Как взять под контроль управление привилегиями и адаптировать бизнес к удаленной работе

Продукт
Разработчики: BeyondTrust
Отрасли: Информационные технологии
Технологии: ИБ - Аутентификация,  PAM Privileged Access Management

Содержание

Введение

Коронавирус заставил многие компании по всему миру перейти на «удаленку». Для некоторых компаний это стало естественным процессом, и они просто масштабировали существующие практики дистанционной работы. В некоторых компаниях это стало серьезным вызовом для ИТ и ИБ, которым потребовалось адаптировать бизнес-процессы компаний под новые условия.

Тенденция ухода на удаленную работу началась не сегодня, и текущий всемирный бизнес-локаут, связанный с пандемией, не породил её, а лишь послужил катализатором. Многие компании, ушедшие от концепции офисной работы, уже не вернутся назад. Вывод работников за периметр офиса и предприятия — это тенденция выгодная как работникам, так и работодателям. А чтобы воспользоваться всеми преимуществами «удаленки», не жертвуя безопасностью, требуется концепция кибербезопасности «Zero Trust».

Модель «Zero Trust» (нулевое доверие) ориентирована на защиту ресурсов и основана на предположении, что в корпоративной сети уже присутствует злоумышленник, следовательно, требуется максимально ограничить доступ к ресурсам компании и предоставить авторизованному пользователю минимально возможный объем привилегий, необходимый для выполнения задачи. Zero Trust – это не новая парадигма кибербезопасности, но до последнего момента она была не особо актуальна в связи с тем что, практическое внедрение практик нулевого доверия приводит к усложнению и удорожанию бизнес-процессов компании. Переход бизнеса на «удаленку» возродил интерес к этой модели. Однако, переход к «Zero Trust» — это масштабное мероприятие, которое, как правило, требует создания правильной ИТ-архитектуры с нулевым доверием в качестве движущего принципа безопасности с самого начала. Без учета существующего в компании стека технологий, инструментов, используемых для удаленного доступа и управления уязвимостями, это всего лишь теоретический подход, а не готовое решение, которое можно купить для модернизации существующих систем.

По словам Моррея Хабера, технического директора компании BeyondTrust, модель Zero Trust выглядит логичной, но для многих нереальной. Она требует микросегментации ресурсов и создания «зон доверия» для управления критическими ресурсами. Ее внедрение также влечет за собой развертывание технологий для мониторинга и управления данными между зонами и, что более важно, взаимодействия с пользователем внутри зоны (зон). При всем этом началом пути к внедрению «Zero Trust» является внедрение Privilege Access Management (PAM) системы. Zero Trust требует строгого контроля ресурсов для реализации модели микропериметров. Удаление административных прав пользователей, управления учетками и паролями, устранение разделенных учеток, интегрированная запись пользовательской активности, и подобные – это основные функции PAM системы. Однако, расширение ее до Zero Trust, то есть всех пользователей и ИТ активов организации, позволяет сделать первый шаг к необходимой защите процессов автоматизации, контроля микропериметров, обнаружения данных и аналитики безопасности. Таким образом, вы можете уже сейчас сделать первый шаг к «Zero Trust» и внедрить принцип «least privilege» (наименее возможных привилегий) на конечных точках, управление привилегиями, удалить излишние административных права, автоматизировать управление учетными записями и паролями, устранить общие привилегированные учетные записи, организовать запись сеансов, и обеспечить мониторинг взаимодействия между изолированным сегментами с помощью BeyondTrust Universal Privilege Management.

BeyondTrust Universal Privilege Management

Наиболее серьезные нарушения кибербезопасности связаны с использованием неправильно управляемых привилегий, которые злоумышленники используют для проникновения и перемещения по сетям. Количество привилегий в информационной среде компании увеличивается лавинообразно.

Как можно защитить свою организацию от этого взрыва количества и разнообразия привилегий? Это потребует выхода за рамки простой защиты паролей к современному подходу, который защищает каждого пользователя, сеанс и актив. Универсальная модель управления привилегиями BeyondTrust защищает и управляет привилегиями по всему ландшафту.Российский рынок HR-tech: оценки, перспективы, крупнейшие поставщики. Обзор TAdviser 100 т

Платформа BeyondTrust предоставляет три интегрированных решения, которые значительно сокращают поверхность атаки и возможности воздействия на компанию, одновременно повышая производительность бизнеса.

