Данное решение ориентировано в большей мере на корпоративный сектор, на организации, в которых уже имеется подразделение по обеспечению информационной безопасности, но которому не хватает инструментов контроля действий администраторов и иных привилегированных пользователей информационных и телекоммуникационных систем.
Суть проблемы:
- администраторы, являясь привилегированными пользователями, потенциально могут нанести максимально возможный ущерб информационным системам компании;
- администраторы имеют возможности скрыть следы своей деятельности;
- некоторые последствия их деятельности необратимы.
Наиболее распространенная ситуация:
- сотрудники работают, используя «обезличенные» учетные записи;
- сотрудники, имеющие права администраторов, могут скрыть следы своих действий;
- при использовании разного рода систем для выявления инцидентов безопасности (SIEM), есть возможность увидеть логи события, а не картину целиком.
Таким образом, очевидна необходимость внедрения решения, по контролю привилегированных пользователей. К привилегированным пользователям будем относить администраторов IT-систем, партнеров компании, которые осуществляют доступ к корпоративным информационным системам, аутсорсеров.
Данное решение представляет собой комплекс организационных и технических мер. Организационные меры решения данной проблемы включают:
- контроль доступа субъектов к защищаемым ресурсам в соответствии с определенной моделью доступа;
- регламент получения и изменения уровня привилегий для внутренних сотрудников;
- регламент получения и изменения уровня привилегий для партнеров, сотрудников с удаленным доступом.
Технические меры решения данной проблемы – это внедрение надежной и эффективной автоматизированной системы контроля за действиями пользователей с привилегированными учётными записями.
В общем виде, система представлена на иллюстрации. Для контроля действий привилегированных пользователей устанавливается сервер контроля действий администраторов и агенты, которые устанавливаются на сервера и рабочие станции, где необходимо контролировать сессии пользователей.
Данная система должна осуществлять мониторинг сессий привилегированных пользователей на серверах и рабочих станциях под управлением ОС Windows/Unix/Linux/Citrix. Под задачей мониторинга понимается запись сессии пользователя для дальнейшего просмотра данной сессии и ведение журнала для быстрой навигации администраторов безопасности. Должна быть введена идентификация обезличенных учетных записей привилегированных пользователей (Administrator, root), поскольку довольно распространена ситуация, когда обезличенную учетную запись использует целая группа людей, и в этом случае, даже если сессия будет записана, то определить сотрудника, который открыл эту сессию, не представляется возможным.
Решение может быть построено с помощью таких продуктов, как: ObserveIt и WallixAdminBastion.