Всем привет!
Мы в Avanpost поставили перед собой амбициозную цель: предложить рынку инновационный продукт, который обеспечит высокий уровень защиты за счет проактивного реагирования на угрозы. Кроме того, у нас есть стратегическое желание усилить линейку фокусирующихся на управлении доступом продуктов. В этом году мы анонсировали Avanpost SmartPAM – систему управления привилегированным доступом. Сейчас мы нацелены на предоставление эффективных инструментов для управления привилегированным доступом, способствующих снижению рисков и повышению уровня безопасности информационных систем в целом.
О мотивации поговорили, давайте переходить к заявленной теме – как устроена наша система.
Рассмотрим ключевые компоненты Avanpost SmartPAM:
-
Прокси, обеспечивающий изоляцию привилегированных пользователей от непосредственного взаимодействия с защищаемыми системами;
-
Хранилище секретов (Vault), содержащее ключевую информацию о привилегированных учётных записях;
-
Инструмент записи сессий, фиксирующий все действия, выполняемые привилегированными пользователями;
-
Событийный движок, который получает от других компонентов системы данные о событиях, происходящих в привилегированных сессиях, и проверяет их на предмет наличия угроз;
-
Искусственный интеллект, выявляющий аномалии в поведении привилегированных пользователей.
Теперь расскажем, как организован контроль привилегированных сессий.
Привилегированные пользователи подключаются к защищаемым узлам не напрямую, а через прокси в составе SmartPAM (при этом применяются типовые инструменты, такие как Putty или терминальный клиент Microsoft).
Аутентификация пользователей при доступе к ресурсам осуществляется от имени их персональных учетных записей, ключами от групповых учетных записей («root», «Администратор» и т.п.) оперирует SmartPAM. При соответствующей организации процессов управления большинство привилегированных пользователей секретами от ИТ-инфраструктуры не владеют и, следовательно, не могут их скомпрометировать.
Avanpost SmartPAM выполняет запись всех действий, выполняемых привилегированными пользователями; фиксируется, кто персонально и в какой момент времени применял ту или иную привилегированную учетную запись. Сохраненная информация впоследствии может быть использована при расследовании инцидентов.
Различные компоненты продукта фиксируют события, происходящие в привилегированных сессиях: попытки выполнения команд, открытие файлов для чтения, редактирование документов, специфические паттерны сетевой активности и др. Детектированные события обрабатываются событийным движком:
-
проводится корреляция событий (обобщение нескольких событий, которые сами по себе являются малозначительными, но в совокупности могут представлять угрозу);
-
все множество событий (как исходные, полученные непосредственно из привилегированных сессий, так и обобщенные, сгенерированные в результате корреляции) проверяется на предмет соответствия сигнатурам – правилам, описывающим опасные паттерны;
-
при выявлении опасной ситуации, в зависимости от настроек, могут предприниматься те или иные автоматические реакции, направленные на митигацию рисков: блокирование команды или привилегированного пользователя, разрыв сессии, уведомление ответственных.
Информация из привилегированных сессий обрабатывается двухуровневой системой нейросетей на предмет наличия аномалий. Выявленные атипичные ситуации маркируются как риски, возможна автоматическая реакция на них.
Мы подумали не только о технической составляющей нашего продукта, но и об эмоциональной – первое знакомство с ним должно пройти идеально. Не хотим, чтобы нашим заказчикам приходилось обращаться к дорогостоящему консалтингу при внедрении. Поэтому в новом решении большой акцент сделан на простоте и удобстве развёртывания.
Для повышения эффективности событийного движка мы разработали и предлагаем готовую библиотеку сигнатур. Она позволяет применять готовые правила, разработанные отраслевыми специалистами, не требуя от заказчиков усилий по самостоятельному их созданию.
Продукт Avanpost SmartPAM самодостаточен, с собственной кодовой базой, но в сочетании с другими решениями дает синергетический эффект. Следует отметить, что комплексный подход, основанный на одновременном использовании нескольких продуктов информационной безопасности от Avanpost, позволяет достичь синергетического эффекта. Например, интеграция Avanpost SmartPAM с Avanpost FAM или Avanpost MFA+ обеспечивает многофакторную аутентификацию привилегированных пользователей при доступе к ресурсам, защищаемым Avanpost SmartPAM, включая Linux- и Windows-серверы.
Кроме того, применение SmartPAM с центром управления учетными записями и правами доступа Avanpost IDM позволяет не только эффективно управлять жизненным циклом привилегированных учетных записей и контролировать доступ к ним, но и использовать мощный BPMN-движок, встроенный в IDM. Последнее открывает возможности для реализации сложных и многоступенчатых сценариев запроса, согласования и предоставления привилегированного доступа в рамках SmartPAM.
Таким образом, интеграция Avanpost SmartPAM с решениями экосистемы Avanpost способствует автоматизации и централизованному управлению привилегированными учетными записями, обеспечивая дополнительные уровни защиты.
Свыше 60% компаний в России сталкиваются с угрозами безопасности от привилегированных пользователей. Надеемся, что не зря привлекли внимание к теме управления привилегированным доступом и рассказали «а как у нас». С угрозами — как с пожаром: легче предотвратить, чем ликвидировать последствия, став частью вышеупомянутой статистики.
Автор: AvanpostID
