Total Privileged Access Manager

Практический опыт реализации процесса

мониторинга действий администраторов

Дмитрий Петращук

Директор департамента ИБ

Dmitriy_Petrashchuk@bms-consulting.com

О чем пойдет речь

• Внешние регуляторные требования по отношению к администраторам

• Наиболее частые сценарии использования Dell TPAM

• Трудности с которыми приходится столкнуться:

• Развеиваем опасения администраторов

• Организационные изменения

• Выстраиваем взаимодействие между ИТ и ИБ

• Политики, процедуры инструкции

• Планируем сценарии для чрезвычайных случаев

• Вопросы и ответы

Требования

PCI DSS 3.0:

8.5 Do not use group, shared, or generic IDs, passwords, or other authentication methods as follows:

• Generic user IDs are disabled or removed.• Shared user IDs do not exist for system administration

and other critical functions.• Shared and generic user IDs are not used to

administer any system components.

10.2 Implement automated audit trails for all system components to reconstruct the following events:

10.2.2 All actions taken by any individual with root or administrative privileges

ТребованияСОУ Н НБУ 65.1 СУИБ 2.0:2010 (ISO/IEC 27002:2005)

10.10.1 Журнал аудитуЗаходи безпеки Журнал аудиту, в якому записується діяльність користувачів, винятки та події інформаційної безпеки, повинен вестися і зберігатися протягом погодженого періоду для сприяння в майбутніх розслідуваннях і моніторингу контролю доступу.Додаткова інформаціяЗа можливості, системні адміністратори не повинні мати повноваження стирати або деактивувати журнали реєстрації власної діяльності.

10.10.2 Моніторинг використання системиЗаходи безпекиПовинні бути розроблені процедури моніторингу використання засобів оброблення інформації та результати моніторингу діяльності повинні регулярно переглядатися.Сфери, які повинні бути розглянуті, включають:

b) усі привілейовані операції, такі як:1) використання привілейованих облікових записів, наприклад, супервізора, кореневого

каталогу, адміністратора;

10.10.4 Журнали реєстрації адміністратора та оператораЗаходи безпекиДіяльність системного адміністратора та системного оператора повинна реєструватися.Журнали реєстрації системного адміністратора та оператора повинніпереглядатися на регулярній основі.

Что он может

• Записывать сессии доступа к ОС и приложениям

• Хранить и выдавать пароли

• Менять пароли

• Предоставлять доступ без административного пароля

• Ограничивать возможности администраторов

• Хранить пароли к базам данных и приложениям

• Автоматизировать процессы

Что он еще может

• Усложнять доступ

• «Кошмарить» администраторов

• Давать «неограниченную власть» службе ИБ

• Портить отношения между людьми

• Тормозить процессы

• Становится причиной утечки информации

• Блокировать весь административный доступ в компании

4 правила Паркинсона

для Dell TPAM

Если… После внедрения TPAM…

… между ИТ и ИБ были натянутые отношения

… администраторы искали причины сбоев

… администраторы привыкли обходить контроли безопасности

… один администратор мог заблокировать работу всей компании

… между ними начнется война

… у них теперь такая причина есть всегда

… они найдут способы обойти TPAM

… то же самое может сделать одно устройство, хранящее все пароли

Dell TPAM – не панацея.

Нужны:

1) Грамотная архитектура

2) Процессы

3) Регламенты

4) Обучение

5) Взаимодействие между людьми

Вывод

Сценарии

использования

1. Контроль подрядчиков

2. Контроль удаленного доступа сотрудников

3. Внедрение персональной ответственности администраторов в ИТ службе

4. Управление распределенной службой ИТ

5. Работа с высококритичными системами в четыре глаза

6. Расследование инцидентов

1. Контроль подрядчиков

Необходимый функционал:Privileged Session Manager

Основные принципы:• Порядок доступа прописан в договоре• Никакие пароли не выдаются• Доступ только на то время

и срок, на который заказан• Согласование доступа с ИТ

и владельцем системы• Мониторинг доступа в реальном

режиме времени (опционально)• Обязательный постфактный контроль

со стороны ИТ• Аудит отчетов со стороны ИБ

Запрос

ПРОЦЕСС: Контроль подрядчиков

ИТ

Подрядчик

ИБ

Доступ Запись

Согласование

Мониторинг

Просмотр

Отчет Аудит

2. Удаленный доступ

сотрудников

Необходимый функционал:Privileged Session Manager

Основные принципы:• Перечень ресурсов и доступов согласовывается

заранее по отдельному порядку• Доступ действителен продолжительное время• Пользователи подключаются к TPAM

под доменным именем• Вход на терминальный сервер без ввода пароля• На TS запрещено хранить данные• На TS установлена система класса Application Control• Пароли не выдаются• Выборочный постфактный контроль

