Журнал "Information Security/ Информационная безопасность" #2, 2019

Приоритеты развития: укрепление лидерства на российском рынке l сохранение значительного присутствия в сегментах железнодорожных и автомо- бильных подшипников,а также подшипников специ- ального назначения; l увеличение доли клиентов в индустриальном секторе (металлургия, энергетика) за счет расширения ассор- тимента продукции для этого сегмента. – Как в вашей организации воз- никла задача конт- роля привилегиро- ванного доступа? Что послужило толчком к поиску решения и реализа- ции проекта? – После внедрения системы управления пользова- тельским доступом мы оценили удобство и простоту использо- вания такого ПО. Пожалели об упущенном времени с точки зрения защиты от несанкцио- нированного доступа, когда мы обходились только ненадежной парольной аутентификацией без дополнительной защиты. Тогда и было принято решение о необходимости скорейшей интеграции централизованного управления привилегированным доступом. Зачем подвергать рискам атак или потери самые важные корпоративные данные, которые требуются только администраторам системы? Безусловно, мы доверяем своим сотрудникам! Но в этом вопросе идет речь о том, что далеко не каждый сотрудник применяет в своей работе те или иные сведения. Доступ есть, а потребности в его использо- вании для выполнения конкрет- ной работы нет. Поэтому и нужна система, которая будет определять уровни доступа и выдавать на него разрешения. – Кто выступал инициа- тором внедрения и заказ- чиком новой системы? – Мы, как и большинство руко- водителей крупных компаний, считаем, что доступом к инфор- мационным ресурсам может управлять только специализи- рованный отдел. У нас курирует эти вопросы отдельный депар- тамент ИТ. Его сотрудники ини- циировали внедрение управле- нием доступа пользователей с помощью второго фактора. Тогда выбрали OTP – одноразо- вый пароль. После успешной реализации проекта двухфак- торной аутентификации они же, осознавая риски бесконтроль- ного использования администра- тивных учетных записей, пред- ложили и их взять под защиту. Сформировали и утвердили задачи, которые хотим решить при использовании программ- ного обеспечения. Потом при- ступили к поиску подходящего решения. – Как администраторы информационных систем отнеслись к внедрению системы PAM? – К моменту, когда привыкали к измененному механизму полу- чения привилегированного доступа, уже все свободно использовали ОТР. Поэтому проблем и конфликтов практи- чески не было. Аргументация "против" разбилась о понимание важности защиты учетных дан- ных и корпоративных секретов. На этапе пилотного внедре- ния удалось полностью под- строить систему под наши тре- бования. Поэтому переход на новый сценарий работы с при- вилегированными учетными записями прошел почти безбо- лезненно для сотрудников. – Расскажите, пожалуй- ста, подробнее о принципе работы выбранной систе- мы. Какие у нее особен- ности? – Схема работы очень простая и распространенная в подобных системах. Сотрудник не исполь- зует административную учетную запись для выполнения рутинной работы, т.е. основная рабочая станция не является носителем привилегированной учетной запи- си. Когда возникает необходи- мость управления системой из консоли администратора, сотруд- ник подключается к прокси-сер- веру доступа по протоколу RDP. Из этого прокси-сервера откры- вается сессия на целевой сервер. Сотрудник аутентифициру- ется с помощью своих пользо- вательских учетных записей (непривилегированных) и на целевой сервер попадает уже в административную сессию. При этом также используется сце- нарий двухфакторной аутенти- фикации. В тот же момент начинается журналирование всех событий, происходящих во время приви- легированной сессии. Фиксиру- ется клавиатурный ввод, ведется видео- и текстовая запись. Эти данные отдельно архивируются. Мы всегда имеем доступ к ним. Наличие в PAM функционала, позволяющего вести и архиви- ровать разные виды фиксации событий в сессиях, и есть его преимущество. Не нужно внед- рять еще одну систему для этих целей и искать способ их интег- рации между собой. – Какие есть сложности в использовании нового механизма предоставле- ния привилегированного доступа? – Сложности как таковой не было. Был проделан большой объем предварительных работ. Первоначально подробно про- писали сценарий работы систе- мы. Под этот сценарий разраба- тывались уровни доступа и спис- ки из имеющейся базы учетных записей, кому и какой доступ предоставить. Потом заполняли базы учетных данных и разда- вали доступ. Это серьезная рабо- та, требующая тщательной про- работки. Но ее нужно проделать только один раз на этапе подго- товки к внедрению. Конечно, для корректной работы системы потребовалось и выделение дополнительных мощностей и проверка отказо- устойчивости, производитель- ности и стабильности работы системы. Это все проведено в рамках пилотного внедрения. Тестируемая система показала себя с хорошей стороны. 16 • В ФОКУСЕ Кто контролирует контролера? Николай Чуприн, руководитель отдела информационных систем, Группа компаний ЕПК б особенностях контроля привилегированных пользователей на промышленных предприятиях, а также о сложностях внед- рение и результатах редакции журнала Information Security рассказал руководитель отдела информационных систем Групп ы к омпаний ЕПК Николай Чуприн. О