Ключевое преимущество платформы заключается в обязательном подключении к целевым ресурсам и приложениям через сервер Indeed PAM.

Привилегированные пользователи могут использовать клиентское Web-приложение для просмотра доступных ресурсов и последующего подключения к ним. Кроме подключения к ресурсам из Web-приложения, доступны подключения «классическим» способом: напрямую, через протоколы RDP и SSH на сетевой адрес Indeed PAM.

Консоль администратора представляет собой удобное Web-приложение для настройки, управления и аудита работы системы контроля действий пользователей. Используя консоль, администратор может управлять политиками предоставления привилегированного доступа, просматривать журналы подключений и записи административных сессий.

Удобная ролевая модель управления внутри Indeed PAM позволяет настроить полномочия сотрудникам с разными должностными обязанностями и реализовать, к примеру, полноценное разделение обязанностей между администраторами безопасности и аудиторами привилегированных сессий.

Доступ к консоли администратора и для подключения к целевым ресурсам можно дополнительно защитить двухфакторной аутентификацией.

Защитить привилегированный доступ сложнее, чем доступ к ресурсам со стороны рядовых сотрудников, решение этой проблемы невозможно с использованием только общих подходов к защите учетных данных и требует применения специализированных решений.

Реализация системы контроля действий пользователей является комплексной задачей, включающей ряд технических и организационных мер.

Если для контроля действий непривилегированных пользователей в большинстве случаев достаточно использования решений класса Employee-Monitoring Products and Services (EMPS) или Data Leak Prevention (DLP), включающих серверный компонент, отвечающий за анализ и контроль каналов коммуникаций, и клиентский компонент, отвечающий за анализ действий на рабочей станции, то для контроля действий привилегированных пользователей использование упомянутых решений может быть недостаточным или бесполезным.

Использование промежуточного сервера контроля и управления доступом (т.н. jump-сервера) позволит избежать необходимости установки дополнительного ПО и управлять всеми привилегированными сессиями в единой точке, что существенно сократит затраты на управление привилегированным доступом.

Политики управления работают по принципу необходимости явного создания разрешения на доступ к целевому ресурсу (серверу или приложению) со стороны определенного пользователя, что позволит изначально исходить из позиции выдачи минимально необходимых прав. Дополнительные настройки позволяют задать иные параметры доступа: расписание, используемая привилегированная учетная запись, требуется ли согласование доступа и т.д.

Полномочия на управление или настройку целевых ресурсами и приложения привязаны к соответствующим учетным записям. При классическом подходе, пароли или иные аутентификаторы от таких привилегированных учетных записей выдаются уполномоченным на это сотрудникам — привилегированным пользователям.

Однако такая практика несет в себе ряд угроз, связанных с неправомерным или некорректным использованием выданных полномочий. Сотрудникам, например, могут быть доступны инструменты для очистки журналов, установки дополнительного ПО, осуществления критических и опасных операций, способных нарушить работоспособность ресурса или нанести финансовый вред компании. Зачастую эти и другие полномочия доступны привилегированным пользователям без соответствующего контроля.

Программный комплекс Indeed PAM ставит привилегированные учетные записи под контроль для обеспечения их безопасного использования. Это нужно, в первую очередь, для исключения их несанкционированного использования и для фиксации всех действий сотрудника на выделенном сервере.

В рамках контроля платформа может автоматически осуществлять поиск привилегированных учетных записей в Active Directory и на серверах с ОС Microsoft Windows, Linux/Unix. Это позволит исключить наличие неучтенных привилегированных учетных записей критичных ресурсов в ИТ-инфраструктуре.

Все пароли в хранилище учетных записей находятся в зашифрованном виде, и ключ шифрования имеется только у самого сервера Indeed PAM. Также Indeed PAM поддерживает хранение учетных данных (логины, пароли) от целевых приложений, в первую очередь, привилегированных учетных записей.

Кроме того, пароли автоматически обновляются и по умолчанию недоступны сотрудникам с привилегированным доступом. При подключении привилегированного пользователя к целевому ресурсу сервер Indeed PAM самостоятельно подставляет логин-пароль. Таким образом, сотрудник, уполномоченный на управление какими-либо серверами и бизнес-приложениями, не сможет авторизоваться на ресурсе в обход Indeed PAM, т.к. ему неизвестен пароль.

Одной из основных причин требования повышенного внимания к работе сотрудников с доступом к привилегированным учетным записям является потенциальная опасность их действий для корректной работы ИТ-инфраструктуры всей компании. Даже если отбросить злонамеренные действия, взломы и явный саботаж, остается относительно большое количество инцидентов, связанных с т.н. «человеческим фактором».

Например, это ситуации, в которых сотрудник совершил ряд ошибок, приведших к выходу из строя какого-либо сервера. Независимо от того, имеется ли резервная копия и отказоустойчивая реализация, менеджменту необходимо определить причину сбоя . Зачастую при неработоспособности сервера его журналы также недоступны. В таком случае при использовании решений класса Security Information & Event Management (SIEM) будет доступна информация о наличии инцидента и потенциально ответственного лица (например, через анализ сетевых подключений), но она вряд ли даст ответ на вопрос о том, что именно произошло.

Использование платформы Indeed PAM позволяет получить исчерпывающую информацию о причинах инцидента и наличии злонамерения.

При работе привилегированного пользователя через Indeed PAM осуществляется фиксация действий в разном формате: видео- и текстовая запись, перехват команд, теневое копирование передаваемых файлов и другие. Все эти действия можно просмотреть в удобном виде сразу в консоли управления. Кроме непосредственно записей самих действий, решение фиксирует большой объем метаданных — информации о самих подключениях (имя пользователя, протоколы, целевые ресурсы, время подключения и т.д.).

Анализ записей позволяет избежать необоснованного обвинения сотрудников и максимально оперативно разобраться в причинах инцидента, чтобы как можно быстрее приступить к его локализации (минимизации последствий) для предотвращения еще больших финансовых и репутационных потерь.

Купить InDeed PAM — это значит:

• Обеспечить надежную защиту и контроль административного доступа

• Навести порядок в доступе подрядчиков к корпоративным системам и оборудованию

• Обеспечить выполнение требования регулятора по аутентификации администраторов систем