Журнал "Information Security/ Информационная безопасность" #3, 2020

– Скажите, внедрена ли такая система в вашей компании? – Поскольку классические меры конт- роля работы не могут быть применены к сотрудникам с доступом к привиле- гированным учетным записям и рабо- тающим вне физических офисов, мы пришли к выводу, что здесь необходимо использовать систему класса Privileged Access Management (PAM). Как я гово- рил ранее, многие сотрудники работают удаленно и с личных устройств адми- нистрируют нашу систему – сетевое оборудование, гипервизоры, серверы на базе Windows, Linux и т.д. При таком подходе должный мониторинг органи- зовать довольно сложно, так как воз- можности установки контрольных устройств на рабочей станции админи- стратора или подрядчика либо на адми- нистрируемом узле крайне ограничен- ны. И даже при установке такого устрой- ства администратор имеет возможность его удалить или отключить. Примерно полгода назад мы завер- шили внедрение системы класса Privile- ged Access Management, к тестированию которой приступили год назад, после завершения развертывания системы управления доступом и идентификацией сотрудников. В рамках проекта мы протестировали программные комплексы различных вен- доров и выбрали оптимальное для себя решение. Затем внедрили программное обеспечение для контроля действий при- вилегированных пользователей, которое учитывает указанные ранее ограниче- ния, особенности работы и функциони- рует между рабочим местом и целевым администрируемым ресурсом. – А по каким ключевым крите- риям вы осуществляли поиск под- ходящего решения? – Сначала мы протестировали и внедрили программный комплекс для управления пользовательским досту- пом. В процессе его эксплуатации поняли, что требуется дополнительный функционал, который будет закрывать потребности контроля и защиты сотрудников, использующих привиле- гированный доступ в систему. Кроме двухфакторной аутентификации нужна была запись действий таких сотрудни- ков, а также логирование всех откры- ваемых ими сессий, которые имеют важное значение для работоспособно- сти системы. Дополнительным требованием была необходимость функционирования системы в безагентском режиме. Учи- тывая количество целевых ресурсов, для нас также было важно, чтобы реше- ние умело автоматически находить и ста- вить под контроль привилегированные учетные записи на целевых ресурсах. И наверное, самый важный аспект, на который стоит обратить внимание, – взаимодействие между собой систем, выполняющих разные функции, чтобы в процессе работы не возникали перебои из-за их несогласованной работы, а если возникнет необходимость, специалист технической поддержки оперативно мог исправить ситуацию. – Расскажите, как проходило внедрение РАМ-системы. – От тестового внедрения до запуска в производственную эксплуатацию в полном объеме прошло несколько меся- цев. Больше всего времени заняла под- готовка, а не установка и настройка программного обеспечения. Необходимо было проработать поль- зовательские сценарии, продумать, как перевести своих пользователей на рабо- ту через систему РАМ, оценить мощности и докупить недостающее оборудование. Весь процесс внедрения, как пилотируе- мый, так и производственный, сопро- вождался службой технической поддерж- ки разработчика. Подготовили, получили лицензии, внедрили, используем. Кроме того, отмечу, что была прове- дена очень глубокая проработка вопро- сов разделения труда в рамках разра- ботки матрицы доступа. Если в отно- шении пользователей задача больше сводилась к корректному распределе- нию полномочий, то в отношении адми- нистраторов все оказалось значитель- но сложнее. В первую очередь из-за того, что необходимо было не парали- зовать техническую работу и одновре- менно грамотно распределить полно- мочия, чтобы не появились так назы- ваемые суперадминистраторы. Это очень кропотливая работа с множе- ством нюансов. – Как оцениваете результаты внедрения? – За время эксплуатации мы уже успе- ли оценить удобство системы и, самое главное, что теперь привилегированный доступ не только защищен, но и нахо- дится под полным контролем. К логам сессий мы имеем доступ в любое время, и при необходимости можем оперативно расследовать инциденты. Мы успели завершить внедрение системы до начала проблем, связанных с мировой эпидемиологической ситуа- цией и, таким образом, оказались зара- нее подготовленными к массовой уда- ленной работе ключевых сотрудников компании и сотрудников подрядных орга- низаций. Безусловно, это отличное кон- курентное преимущество для любой серьезной компании. – Какие рабочие процессы изменились и как они повлияли на работу сотрудников? – Положительные изменения налицо: улучшились сценарии доступа, обес- печивается качественная проработка прав и ограничений для учетных записей, упорядочились все процессы, связанные с работой и доступом в сессии через РАМ-систему. И это только часть поло- жительных изменений. Что касается сотрудников, то одним из условий, которое требовалось реализо- вать для аутентификации администрато- ров системы и других аналогичных поль- зователей, была необходимость сохране- ния в секрете паролей доступа к привиле- гированным учетным записям. То есть сотрудник осуществляет вход в сессию к целевому ресурсу по своим учетным дан- ным, а данные административной учетной записи скрыты от него. Плюс, конечно, запись и логирование сессий теперь не дают такому сотруднику расслабиться и потерять бдительность. В большой степени мы исключили человеческий фактор. – Какие функциональные осо- бенности работы системы вас впечатлили? – Прозрачный мониторинг событий, происходящих в любой сессии. Появилась также возможность иметь прозрачный доступ (без раскрытия паро- ля) по RDP к системе и при этом вести видеозапись сессии. Кроме того, полезной оказалась функ- ция импорта учетных записей пользова- телей и компьютеров из каталога Active Directory, это позволило сократить сроки наполнения базы PAM и оперативно контролировать необходимые учетные записи. – Скажите, в итоге смогла ли данная система повысить уро- вень информационной безопас- ности компании? – Построение системы информацион- ной безопасности компании – не одно- 10 • В ФОКУСЕ