FUDO PAM – простий та ефективний контроль привілейованих користувачів

15.04.2019

Необхідність контролю привілейованих користувачів (більш звично – адміністраторів) має на увазі впровадження спеціалізованих систем і рішень поряд з впровадженням комплексу організаційних заходів. Існують різні продукти, покликані вирішувати подібні завдання, починаючи від простих логгерів екрану, і, закінчуючи, – потужними SIEM рішеннями. На жаль, всі такі популярні рішення мають цілий ряд обмежень і функціональних особливостей, зав’язаних на тій чи іншій ідеології застосування і використання. Наприклад, логгер екранів працюватимуть тільки в певних операційних системах, а інциденти, пов’язані з діями адміністраторів потрапляють в SIEM системи найчастіше вкрай неінформативні, і до того ж вимагають заздалегідь налаштованих тригерів на події (і події, що випадають з такого пулу правил, просто «губляться»).

Взагалі, сама необхідність використання будь-яких сервісів або продуктів, які захищали б від помилок привілейованих користувачів виникла не вчора, і в світі є маса випадків, коли відсутність такого контролю приводило до досить сумних наслідків. Так, наприклад, в 2008 році в США в компанії Medco один з адміністраторів заклав в програмний код бази даних клієнтів вірус, який, на щастя, не спрацював. Проте, після виявлення даного факту, адміністратора засудили до 2,5 років в’язниці. У наших широтах, подібні інциденти рідко закінчуються реальними покараннями, що в свою чергу, ще більше робить затребуваними рішення для контролю привілейованих користувачів (далі, адміністраторів).

Однак, не завжди застосування засобів контролю адміністраторів пов’язано виключно з побоюванням виконання шкідливих дій. Дуже часто, існують набагато більш банальні причини необхідності такого контролю:

  • помилки в роботі фахівців, наприклад, служб віддаленої підтримки або зовнішніх співробітників (підрядників), а так само – контроль термінів виконання поставлених завдань або контрактів (SLA);
  • ситуації, коли не можна допускати помилки, так як вони можуть призвести до вкрай негативних наслідків, наприклад, система повинна вміти блокувати введення небажаної команди;
  • спільне використання знеособлених облікових записів групою адміністраторів, що робить неможливість об’єктивного розслідування помилкових дій (складно зрозуміти, хто саме з цієї групи адміністраторів зробив ту чи іншу дію).

Виходячи з вище написаного, не дивно, що ринок інформаційної безпеки став вимагати окремого рішення, яке було б одночасно багатофункціональним як з точки зору контролю адміністраторів, так і з точки зору роботи з тими системами, до яких ці адміністратори мають повний доступ. Таким чином, останнім часом масово виникла потреба в рішеннях класу PAM (Privileged Access Management), тобто, – повноцінних рішеннях орієнтованих в першу і єдину чергу на контроль привілейованих користувачів. Незалежно від виробника РАМ-рішення, вимоги до таких продуктів універсальні і зазвичай зводяться до наступних пунктів:

  • Повноцінний контроль адміністраторів різних операційних і цільових систем, незалежно від виробника такої системи, версії та інших характеристик.
  • Відеозапис всіх Ваших дій адміністраторами та збереження історії вводяться команд, відповідей додатків на вводяться команди, в тому числі – з можливістю подальшого пошуку за різними критеріями.
  • Можливість роботи з цільовими системами за принципом «4-х очей», коли відповідальний співробітник (як правило, – з відділу інформаційної безпеки) може в режимі реального часу не тільки спостерігати за діями адміністраторів, а й підтверджувати ті чи інші його дії (наприклад, вхід/логін на ключовий сервіс або СУБД).
  • Різні варіанти аутентифікації адміністраторів, як на РАМ-ресурсі, так і на цільових системах. Зазвичай політики інформаційної безпеки мають на увазі приховування реальних логінів і паролів до критично важливих ключовим сервісів, і рішення РАМ повинні не тільки вміти їх «підміняти» (а найчастіше – і міняти по заданих парольним політикам), а й зберігати такі реквізити у вигляді недоступному для крадіжки.
  • Інтеграція з ключовими сервісами компанії, такими як каталоги користувачів (AD / LDAP), системи збору логів, системи обліку активності користувачів тощо.
  • Зручний і інтуїтивно зрозумілий інтерфейс як для адміністраторів РАМ-продукту, так і привілейованих користувачів (а краще – можливість роботи привілейованих користувачів «безпосередньо» з цільовими системами звичними засобами, без необхідності використання додаткового стороннього інструментарію).

Всім перерахованим вище критеріям відповідає рішення FUDO PAM від польського виробника продуктів інформаційної безпеки – компанії Fudo Security. Сама компанія відома на ринку США і Європи під торговою маркою Wheel Systems, яка справила ребрендинг в 2018 році, по суті, просто розділивши свій портфель рішень (передавши свою продуктову лінійку в інші або новостворені компанії), що дало можливість основній команді розробників продукту PAM (Privileged Access Management) сконцентруватися на якісної доробки та розвитку даного рішення.

FUDO PAM в якійсь мірі унікальне рішення, яке є самодостатньою платформою, що вигідно його відрізняє від конкурентів. Якщо інші рішення РАМ зазвичай вимагає підготовки інфраструктури, такої як установка операційні системи і спеціальних ролей, бази даних, то FUDO PAM вже поставляється в повністю «зібраному» вигляді – залишається тільки зробити первинну ініціалізацію (вказати IP адреси, шлюзи, DNS-сервера) і платформа готова до роботи! Вся процедура імплементації займає не більше півгодини, а подальше адміністрування платформи FUDO PAM здійснюється через веб-браузер.

