Кому многое доверяем, того тщательно проверяем
В любой компании, где используется информация с разграничением прав доступа, есть сотрудники, осуществляющие управление этими правами. Соответственно, чтобы наделять или отбирать права у других, нужно обладать самому всей «полнотой власти». Таких пользователей называют привилегированными. С одной стороны, это технический персонал и системные администраторы, в задачи которых входит поддержание системы в рабочем состоянии, контроль за работой пользователей и другие управляющие функции, а с другой – это бизнес-пользователи, обслуживающие узкие, но при этом критически важные процессы компании: финансовый директор, главный бухгалтер и другие топ-менеджеры. Чем больше прав, тем выше риск от их неправомерного использования – как непреднамеренного, так и злонамеренного.
Обратимся к недавнему прошлому. В начале 2000-х на компьютерных рынках вовсю торговали информационными базами – в ту пору они были небольшими, и любой человек, получивший к ним доступ, мог легко скачать их на флешку или DVD. Но объемы данных стремительно росли, и загрузить сотни гигабайт, а затем и терабайт без помощи технических специалистов стало невозможно. Чтобы получить такую помощь, злоумышленники чаще всего прибегали к подкупу. Полная неподконтрольность системных администраторов часто приводила к тому, что на корпоративном сервере, помимо ресурсов относящихся к работе компании, разворачивался целый ряд посторонних приложений, что увеличивало риски нарушения информационной безопасности. Ведь сисадмин, обладая доступом к критически важным для бизнеса данным, в случае обиды или несправедливого, по его мнению, увольнения может передать их конкурентам, а то и правоохранительным органам, если имели место нарушения.
Разработчики давно осознали остроту этой проблемы, в немалой степени их подстегнул и мировой экономический кризис – первые решения для контроля деятельности системных администраторов появились еще в 2008 году. И сегодня, когда большинство компаний оптимизируют ИТ-бюджет и сокращают персонал, такие продукты очень востребованы: ведь в отличие от DLP-систем, контролирующих риски утечки информации через рядовых пользователей, они ориентируются именно на привилегированных. Но если для контроля сисадминов, работающих с множеством ресурсов, применяются решения шлюзовой архитектуры, то для мониторинга привилегированных бизнес-пользователей предназначены хостовые решения: устанавливаемые в качестве агента на рабочую станцию. Эти агенты осуществляют видеозапись, записывают последовательность комбинаций нажимаемых клавиш и т. д. Причем возможен контроль как за всеми действиями пользователя на компьютере, так и за его работой в отдельных приложениях и сервисах, таких как CRM, финансовые системы, электронная почта, мессенджеры, социальные сети. Фиксация всех действий на видео – залог того, что при разборе инцидентов будет изобличен истинный виновник, а не вирус или другая зловредная программа.
«На рынке представлен целый класс систем контроля за привилегированными пользователями. И мы, как бизнес-IT интегратор, готовы помочь заказчику выбрать именно то решение, которое оптимально соответствует его потребностям», – рассказывает Владимир Перминов, начальник отдела продвижения и поддержки продаж центра информационной безопасности компании RedSys.
Так, на мониторинг работы системных администраторов заточены продукты французской компании Wallix и израильской компании CyberArk. Для защиты же рабочих станций применяются хостовые решения американского вендора Observe IT, а также весьма популярная система Spector 360 от американской компании SpectorSoft. Российских продуктов в этом сегменте пока нет, за исключением выходящего на рынок решения «СКДПУ» от компании «АйТи Бастион», в основе которого, тем не менее, лежит уже упомянутый Wallix.
Системы контроля действий привилегированных пользователей могут быть развернуты как на отдельном физическом, так и на виртуальном сервере.
Процесс внедрения как шлюзовых, так и хостовых систем контроля привилегированных пользователей требует предварительной подготовки. «Меняется сам процесс администрирования, меняются правила его работы, поэтому сотрудникам требуется время, чтобы к этому привыкнуть», – поясняет Владимир Перминов.
Но нужно ли извещать сотрудников, что их действия теперь будут подвергаться тщательному контролю? По словам Владимира, на рынке есть решения, например от венгерской компании BalaBit, которые устанавливаются и работают в полностью прозрачном режиме. Однако у «невидимок» есть серьезный недостаток: в силу своей прозрачности они являются критической точкой отказа, так что в случае программного или аппаратного сбоя происходит полная потеря контроля и доступа к серверам, то есть рушится вся система администрирования.
«Конечно, у айтишников может возникнуть негативная реакция на внедрение мониторинга их действий, но если провести грамотную организационную работу, то буквально через пару месяцев они успокаиваются и больше не вспоминают о том, что за ними наблюдают. А затем им даже начинает нравиться наличие подобной системы, поскольку она помогает и в расследовании инцидентов – выявляет действия тех или иных сотрудников, восстанавливая всю последовательность их действий, приведших к сбоям в работе оборудования и ПО, что особенно важно, когда лог-файлы остались на “упавшем” сервере. Наконец, эти системы позволяют упорядочить хранение логинов и паролей к корпоративным серверным ресурсам, поскольку больше не требуется заводить скрытый файл, содержащий данную информацию, и хранить его где-то в дебрях сети. На практике это выглядит так, что системный администратор видит только те ресурсы, доступ к которым ему разрешен, а не все сразу, как это обычно бывает», – отмечает Владимир Перминов.
Компания RedSys старается убедить своих заказчиков, что системы контроля действий привилегированных пользователей должны осуществляться открыто, как элемент корпоративной политики информационной безопасности. По словам Владимира, честные и открытые заявления сглаживают нервозную обстановку, сотрудники понимают, что такие правила необходимы, а внедряемая система в дальнейшем может принести компании большую пользу.
Разумеется, системы контроля привилегированных пользователей могут мониторить и работу поставщиков, когда они внедряют в компании какой-либо продукт. В период кризиса нередки случаи смены заказчиком поставщика, и наличие такого контроля помогает избежать связанных с этим рисков.
Среди потенциальных заказчиков систем контроля действий привилегированных пользователей – банки, ритейл, предприятия реального сектора экономики. Главными заинтересованными лицами выступают не только ИТ-директора, но и руководители служб информационной безопасности. Некоторые решения, в частности Wallix, уже прошли сертификацию российских регулирующих органов, что открывает им доступ и в государственный сектор.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 05.04.2016