  • Privileged Password Management помогает находить, подключать, управлять и проверять каждую привилегированную учетную запись - как человека, так и не человека - и отслеживать каждый сеанс.
  • Endpoint Privilege Management предоставляет нужную привилегию нужному пользователю или приложению только на время, которое необходимо.
  • Secure Remote Access позволяет управлять и контролировать привилегированный удаленный доступ для сотрудников и поставщиков.

Универсальная модель управления привилегиями позволяет создавать собственные сценарии модернизации управления привилегиями, начав с наиболее актуальных вариантов использования предлагаемых BeyondTrust, а затем последовательно и постепенно переходя к дополнительным сценариям использования.

Например организации, которые хотят начать работу с защиты привилегированного доступа от третьих лиц или удаления привилегий с настольных компьютеров, могут сделать это без необходимости сперва внедрить решение для управления паролями.

Наглядно концепция решения хорошо продемонстрирована на официальном видеоролике компании BeyondTrust.

Сейчас в связи с пандемией Компания BeyondTrust дает бесплатный 90-дневный пробный период. Воспользуйтесь бесплатно преимуществами решения.

Управление привилегиями на конечных точках Endpoint Privilege Management

Основная отправная точка для универсального управления привилегиями в концепции Zero Trust - это контроль пользователей, программного обеспечения и реализация аренды (выдачи на время) привилегий на конечных точках (серверах, рабочих станциях и элементах инфраструктуры) BeyondTrust Secure Remote Access позволяет удалять права администратора и внедрять аренду привилегий с минимальными помехами для пользователей. Еще можно убрать лишние привилегии за счет исключения ненужных учетных записей, внедрить контекстно-зависимые правила, использующие многоуровневую многофакторную аутентификацию.

В системе реализованы механизмы эскалации конкретных привилегий в данное время в минимально необходимом объеме, достаточном для решения конкретной бизнес задачи и учитывающие в динамике изменение окружения.

BeyondTrust EndPoint Privilege Management - инструмент динамического управления минимально возможными и необходимыми привилегиями при доступе к конечным точкам всех типов.

Состоит из трех основных компонентов: Privilege Management for Windows and Mac – агентское решение позволяющее гибко управлять административными правами на рабочих станциях. Пользователю больше не нужно давать никаких полномочий администратора.

Privilege Management for Unix, Linux, and Networked Devices – Платформа управления привилегиями серверов Unix и Linux является решением контроля использования привилегий. Ядром платформы является один или несколько серверов авторизации. Эти серверы обрабатывают все запросы на использование привилегий на серверах Unix и Linux на основе проверенных политики идентификации и использования привилегий. Платформа позволяет применение гранулярных политик, поэтому каждый человек может получить только необходимые привилегии только на необходимые серверы.

Active Directory (AD) Bridge – включает в Active Directory аутентификацию для сред Unix, Linux и Mac, позволяет проводить аутентификацию Kerberos Active Directory и возможности единого входа (SSO) на этих платформах.

Управление привилегиями для рабочих станций Windows и Mac- Privilege Management for Windows and Mac

Одно из преимуществ этого решения – быстрота развертывания, а внедрение систем гибкого автоматизированного управления правами конечного пользователя может снижать нагрузку на службу поддержки до 40%.

Набор предустановленных шаблонов и инструментов QuickStart позволяет ускорить автоматизацию развертывания, сократить ресурсы и начать использовать систему сразу после разворачивания.

Кроме того, система контролирует безопасность рабочей станции на наличие обновлений, уязвимости привилегий, ведет журнал доступа.

Если пользователю нужно поставить новое приложение, ему не обязательно звать администратора. Система позволяет пользователю самостоятельно установить приложения из белого списка из корпоративного репозитория доверенных приложений. Белые, серые и чёрные списки приложений позволяют значительно уменьшить риск установки подозрительных программ при сохранении самостоятельности и гибкости формирования рабочего окружения пользователя на его рабочей станции.

