Данное решение ориентировано в большей мере на корпоративный сектор, на организации, в которых уже имеется подразделение по обеспечению информационной безопасности, но которому не хватает инструментов контроля действий администраторов и иных привилегированных пользователей информационных и телекоммуникационных систем.

Суть проблемы:

  • администраторы, являясь привилегированными пользователями, потенциально могут нанести максимально возможный ущерб информационным системам компании;
  • администраторы имеют возможности скрыть следы своей деятельности;
  • некоторые последствия их деятельности необратимы.

Наиболее распространенная ситуация:

  • сотрудники работают, используя «обезличенные» учетные записи;
  • сотрудники, имеющие права администраторов, могут скрыть следы своих действий;
  • при использовании разного рода систем для выявления инцидентов безопасности (SIEM), есть возможность увидеть логи события, а не картину целиком.

Таким образом, очевидна необходимость внедрения решения, по контролю привилегированных пользователей. К привилегированным пользователям будем относить администраторов IT-систем, партнеров компании, которые осуществляют доступ к корпоративным информационным системам, аутсорсеров.

Данное решение представляет собой комплекс организационных и технических мер. Организационные меры решения данной проблемы включают:

  • контроль доступа субъектов к защищаемым ресурсам в соответствии с определенной моделью доступа;
  • регламент получения и изменения уровня привилегий для внутренних сотрудников;
  • регламент получения и изменения уровня привилегий для партнеров, сотрудников с удаленным доступом.

Технические меры решения данной проблемы – это внедрение надежной и эффективной автоматизированной системы контроля за действиями пользователей с привилегированными учётными записями.

В общем виде, система представлена на иллюстрации. Для контроля действий привилегированных пользователей устанавливается сервер контроля действий администраторов и агенты, которые устанавливаются на сервера и рабочие станции, где необходимо контролировать сессии пользователей.
img2
Данная система должна осуществлять мониторинг сессий привилегированных пользователей на серверах и рабочих станциях под управлением ОС Windows/Unix/Linux/Citrix. Под задачей мониторинга понимается запись сессии пользователя для дальнейшего просмотра данной сессии и ведение журнала для быстрой навигации администраторов безопасности. Должна быть введена идентификация обезличенных учетных записей привилегированных пользователей (Administrator, root), поскольку довольно распространена ситуация, когда обезличенную учетную запись использует целая группа людей, и в этом случае, даже если сессия будет записана, то определить сотрудника, который открыл эту сессию, не представляется возможным.

Решение может быть построено с помощью таких продуктов, как: ObserveIt и WallixAdminBastion.