vendor_parent: Indeed

Indeed Privileged Access Manager (PAM)

PAM – это продукт для управления доступом привилегированных пользователей
к ИТ-системам компании. В основе платформы лежит многолетний опыт компании «Индид» по созданию продуктов в сфере информационной безопасности, в частности, в сфере управления доступом.

Платформа Indeed PAM представляет собой программно-аппаратный комплекс, реализующий централизованную политику контроля и управления привилегированным доступом.

Заказать Indeed PAM


Платформа Indeed Privileged Access Manager (Indeed PAM) относится к специализированному классу решений, известному под разными названиями, например:

Privileged Access Management (PAM)

Privileged Account Management (PAM)

Privileged User Management (PUM)

Privileged Identity Management (PIM)

Indeed Privileged Access Manager (PAM)

Indeed PAM — это эффективное функционирование ИТ-инфраструктуры и бизнес-приложений и залог успешной работы любого государственного учреждения или частной компании.

Однако работоспособность корпоративных ИТ-ресурсов зависит не только от характеристик аппаратного и программного обеспечения. Для обеспечения бесперебойной работы все компоненты ИТ-инфраструктуры должны управляться профессионалами. Управлением ИТ-компонентов занимаются привилегированные пользователи — это внешние и внутренние сотрудники, которые имеют расширенные полномочия в работе с корпоративными ресурсами и приложениями, включая их установку, настройку и обслуживание.

К привилегированным пользователям относятся:

  • Системные администраторы
  • Специалисты по безопасности
  • Подрядчики и аутсорсеры
  • Операторы финансовых сервисов
  • Аудиторы
  • Другие внешние или внутренние сотрудники.

Учитывая широкие полномочия и специфику ресурсов, с которыми работают привилегированные пользователи, компаниям необходимо решение задачи грамотного управления привилегированным доступом, включая минимизацию полномочий, фиксацию и анализ действий сотрудников.

Получив аутентификационные данные привилегированной учетной записи, злоумышленники могут нанести организации ущерб серьезнее, чем при компрометации учетных данных рядового сотрудника.

Административные учетные записи могут быть использованы для отключения защиты, остановки работы информационных систем и доступа к конфиденциальной информации.

Защитить привилегированный доступ сложнее, чем доступ к ресурсам со стороны рядовых сотрудников, решение этой проблемы невозможно с использованием только общих подходов к защите учетных данных и требует применения специализированных решений.

Обозначенные угрозы можно нейтрализовать с помощью внедрения комплексной системы контроля привилегированных пользователей. Система должна решать следующие задачи:

  • Централизованное управление подключениями к критичным серверам и приложениям
  • Усиленная аутентификация привилегированных пользователей
  • Прозрачное использование привилегированных учётных записей на разрешённых ресурсах, без раскрытия пароля
  • Фиксация действий привилегированных пользователей
  • Анализ записанных действий и расследование инцидентов, связанных с контролируемыми ресурсами

Архитектура платформы Indeed PAM.

Indeed Privileged Access Manager (PAM)

Ключевое преимущество платформы заключается в обязательном подключении к целевым ресурсам и приложениям через сервер Indeed PAM.

Привилегированные пользователи могут использовать клиентское Web-приложение для просмотра доступных ресурсов и последующего подключения к ним. Кроме подключения к ресурсам из Web-приложения, доступны подключения «классическим» способом: напрямую, через протоколы RDP и SSH на сетевой адрес Indeed PAM.

Консоль администратора представляет собой удобное Web-приложение для настройки, управления и аудита работы системы контроля действий пользователей. Используя консоль, администратор может управлять политиками предоставления привилегированного доступа, просматривать журналы подключений и записи административных сессий.

Удобная ролевая модель управления внутри Indeed PAM позволяет настроить полномочия сотрудникам с разными должностными обязанностями и реализовать, к примеру, полноценное разделение обязанностей между администраторами безопасности и аудиторами привилегированных сессий.