со стороны ИБ• Аудит отчетов со стороны ИБ

Terminal

Server

Internal resources

ПРОЦЕСС: Удаленный доступ

ИТ

Сотрудник

ИБ

Заявка

Согласование

Настройка

Доступ

Запись

Выборочный

просмотрАудит

3. Внутри ИТ

Необходимый функционал:Privileged Password Manager

Основные принципы:• Никто ни за кем не следит• Пароли выдаются по запросу

без согласования• После каждого использования

пароль меняется• В каждой системе есть резервная

учетная запись на случай ЧП с паролем в сейфе• Одновременный доступ под одной

учетной записью запрещен• CIO и ИБ получают отчеты

ПРОЦЕСС: Доступ ИТ

ИТ

Админ

ИБ

Настройка

Матрица

доступа

Запрос Доступ

Пароль

Отчет

Резервные

пароли

4. Распределенная

служба ИТ

Необходимый функционал:Privileged Password Manager

Основные принципы:• Никто ни за кем не следит• За каждой системой закреплен

распорядитель• Пароли выдаются по согласованию с распорядителем • Пароль может изменяться, а может оставаться

фиксированным • Доступ без предварительной регистрации запрещен• В каждой системе есть резервная

учетная запись на случай ЧП с паролем в сейфе в центре

• Одновременный доступ под одной учетной записью запрещен

• TPAM и все администрируемые системы подключены к SIEM• ИТ и ИБ получают отчеты

ПРОЦЕСС: Распеделенная ИТ

ИТ

Рег. ИТ

ИБ

Настройка

Матрица

доступа

Запрос Доступ

Пароль

Резервные

пароли

Заявка

Согласование

SIEM

5. Работа в 4 глаза

Необходимый функционал:

Privileged Session Manager

Основные принципы:

• Только для высококритичных систем

• Пароль не выдается

• Работа только под наблюдением

• Работает администратор ИТ

• Выделенный контроллер в ИБ

• Обязательная формальная отчетность

• Запись помещается в архив

Запрос

ПРОЦЕСС: 4 глаза

ИТ

ИБ

Доступ Запись

Согласование

Мониторинг Отчет

6. Расследование

инцидентов

Необходимый функционал:Privileged Session Manager

Основные принципы:• Запись всего административного доступа• Прямой доступ к системам запрещен• Использование терминального сервера• Доступ без согласований• Доступ без лишних паролей• Использование SIEM• Все записи складываются в архив• Доступ к записям – только комиссия

по расследованию

ПРОЦЕСС: Расследование

инцидентов

ИТ

ИБ

Комиссия

Настройка

Доступ

Запись

Просмотр по запросу

SIEM

Подводные камни

внедрения Dell TPAM

«Саботаж» со стороны администраторов

Обострение отношений между ИТ и ИБ

Непонятно «кто должен делать»

Непонятно «как нужно делать»

Dell TPAM – единая точка отказа

Почему TPAM для админа –

это хорошо?

• Возможность «не быть крайним»

• Нет проблем с хранением паролей

• Аутсорсеры и стажеры под надежным контролем

• Снижение количества сбоев по причине человеческого фактора

• Проще исправить ошибку просмотрев запись действий

Как TPAM подружит ИТ и ИБ

• ИБ не следит за ИТ

• TPAM помогает ИТ быть эффективней

• TPAM помогает ИБ соблюдать требования и снижать риски

• TPAM снижает количество взаимных претензий

• ИБ и ИТ работают вместе для одной цели

Важно!

Нужны четко прописанные процедуры

Процедуры и политики

• Порядок администрирования информационных систем

• Порядок удаленного доступа• Положение о проведении

расследований инцидентов (информационной безопасности)

• Положение о специальной комиссии по расследованию инцидентов информационной безопасности

• Порядок восстановления в случае ЧС• Инструкция по подключению к информационным

системам специалистов сторонних организаций

Роли

в ИТ

в ИБ

Роль Функции

Администратор доступа Настройка Dell TPAM

Менеджер ИТ аутсорсинга Контроль доступа подрядчиков

Менеджер административного доступа

Формирование и актуализация матрицы доступа администраторов

Роль Функции

Контроллер доступа Контроль и согласование доступа

Оператор мониторинга Мониторинг доступа администраторов, мониторинг SIEM

Аудитор ИБ Аудит доступа

В случае ЧП

PPM PSM

Возможное ЧП • Отказ устройства• Потеря базы паролей

• Отказ устройства • Невозможность

подключения • Потеря записей

Последствия Потеря доступа к ИТ-системам

Невозможность доступа подрядчиков, удаленного доступа, нарушение процессов

Предупреждающие меры • Резервное устройство• Резервные копии• Резервные учетные

записи в ИТ-системах• Пароли в конвертах

• Резервное устройство• Distributed processing

appliance• Резервные копии• Разработка резервных

схем подключения

Вывод

Цели

Задачи

Процессы

Политики

Процедуры

Инструкции

Роли

Спасибо за внимание

Дмитрий Петращук

Dmitriy_Petrashchuk@bms-consulting.com

Директор департамента

информационной безопасности