Кому многое доверяем, того тщательно проверяем

Кому многое доверяем, того тщательно проверяем

В любой компании, где используется информация с разграничением прав доступа, есть сотрудники, осуществляющие управление этими правами. Соответственно, чтобы наделять или отбирать права у других,
нужно обладать самому всей «полнотой власти». Таких пользователей называют привилегированными. С одной стороны, это технический персонал и системные администраторы, в задачи которых входит
поддержание системы в рабочем состоянии, контроль за работой пользователей и другие управляющие функции, а с другой – это бизнес-пользователи, обслуживающие узкие, но при этом критически важные
процессы компании: финансовый директор, главный бухгалтер и другие топ-менеджеры. Чем больше прав, тем выше риск от их неправомерного использования – как непреднамеренного, так и злонамеренного.

Обратимся к недавнему прошлому. В начале 2000-х на компьютерных рынках вовсю торговали информационными базами – в ту пору они были небольшими, и любой человек, получивший к ним доступ, мог легко
скачать их на флешку или DVD. Но объемы данных стремительно росли, и загрузить сотни гигабайт, а затем и терабайт без помощи технических специалистов стало невозможно. Чтобы получить такую помощь,
злоумышленники чаще всего прибегали к подкупу. Полная неподконтрольность системных администраторов часто приводила к тому, что на корпоративном сервере, помимо ресурсов относящихся к работе
компании, разворачивался целый ряд посторонних приложений, что увеличивало риски нарушения информационной безопасности. Ведь сисадмин, обладая доступом к критически важным для бизнеса данным, в
случае обиды или несправедливого, по его мнению, увольнения может передать их конкурентам, а то и правоохранительным органам, если имели место нарушения.

Разработчики давно осознали остроту этой проблемы, в немалой степени их подстегнул и мировой экономический кризис – первые решения для контроля деятельности системных администраторов появились еще
в 2008 году. И сегодня, когда большинство компаний оптимизируют ИТ-бюджет и сокращают персонал, такие продукты очень востребованы: ведь в отличие от DLP-систем, контролирующих риски утечки
информации через рядовых пользователей, они ориентируются именно на привилегированных. Но если для контроля сисадминов, работающих с множеством ресурсов, применяются решения шлюзовой архитектуры,
то для мониторинга привилегированных бизнес-пользователей предназначены хостовые решения: устанавливаемые в качестве агента на рабочую станцию. Эти агенты осуществляют видеозапись, записывают
последовательность комбинаций нажимаемых клавиш и т. д. Причем возможен контроль как за всеми действиями пользователя на компьютере, так и за его работой в отдельных приложениях и сервисах, таких
как CRM, финансовые системы, электронная почта, мессенджеры, социальные сети. Фиксация всех действий на видео – залог того, что при разборе инцидентов будет изобличен истинный виновник, а не вирус
или другая зловредная программа.

Кому многое доверяем, того тщательно проверяем

«На рынке представлен целый класс систем контроля за привилегированными пользователями. И мы, как бизнес-IT интегратор, готовы помочь заказчику выбрать именно то решение, которое оптимально
соответствует его потребностям», – рассказывает Владимир Перминов, начальник отдела продвижения и поддержки продаж центра информационной безопасности компании RedSys.

Так, на мониторинг работы системных администраторов заточены продукты французской компании Wallix и израильской компании CyberArk. Для защиты же рабочих станций применяются хостовые решения
американского вендора Observe IT, а также весьма популярная система Spector 360 от американской компании SpectorSoft. Российских продуктов в этом сегменте пока нет, за исключением выходящего на
рынок решения «СКДПУ» от компании «АйТи Бастион», в основе которого, тем не менее, лежит уже упомянутый Wallix.

Системы контроля действий привилегированных пользователей могут быть развернуты как на отдельном физическом, так и на виртуальном сервере.

Процесс внедрения как шлюзовых, так и хостовых систем контроля привилегированных пользователей требует предварительной подготовки. «Меняется сам процесс администрирования, меняются правила его
работы, поэтому сотрудникам требуется время, чтобы к этому привыкнуть», – поясняет Владимир Перминов.

Но нужно ли извещать сотрудников, что их действия теперь будут подвергаться тщательному контролю? По словам Владимира, на рынке есть решения, например от венгерской компании BalaBit, которые
устанавливаются и работают в полностью прозрачном режиме. Однако у «невидимок» есть серьезный недостаток: в силу своей прозрачности они являются критической точкой отказа, так что в случае
программного или аппаратного сбоя происходит полная потеря контроля и доступа к серверам, то есть рушится вся система администрирования.

«Конечно, у айтишников может возникнуть негативная реакция на внедрение мониторинга их действий, но если провести грамотную организационную работу, то буквально через пару месяцев они успокаиваются
и больше не вспоминают о том, что за ними наблюдают. А затем им даже начинает нравиться наличие подобной системы, поскольку она помогает и в расследовании инцидентов – выявляет действия тех или
иных сотрудников, восстанавливая всю последовательность их действий, приведших к сбоям в работе оборудования и ПО, что особенно важно, когда лог-файлы остались на “упавшем” сервере. Наконец, эти
системы позволяют упорядочить хранение логинов и паролей к корпоративным серверным ресурсам, поскольку больше не требуется заводить скрытый файл, содержащий данную информацию, и хранить его где-то
в дебрях сети. На практике это выглядит так, что системный администратор видит только те ресурсы, доступ к которым ему разрешен, а не все сразу, как это обычно бывает», – отмечает Владимир
Перминов.

Компания RedSys старается убедить своих заказчиков, что системы контроля действий привилегированных пользователей должны осуществляться открыто, как элемент корпоративной политики информационной
безопасности. По словам Владимира, честные и открытые заявления сглаживают нервозную обстановку, сотрудники понимают, что такие правила необходимы, а внедряемая система в дальнейшем может принести
компании большую пользу.

Разумеется, системы контроля привилегированных пользователей могут мониторить и работу поставщиков, когда они внедряют в компании какой-либо продукт. В период кризиса нередки случаи смены
заказчиком поставщика, и наличие такого контроля помогает избежать связанных с этим рисков.

Среди потенциальных заказчиков систем контроля действий привилегированных пользователей – банки, ритейл, предприятия реального сектора экономики. Главными заинтересованными лицами выступают не
только ИТ-директора, но и руководители служб информационной безопасности. Некоторые решения, в частности Wallix, уже прошли сертификацию российских регулирующих органов, что открывает им доступ и в
государственный сектор.

Источник: http://www.it-world.ru/it-news/security/101978.html