Доступ к консоли администратора и для подключения к целевым ресурсам можно дополнительно защитить двухфакторной аутентификацией.

Защитить привилегированный доступ сложнее, чем доступ к ресурсам со стороны рядовых сотрудников, решение этой проблемы невозможно с использованием только общих подходов к защите учетных данных и требует применения специализированных решений.

К привилегированным пользователям относятся:

  • Широкие полномочия (включая возможность удаления клиентского ПО, либо назначение себе дополнительных привилегий)
  • Неподконтрольное рабочее место (актуально для подрядчиков, аутсорсеров или удаленных администраторов)
  • Специфические целевые серверы, куда невозможно установить ПО для мониторинга (сетевые устройства, изолированные программные среды, специфические, редкие и устаревшие ОС)

Управление доступ Indeed PAM.

Реализация системы контроля действий пользователей является комплексной задачей, включающей ряд технических и организационных мер.

Если для контроля действий непривилегированных пользователей в большинстве случаев достаточно использования решений класса Employee-Monitoring Products and Services (EMPS) или Data Leak Prevention (DLP), включающих серверный компонент, отвечающий за анализ и контроль каналов коммуникаций, и клиентский компонент, отвечающий за анализ действий на рабочей станции, то для контроля действий привилегированных пользователей использование упомянутых решений может быть недостаточным или бесполезным.

Использование промежуточного сервера контроля и управления доступом (т.н. jump-сервера) позволит избежать необходимости установки дополнительного ПО и управлять всеми привилегированными сессиями в единой точке, что существенно сократит затраты на управление привилегированным доступом.

Политики управления работают по принципу необходимости явного создания разрешения на доступ к целевому ресурсу (серверу или приложению) со стороны определенного пользователя, что позволит изначально исходить из позиции выдачи минимально необходимых прав. Дополнительные настройки позволяют задать иные параметры доступа: расписание, используемая привилегированная учетная запись, требуется ли согласование доступа и т.д.

Управление паролями учётных записей

Полномочия на управление или настройку целевых ресурсами и приложения привязаны к соответствующим учетным записям. При классическом подходе, пароли или иные аутентификаторы от таких привилегированных учетных записей выдаются уполномоченным на это сотрудникам — привилегированным пользователям.

Однако такая практика несет в себе ряд угроз, связанных с неправомерным или некорректным использованием выданных полномочий. Сотрудникам, например, могут быть доступны инструменты для очистки журналов, установки дополнительного ПО, осуществления критических и опасных операций, способных нарушить работоспособность ресурса или нанести финансовый вред компании. Зачастую эти и другие полномочия доступны привилегированным пользователям без соответствующего контроля.

Программный комплекс Indeed PAM ставит привилегированные учетные записи под контроль для обеспечения их безопасного использования. Это нужно, в первую очередь, для исключения их несанкционированного использования и для фиксации всех действий сотрудника на выделенном сервере.

В рамках контроля платформа может автоматически осуществлять поиск привилегированных учетных записей в Active Directory и на серверах с ОС Microsoft Windows, Linux/Unix. Это позволит исключить наличие неучтенных привилегированных учетных записей критичных ресурсов в ИТ-инфраструктуре.

Все пароли в хранилище учетных записей находятся в зашифрованном виде, и ключ шифрования имеется только у самого сервера Indeed PAM. Также Indeed PAM поддерживает хранение учетных данных (логины, пароли) от целевых приложений, в первую очередь, привилегированных учетных записей.

Кроме того, пароли автоматически обновляются и по умолчанию недоступны сотрудникам с привилегированным доступом. При подключении привилегированного пользователя к целевому ресурсу сервер Indeed PAM самостоятельно подставляет логин-пароль. Таким образом, сотрудник, уполномоченный на управление какими-либо серверами и бизнес-приложениями, не сможет авторизоваться на ресурсе в обход Indeed PAM, т.к. ему неизвестен пароль.

