пользователи плохо владеют иностранными языками. Также к недостаткам можно отнести отсутствие варианта исполнения продукта в виде программного образа системы СКДПУ (дистрибутива) для самостоятельной установки ее на выделенный физический сервер, что ограничивает пользователя в выборе аппаратной платформы для системы.  

Достоинства:

  • Российское решение для управления привилегированными пользователями.
  • Наличие сертификата соответствия требованиям безопасности ФСТЭК России.
  • Пользовательский интерфейс на русском языке.
  • Единая точка входа для привилегированных пользователей, без необходимости авторизации на каждом защищаемом устройстве.
  • Широкий спектр поддерживаемых целевых систем, клиентов доступа и протоколов.
  •  «Безагентская» архитектура — продукт не требует установки агентов на защищаемые объекты.
  • Функционирование в сетевой инфраструктуре в режиме «Бастион» — решение не надо устанавливать в «разрыв» сети, что повышает надежность системы защиты.
  • Широкие возможности интеграции, включая каталоги пользователей Active Directory/ LDAP и системы класса SIEM.
  • Поддержка кластеризации решения.
  • Поддержка разграничения доступа по времени суток и дням недели.
  • Удобный просмотр действий администраторов и разные представления данной информации (видео, снимки экрана, распознавание текста).
  • Возможность просмотра сессий в режиме реального времени.

Недостатки:

  • Отсутствие на текущий момент эксплуатационной документации и раздела «Справка» на русском языке (у вендора она есть и можно подключить ее только вручную).
  • Отсутствие варианта исполнения продукта в виде программного образа системы СКДПУ (дистрибутива) для самостоятельной установки ее на выделенный физический сервер.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.