Управление привилегиями для Unix, Linux серверов и сетевых устройств - Privilege Management for Unix, Linux, and Networked Devices

Серверы и сетевые устройства - ядро корпоративной информационной инфраструктуры - основная цель для злоумышленников. Получение root или других привилегированных прав на машине упрощает для злоумышленников «пролет под радаром» систем контроля безопасности и служит инструментом для достижения их неблаговидных целей.

Давать или не давать sudo больше не дилемма. Система позволяет исключать root доступ и с высокой детализацией управлять командами и скриптами. Реализовано разделение привилегий и разделение обязанностей, чтобы ограничить широту привилегий, доступных конкретной учетной записи, и тем самым исключить постоянный доступ, предоставляя привилегии «just-in-time». Другими словами, люди не имеют прямого доступа к использованию привилегий на каждом Unix и Linux сервере; они не знают пароли или другие учетные данные, которые позволят получить привилегированный доступ. Привилегированный доступ может быть получен только через серверы платформы авторизации.

Архитектура платформы управления привилегиями сервера Unix и Linux обеспечивает безопасную централизацию управления и мониторинга всего привилегированного доступа к серверам Unix и Linux. Это резко контрастирует с традиционным sudo, который требует локального управления и ведения журнала на каждом сервере, предлагая ограниченные возможности для контроля, мониторинга и расследования использования привилегий. Главной целью платформы управления привилегиями сервера Unix и Linux является ограничение доступа к привилегированным учетным записям для достижения соответствия и снижения риска компрометации без негативного влияния на производительность. Таким образом решение преследует и реализует четыре основные цели:

  1. Ограничить доступ к привилегированным учетным записям
  2. Добиться соответствия требованиям регуляторов
  3. Уменьшить риск компрометации
  4. Избежать негативного влияния на производительность

Active Directory Bridge

Де-факто Microsoft Active Directory является стандартом для управления инфраструктурой предприятий. Для многих компаний IDM функционал Active Directory вполне достаточен для решения базовых задач идентификации пользователей и управления доступом. Это работает для Windows устройств. Однако, многие важные ИТ системы часто расположены на машинах под управлением Linux/Unix. Расширяя групповые политики Active Directory на не-Windows платформы, BeyondTrust обеспечивает централизованное управление конфигурациями, снижает риск и сложность управления неоднородной средой, разрешает пользователям использовать свои учетные данные AD для доступа к системам Unix, Linux или Mac и позволяет переходить с настольных компьютеров на удаленные компьютеры или между системами не требуя от них повторного ввода учетных данных.

BeyondTrust AD Bridge является единственным решением, которое не изменяет схему Active Directory при добавлении Linux, Unix и Mac OS X.

Безопасный удаленный доступ Secure Remote Access

Когда говорится про удаленный доступ, в первую очередь на ум приходит VPN. VPN - это хорошо для подключения пользователя к корпоративной сети, но абсолютно недостаточно для привилегированного доступа! Компьютер удаленного пользователя находится, как правило, вне нашего контроля и подвержен повышенному риску. Для организации удаленного доступа администраторов, вендоров и инженеров поддержки необходимо использовать специализированные решения.

Использование удаленного доступа BeyondTrust Secure Remote Access позволяет расширить на поставщиков и удаленных работников лучшие практики управления доступом. Лишив удаленных пользователей возможности пробрасывать VPN, с полным доступом к сети, становится возможно применять управление привилегиями, контролировать количество сессий и продолжительность доступа наряду с высокой грануляцией разрешений на то, куда и когда пользователь может получить доступ. Отсутствие VPN в архитектуре избавляет от необходимости открывать порты в файрволлах, создавая ненужные уязвимости.

Решение позволяет удаленным поставщикам и работникам инжектировать одноразовые учетные данные для запуска сеансов, не раскрывая им пароли, чтобы их нельзя было скомпрометировать, создает журналы и отчеты, а также отслеживает все сеансы поставщиков и удаленных работников в режиме реального времени.

Все более важное значение приобретает управление привилегиями для Интернета вещей в сетях с медицинским или промышленным оборудованием в недоверенных средах. BeyondTrust Secure Remote Access позволяет обнаруживать и подключать все устройства, а затем применяет лучшие методы управления паролями, например устраняет встроенные или жестко заданные учетные данные, поддерживает уникальность паролей и хранит учетные данные в защищенном от несанкционированного доступа хранилище. Детальный контроль выданных на время привилегий для позволяет управлять тем, какие команды могут быть запущены пользователями.