Сам процесс подключения целевых систем и контролируемых администраторов к системе РАМ подразумевает пять базовых действий:

  • Додавання в FUDO PAM привілейованих користувачів (адміністраторів), контроль яких треба здійснювати. При чому, це може бути як ручний режим додавання, так і вивантаження з каталогів користувачів (AD / LDAP). Що важливо, сама авторизація адміністраторів в системі РАМ може відбуватися різними способами: через зовнішній аутентифікатор (AD, LDAP або RADIUS сервер), шляхом статичного пароля, SSH ключа або одночасно декількома способами.
  • Додавання в FUDO PAM цільових систем, до яких матимуть доступ привілейовані користувачі (з пункту 1). При чому, під цільовими системами мається на увазі не тільки сервера, а й устаткування, додатки або веб-сервіси. Такий широкий діапазон цільових систем обумовлений тим, що FUDO PAM працює як шлюз на рівні протоколів передачі даних, без безпосередньої установки агентів / драйверів на самих цільових системах. Сам перелік підтримуваних протоколів великий і самодостатній: це графічні протоколи (RDP, VNC), текстові (Telnet, SSH, X11), веб (HTTP, HTTPS), протоколи баз даних (Oracle, MySQL, MS SQL) та інші, в тому числі – спеціалізовані (Modbus, ICA, Citrix StoreFront, TCP).
  • Створення способу використання і зберігання реквізитів підключення до цільових систем (логіна і пароля). Справа в тому, що всі дані в системі FUDO PAM зберігаються в зашифрованому вигляді (у внутрішній базі з алгоритмом захисту AES-256), і часто це є найбільш надійним способом зберігання логіна і пароля, ніж надання цих облікових даних привілейованого користувача. Іншими словами, FUDO PAM може надійно зберігати реальні логіни і паролі в своєму сховищі, використовуючи ці дані для підключення до цільових систем (див. П.2), а привілейовані користувачі (див. П.1) будуть підключатися зовсім з іншими обліковими записами. Проте, в разі виробничої необхідності, систему FUDO PAM можна налаштувати і на «кидок» реальних реквізитів в цільові системи або підміняти тільки частина реквізитів (наприклад, тільки пароль).
  1. Визначити спосіб підключення адміністраторів до цільових системам. Тут діапазон можливостей не менш широкий: в системі є такі цікаві особливості як можливість зіставлення портів між ПК адміністратора та цільовою системою, можливість жорстко «прив’язати» конкретну цільову систему до одного конкретного порту, можливість вказати IP адреса, який буде доступний того чи іншого адміністратору ( або групі адміністраторів) для підключення тощо. Так само, є можливість (в разі установки системи «в розрив») зробити повністю прозорий для привілейованих користувачів контроль (запис) дій (адміністратори навіть не знатимуть, що їх дії якимось чином записуються і контролюються).
  2. Визначити загальні налаштування взаємодії привілейованих користувачів з цільовими системами. Рішення FUDO PAM додатково дозволяє реалізувати безліч корисних опцій, таких як: максимальний дозвіл екрана користувача при підключенні до цільової системі; час коли дозволено саме підключення; процес повідомлення відповідальних співробітників про факт підключення адміністратора до цільової системі; парольний політика (наприклад, блокування облікового запису адміністратора при введенні забороненою команди); обмеження передачі буфера обміну або файлів, час зберігання записаних сесій і безліч інших параметрів.
  3. Варто відзначити, що всі налаштування здійснюються за допомогою єдиної консолі з інтуїтивно зрозумілим інтерфейсом, який підтримує в тому числі російську локалізацію (і найближчим часом з’явиться – українська). Управління системою може здійснюватися кількома відповідальними співробітниками (наприклад, офіцерами безпеки) на підставі заздалегідь заданої рольової моделі

РАМ платформа дозволяє вивантажити записані дані (відео або текстовий журнал дій і вводяться команд) у зовнішнє джерело (наприклад, на зовнішню SIEM систему) або файл. При необхідності, записані відеоролики можна запевнити ключем довіреної центру сертифікації, що дозволить їх використовувати в судових позовах.

Ще одна цікава особливість – наявність спеціалізованого веб-порталу для самих привілейованих користувачів, який надає адміністраторам виключний перелік цільових систем, які вже додані в РАМ-систему, і, відповідно, до яких привілейовані користувачі можуть підключиться прямо з цього веб-порталу (просто клацнувши по потрібної іконці кнопкою миші). Сама робота користувачів так само постійно відстежується.

Що безумовно радує, так це підхід компанії Fudo Security до еволюції продукту. На сьогодні РАМ рішення від польського виробника – це вже самодостатнє рішення рівня Enterprise (про що говорить, як мінімум, факт потрапляння в знаменитий Gartner Quadrant). З кожною новою версією виробник додає корисні опції: інтеграція з ticket системами, можливість додавання логотипів компанії в вікно ініціалізації, підтримка декількох каталогів користувачів, поліпшена робота відмовостійких конфігурацій, робота з віддаленими програмами (RemoteApp) і безліч інших речей.

Безумовно, як і будь-яка система, рішення від Fudo Security має ряд особливостей, які можуть вплинути на вибір потенційного Замовника. Однак, з огляду на вкрай демократичну цінову політику виробника і гнучку систему знижок поряд з дуже якісним рівнем підтримки, не дивно, що FUDO PAM набирає все більшої популярності не тільки на Заході, але на українському ринку.

Офіційний дистриб’ютор Fudo Security в Україні – компанія Oberig IT.

ПРИЄДНУЙТЕСЬ ДО НАС, ЩОБ ЗАВЖДИ БУТИ В КУРСІ АКТУАЛЬНИХ АКЦІЙ