Запись и анализ действий пользователей

Одной из основных причин требования повышенного внимания к работе сотрудников с доступом к привилегированным учетным записям является потенциальная опасность их действий для корректной работы ИТ-инфраструктуры всей компании. Даже если отбросить злонамеренные действия, взломы и явный саботаж, остается относительно большое количество инцидентов, связанных с т.н. «человеческим фактором».

Например, это ситуации, в которых сотрудник совершил ряд ошибок, приведших к выходу из строя какого-либо сервера. Независимо от того, имеется ли резервная копия и отказоустойчивая реализация, менеджменту необходимо определить причину сбоя . Зачастую при неработоспособности сервера его журналы также недоступны. В таком случае при использовании решений класса Security Information & Event Management (SIEM) будет доступна информация о наличии инцидента и потенциально ответственного лица (например, через анализ сетевых подключений), но она вряд ли даст ответ на вопрос о том, что именно произошло.

Использование платформы Indeed PAM позволяет получить исчерпывающую информацию о причинах инцидента и наличии злонамерения.

При работе привилегированного пользователя через Indeed PAM осуществляется фиксация действий в разном формате: видео- и текстовая запись, перехват команд, теневое копирование передаваемых файлов и другие. Все эти действия можно просмотреть в удобном виде сразу в консоли управления. Кроме непосредственно записей самих действий, решение фиксирует большой объем метаданных — информации о самих подключениях (имя пользователя, протоколы, целевые ресурсы, время подключения и т.д.).

Анализ записей позволяет избежать необоснованного обвинения сотрудников и максимально оперативно разобраться в причинах инцидента, чтобы как можно быстрее приступить к его локализации (минимизации последствий) для предотвращения еще больших финансовых и репутационных потерь.

Запись и анализ действий пользователей

  • Поддерживаемые протоколы: RDP, SSH, HTTP(s), любые иные проприетарные протоколы с помощью публикации соответствующих приложений
  • Поддерживаемые типы учетных данных: имя пользователя + пароль, SSH-ключи
  • Поиск привилегированных учетных записей и управление паролем: Windows, Linux, Active Directory
  • Поддерживаемые каталоги пользователей: Active Directory
  • Технологии двухфакторной аутентификации: пароль + TOTP (программный генератор)
  • Поддерживаемые типы записи сессий: текстовый лог, Видеозапись, Снимки экрана
  • Технологии удаленного доступа: Microsoft RDS, SSH Proxy

Надежная защита и контроль административного доступа

Порядок в доступе подрядчиков к корпоративным системам и оборудованию

Выполнение требования регулятора по аутентификации администраторов систем

А вы знали? Мы делаем расчёт НМЦК и высылаем КП

Компания Кибер успешно сотрудничает как с коммерческими так и государственными заказчиками

Знаем особенности участия в тендерах на оказание услуг госорганам и осуществления госзакупок

Готовы сделать расчёт начальной максимальной цены контракта (НМЦК) и выслать коммерческое предложение (КП)

Получить КП

Типовые решения

  • Защита привилегированных учетных записей

  • Аудит работы администраторов

  • Удаленный доступ привилегированных пользователей

  • Контроль доступа подрядчиков

Отраслевые решения

  • Финансы

  • Телеком

  • Промышленность

Вернуться на страницу Indeed

Нужна подробная консультация по лицензированию и покупке? Обращайтесь!

Вы можете сделать заказ в свободной форме — отправьте заявку нашему менеджеру

Отправить заявку

Технологии улучшают качество жизни человека.
И наша задача делать их доступными.

Адрес в Москве
Центральный офис
121357, город Москва,
улица Верейская, дом 29, строение 1,
1 этаж, офис 1

Адрес в Иваново
153013, город Иваново,
улица Куконковых, дом 102,
1 этаж, офис 1


© 2021 КИБЕР ХОЛДИНГ. Все права защищены.

Отправьте эту простую форму

Наши менеджеры отвечают в течении 30 минут.

    *Мы не рассылаем спам и не навязываем дополнительных услуг.