И, конечно, ведется запись сеансов, чтобы обеспечить полный аудит действий пользователя и анализировать поведение для обнаружения подозрительных действий.

Например, сравним подключение через VPN и BeyondTrust Secure Remote Access.

Группа решений BeyondTrust Secure Remote Access была изначально разработана с учетом требований к безопасности в крупных компаниях. Решения можно развернуть on-premise или в выделенном облаке в безопасном ЦОД BeyondTrust.

Встроенные средства интеграции позволяют органично вписать новое решение в существующие процессы.

BeyondTrust Secure Remote Access включает в себя 2 решения:

Privilege Remote Support – поддержка удаленных рабочих мест сотрудниками службы поддержки,

Privilege Remote Access – организация доступа к серверам компании со стороны внешних подрядчиков или удаленных администраторов.

Привилегированная удаленная поддержка Privilege Remote Support

Решение позволяет осуществлять техническую поддержку на любой платформе находящихся в любой точке мира сотрудников и устройств. Для разрешения технических проблем пользователей инженер может просматривать экран удаленного компьютера, писать сообщения, вносить изменения в реестр, отправлять на него файлы и даже просматривать камеру мобильного телефона удаленного сотрудника для получения представления о внешнем состоянии устройства (периферии, например, или сетевых подключений).

Техническая поддержка должна предоставляться быстро и качественно. В решении реализована командная работа, повышение привилегий, возможность передачи сеанса поддержки другому специалисту с нужными навыками. Организована очередь поддержки и автоматизирована балансировка между инженерами. BeyondTrust интегрирован со службами каталогов (LDAP, AD), что позволяет легко управлять доступом к сотням и даже тысячам устройствам, устанавливая нужное ПО. А гранулированные настройки прав и политик сеансов позволяют предоставлять инженерам привилегии в соответствии с принципом least privilege.

Решение автоматически фиксирует в журнале все действия инженера в сеансе, осуществляет мониторинг его действий в реальном времени. Журнал действий в сеансе можно использовать не только для аудита, что требуют регуляторы, но и для анализа действий и даже организации презентации и обучения персонала.

Брендирование технической поддержки способствует повышению уровня доверия клиента. В решении BeyondTrust вы можете настроить вид веб-портала, загрузить логотип компании, организовать опросы после окончания сеанса поддержки и даже загрузить фотографии инженеров из службы каталогов.

Решение легко интегрируется в существующую инфраструктуру компании благодаря встроенным инструментам поддержки службы каталогов, ITSM систем, сторонних инструментов аутентификации, SIEM систем, менеджеров паролей.

При интеграции BeyondTrust Remote Support с BeyondTrust Password Safe система автоматически подставляет учетные данные целевых систем, не показывая их инженерам. Это повышает скорость их работы и минимизирует риск компрометации учетной записи. Кроме того, в решение встроена поддержка двухфакторной аутентификации.

Privilege Remote Support позволяет поддерживать все системы через Интернет, даже если они защищены брандмауэром, который вы не контролируете. Полный функционал безопасной удаленной поддержки в одном решении снижает время разрешения проблемы. Поддерживаются удаленные компьютеры под управлением Windows, Mac, Linux, мобильные устройства под управлением Android и iOS, а также сетевые устройства. Технические специалисты могут оказывать поддержку, используя любимое устройство, даже планшет под управлением Android или iPad. Веб консоль позволяет удаленным сотрудникам запускать сеанс, не требуя предварительной установки каких-либо клиентов, и быстро получить техническую поддержку.

При развертывании решения on-premise в демилитаризованной зоне устанавливается Appliance, который позволяет снаружи устанавливать защищённое HTTPS соединение без использования VPN, а внутри устанавливает соединение, присущее текущей задаче. Таким образом технологические, часто легко уязвимые, сессии управления серверами и сетевыми устройствами находятся в защищенной, изолированной от внешних атак среде, а внешнее соединение защищено SSL\TLS шифрованием.

