CyberArk PAS — это модульная платформа для защиты привилегированных аккаунтов и контроля доступа, предназначенная для поддержки всего жизненного цикла привилегированных учётных записей в организациях, распределенных системах и облаках.
Проблема
Решение
Отсутствие понимания, какие учетные записи (далее — УЗ) обладают расширенными правами доступа к информационным системам
Автоматическое обнаружение привилегированных УЗ
Совместное использование привилегированных УЗ
Видеофиксация всех подключений и сессий, персонификация и привязка действий к УЗ конкретного пользователя
Сложность отслеживания стойкости и частоты смены паролей, т.к. системные администраторы могут обходить технические ограничения
Автоматическое соблюдение политик парольной защиты
Отсутствие полного контроля при обслуживании ИТ-инфраструктуры внешним подрядчиком
Реализация методов нулевого доверия: создание временных УЗ, предоставление доступа только по согласованной заявке с видеофиксацией сессии
Попытка получения доступа привилегированным пользователем в обход действующей системы безопасности
Исключение возможности доступа в обход PIM — системы. Предотвращение атак типа Leapfrog
Внедрение системы класса PIM позволит организации
- Контролировать действия внутренних и внешних пользователей, обладающих расширенными правами доступа;
- Снизить риск несанкционированного доступа привилегированных пользователей и утечки конфиденциальной информации;
- Контролировать соблюдение политик парольной защиты;
- Существенно снизить риск нарушения работоспособности и безопасности ИТ-инфраструктуры;
- Создать архив записей сессий привилегированных пользователей для проведения служебных расследований;
- Выполнить соответствующие требования стандартов: СТО БР РФ, PCI DSS, ISO27001 и др.
Что такое Privileged User Management и из чего состоит система
PUM представляет собой центр управления для защиты целевых систем, к которым обращаются привилегированные пользователи, предлагая безопасный, упорядоченный способ авторизации и мониторинга сессий пользователя, и позволяет:
- предоставлять доступ только в системы, в которых они авторизованы;
- предоставлять доступ только в отведённый период действия привилегий;
- исключить необходимость локальных/прямых системных паролей;
- создавать неизменный контрольный журнал для любой привилегированной операции;
- фиксировать сессии привилегированных пользователей с целью последующего видеоразбора.
Компоненты PUM
Решения PUM различаются внутренней архитектурой, но все имеют три главных функционала:
- Access Manager — единый центр определения и обеспечения соблюдения политик для управления привилегированным доступом. Привилегированный пользователь запрашивает доступ через Access Manager, который знает в какие системы и с какими привилегиями он ему открыт.
- Password Vault. Лучшие решения не позволяют привилегированным пользователям знать фактические пароли доступа. Это предотвращает ручное переопределение на физическом устройстве. PUM хранит пароль в защищённом хранилище и открывает доступ к системе для привилегированного пользователя после очистки диспетчера доступа.
- Session Manager — осуществляет мониторинг и фиксацию (снимки, текст, протоколирование) всего сеанса привилегированного пользователя. Например, в случае интеграции с SIEM, это позволяет ограничить и, возможно, заблокировать хакерскую атаку в режиме реального времени, а также в случае возникновения инцидента — провести разбор действий пользователя.
Интеграция PUM с другими системами безопасности
Интеграция с системой безопасности и управления событиями (SIEM) даёт весьма продуктивные результаты. Например, информацию мониторинга сеанса аутсорсера с временными привилегиями, переданную менеджером сеансов, SIEM может сопоставить с данными системы анализа кода на уязвимости для обнаружения и анализа аномальной и, возможно, злонамеренной деятельности.
Интеграция PUM с IdM позволяет автоматически предоставлять и отменять привилегии в режиме реального времени в соответствии с корпоративной политикой. Эти назначения могут быть очень динамичными, поскольку происходит ротация сотрудников, меняются задания внутри организации, получаются и отменяются временные роли.