Привилегированный удаленный доступ Privilege Remote Access

С помощью решения Privilege Remote Access удаленные сотрудники могут получать доступ к своим офисным компьютерам, вендоры и подрядчики могут продолжать удаленно осуществлять поддержку корпоративных ресурсов, используя собственные устройства надежно, контролируемо и безопасно.

Предусмотрена возможность подключать сегменты сети за счет быстрой установки в них несложного Jump сервера BeyondTrust Privilege Remote Access позволяет контролировать доступ к критическим системам, не изменяя рабочие процедуры работы удаленных пользователей. Решение дает возможность указать системы, к которым пользователь может подключаться, способ подключения (время, приложения), осуществлять мониторинг сеанса в реальном времени, делать видеозапись сеанса для последующего аудита. Решение имеет простую и удобную консоль.

Как и при развертывании Privilege Remote Support, для развертывания Privilege Remote Access on-premise в демилитаризованной зоне устанавливается Appliance, который позволяет снаружи устанавливать защищённое HTTPS соединение без использования VPN, а внутри устанавливает соединение, присущее текущей задаче.

BeyondTrust не требует изменений в вашем брандмауэре, поскольку конечные точки и привилегированные пользователи подключаются к устройству через исходящие соединения. Это значит, что если удаленный компьютер или сервер могут подключаться к Интернету, пользователи, не подключенные к сети, могут подключаться к нему через BeyondTrust без использования VPN.

Если удаленные компьютеры или сетевые устройства не подключены к Интернету, к ним можно получить доступ через узел BeyondTrust, подключенный к Интернету.

В большинстве случаев подключение к удаленному компьютеру устанавливается без развертывания удаленных агентов или индивидуальной настройки удаленных компьютеров.

BeyondTrust поддерживает несколько удаленных протоколов: RDP, SSH, Telnet и собственный проприетарный протокол с большими, чем у стандартных соединений, возможностями. Как консоль доступа привилегированных пользователей, так и приложение для конечных точек работает в системах Windows, Mac, Linux, на сетевых устройствах, а также на планшетах под управлением Android и iOS. Все действия во время удаленных сеансов фиксируются в подробном журнале и в виде видеофайлов. Все данные сеанса защищены TLS/SSL шифрованием.

Управление паролями - Privileged Password Management

Эта часть BeyondTrust автоматически обнаруживает и берет под контроль все типы используемых привилегированных учетных записей.

Взяв привилегированные учетные записи под контроль, система сменяет пароли и ключи, которые защищают учетные записи сотрудников, поставщиков приложений, машины, сервисы, службы и, более того, исключает жестко зашитые в код учетные записи, заменяя их вызовами API, усиливает сегментацию за счет реализации разделения привилегий и разделения ответственности, а также ведет мониторинг и управление каждым привилегированным сеансом, чтобы можно было анализировать признаки потенциальных угроз и собирать полный журнал аудита привилегированных действий

Privileged Password Management включает в себя 3 компонента:

Password Safe – единое управление привилегированными паролями и сеансами привилегированного доступа, обнаружение, управление, аудит и мониторинг привилегированных учетных данных.

Cloud Vault – облачное хранилище для хранения и инъектирования привилегированных учетных записей.

DevOps Secrets Safe – предназначен для централизованного управления секретами в контейнерных средах CI/CD.

PasswordSafe

Обнаруживает и профилирует все известные и неизвестные активы, общие учетные записи, учетные записи пользователей и учетные записи служб, быстро идентифицирует активы с общими чертами и автоматически группирует их с помощью Smart Rules. Автоматически обнаруживает все SSH ключи на хост-системах. Рандомизирует пароли по расписанию или по использованию, чтобы исключить риск утечки. Применяет парольные политики в соответствии с любыми требованиями сложности и возрастом. Автоматически ротирует SSH ключи в соответствии с заданным расписанием и обеспечивает детальный контроль доступа и рабочих процессов.

Решает проблему обновления паролей на удаленных и мобильных устройствах с помощью агентов BeyondTrust Privilege Management for Desktops. Ведет аудит и запись управления сеансами RDP и SSH в реальном времени с возможностью блокировать, завершать или отменять сеанс Поддерживает черный список команд: Профили соединений определяют группы ключевых слов, которые могут определять конкретный ход действий - блокировать команду, блокировать или завершить сеанс и проксирует приложения для RemoteApp: разрешает мониторинг и запись любого использования Windows приложения.

Оптимизирует рабочие процессы: использует настоящие средства управления доступом на основе ролей (RBAC) с интеграцией Active Directory и LDAP для назначения ролей и прав пользователям.

Управляет рабочим процессом оформления допуска с помощью бесшовного подключения к RDP и SSH с помощью встроенных инструментов рабочего стола, таких как puTTY и Microsoft MSTSC.

Предоставляет дополнительный контекст, учитывая день, дату, время и местоположение, когда пользователь обращается к ресурсам, чтобы определить, имеет ли он доступ к этим системам.

Cloud Vault

Виртуальные и облачные среды, будь то публичное или частное облако, создают новые проблемы с доверенным доступом. Универсальный подход к управлению привилегиями позволяет применять рекомендации PAM к облачным средам, включая временную аренду привилегий.

Система может автоматически обнаруживать как встроенные, так и автономные инстансы для управления всеми их паролями и ключами, в том числе теми, которые являются уникальными для облачной среды; такие как API-интерфейсы гипервизора и консолей управления, реализовать мониторинг сеансов для всего административного или root доступа к провайдерам облачных услуг, даже в случае программной платформы IAC (инфраструктура как сервис). И, наконец, система позволяет осуществлять полный мониторинг и управление сеансами и удаление всех повышенных прав доступа в облаке

DevOps SecretSafe

Все больше организаций переходят на DevOps. Все более важным становится уход от практики встроенных и жестко закодированных учетных данных. Для сохранения доверенной среды нужна автоматизация обнаружения и передачи в защищенное хранилище всех учетных данных и секретов, используемых в DevOps и рабочих процессах автоматизации. Секреты должны храниться в одном месте и, что более важно, управляться. Наше решение устраняет жестко закодированные учетные данные в конвейерах CI CD и инструментах DevOps и заменяет их вызовами API. Вы можете применять аренду ключей для инструментов и ресурсов DevOps, обеспечить безопасность и производительность, успешную защиту и автоматизацию, и внедрить другие средства управления безопасностью без ухудшения производительности для поддержки гибкости DevOps.

BeyondInsight

Все элементы BeyondTrust Universal Privilege Management интегрируются и управляются из общей консоли BeyondInsight. Созданная на базе технологии HTML5 консоль позволяет комбинировать виджеты и создавать из них свои собственные динамические информационные панели, с помощью которых можно управлять всеми доступными модулями.

Кликнув на виджете, можно получить детальную информацию по каждому модулю, или получить отчет в нужном разрезе.

Интеграция с существующими инструментами безопасности помогает сохранить инвестиции, увеличить прозрачность процессов защиты, проводить анализ угроз, связанных с использованием привилегированного доступа, предоставлять консолидированные данные для внешнего и внутреннего аудита, составлять отчётность и начать внедрять принципы наименее возможных привилегий сразу после запуска системы в промышленную эксплуатацию.

Заключение

Глобализация и цифровая трансформация стирает границы офисов, удаленная работа становится новой реалией, и выиграют те компании, которые смогут быстро и безболезненно адаптироваться к новым условиям ведения бизнеса. Как известно, выигрывает самый быстрый. Использование удобных и безопасных инструментов, таких как BeyondTrust Universal Privilege Management, поможет вам выиграть в этой гонке.

Единственным дистрибьютором BeyondTrust в России является компания Web Control. Специалисты компании имеют многолетний успешный опыт внедрения решения в крупнейших компаниях класса «enterprise». Контактная информация info@web-control.ru, web-control.ru

Где можно получить дополнительную информацию

Если необходимо узнать больше, можно связаться с дистрибьютором, компанией Web Control. Часто публикуются переводы интересных статей вендора на сайте и в Facebook.

Также могут оказаться интересными следующие материалы вендора:



Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  АйТи Бастион (3)
  Другие (0)

Данные не найдены

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  АйТи Бастион (1, 3)
  Другие (0, 0)

  Индид, Indeed (ранее Indeed ID) (1, 2)
  Другие (0, 0)

  Индид, Indeed (ранее Indeed ID) (1, 3)
  АйТи Бастион (1, 3)
  Другие (0, 0)

Данные не найдены