Заказчик
Заказчиком проекта выступала крупная нефтегазодобывающая компания. Работает на территории Иркутской области, Республики Саха (Якутия), Красноярского края. Занимается геологическим изучением, разведкой и добычей углеводородного сырья.
Входит в двадцатку крупнейших российских нефтяных компаний по запасам углеводородного сырья. Включена в рейтинг 30 самых быстроразвивающихся компаний России.
Входит в двадцатку крупнейших российских нефтяных компаний по запасам углеводородного сырья. Включена в рейтинг 30 самых быстроразвивающихся компаний России.
На настоящий момент холдинг представляет собой разветвленную структуру с множеством дочерних предприятий. Способен собственными силами вести добычу нефти на всех этапах, начиная от разведки месторождений и заканчивая транспортировкой.
На предприятиях группы компаний работает свыше 10 000 специалистов.
На предприятиях группы компаний работает свыше 10 000 специалистов.
Ситуация
Для крупного предприятия с территориально распределенной инфраструктурой, каким и является Заказчик, вопрос безопасности доступа к ИТ-системам имеет высокий приоритет. В рамках проекта необходимо было минимизировать угрозы, связанные с контролем предоставления доступа к критически важным ИТ-активам для сотрудников подрядных организаций и системных администраторов.
Перед специалистами ISIB в данном проекте стояли задачи:
Перед специалистами ISIB в данном проекте стояли задачи:
- Изолировать привилегированные сессии.
- Отслеживать в реальном времени выполнение работ в информационной системе.
- Унифицировать доступ к привилегированным учетным записям для программных, аппаратных и программно-аппаратных систем и приложений.
Решение
В качестве решения была выбрана система контроля действий привилегированных пользователей на базе продукта CyberArk PAS – мирового лидера в этом сегменте.
Исходя из технического задания и выделенных аппаратных ресурсов, в процессе внедрения была развернута инфраструктура CyberArk PAS в следующем составе:
Исходя из технического задания и выделенных аппаратных ресурсов, в процессе внедрения была развернута инфраструктура CyberArk PAS в следующем составе:
- Безопасное хранилище конфиденциальных данных (Enterprise Digital Vault).
- Полнофункциональный веб-интерфейс, предоставляющий единую консоль для запроса доступа и управления привилегированными паролями по всему предприятию как конечными пользователями, так и администраторами (Password Vault Web Access).
- Диспетчер политик безопасности для управления паролями. Позволяет автоматически проверять пароли на удаленных компьютерах и при необходимости изменять их (Central Policy Manager).
- Менеджер привилегированных сеансов – полноценное решение для изоляции, контроля и мониторинга доступа к привилегированным аккаунтам и их деятельности в критических системах на основе UNIX, Linux и Windows в базах данных, виртуальных машинах, сетевых устройствах, мейнфреймах, веб-сайтах, SaaS и др. Оно обеспечивает единственную точку доступа, предотвращает проникновение в систему вредоносных программ и регистрирует каждое нажатие с клавиатуры и мыши в процессе непрерывного мониторинга.
- Подключение к службе удаленного доступа на основе SaaS, которая интегрируется с Core PAS для полной видимости и контроля удаленных привилегированных действий без необходимости использования VPN, агентов или паролей (CyberArk Remote Access [Alero]).
- Менеджер привилегированных сеансов для SSH – позволяет защищать, контролировать и отслеживать привилегированный доступ к сетевым устройствам по протоколу SSH (Privileged Session Manager для SSH).
- Шлюз HTML5 - компонент для обеспечения безопасного удаленного доступа к целевой машине через HTML5. Шлюз HTML5 туннелирует сеанс между конечным пользователем и компьютером PSM, используя защищенный протокол WebSocket (порт 443). Вместо того, чтобы открывать соединение RDP, конечному пользователю требуется только веб-браузер для установления соединения с удаленным компьютером через PSM (PSM HTML5 Gateway).
- Система анализа угроз привилегированного доступа - компонент отслеживает использование привилегированных учетных записей, управляемых в PAM, а также учетных записей, которые еще не управляются CyberArk, и ищет признаки злоупотребления или неправомерного использования платформы CyberArk (Privileged Threat Analytics).
Организованная инфраструктура CyberArk PAS представлена на схеме:
Помимо решения основной задачи – контроля действий привилегированных пользователей был расширен инструментарий для расследования инцидентов безопасности и контроля авторизации доступа:
- Обеспечение единой точки входа в систему и централизованное управление всеми компонентами системы через веб-интерфейс.
- Автоматическое обнаружение дополнений или изменений в системах, включая серверы, рабочие станции, гипервизоры и др.
- Возможность подключения “по щелчку мыши” без демонстрации пароля конечному пользователю и защищённое централизованное корпоративное управление паролями.
- Постоянная верификация профилей доступа, а также автоматическое восстановление и сброс паролей при отсутствии синхронизации.
- Изоляция, управление, мониторинг и регистрация привилегированных сессий, а также их деятельности в критических системах в режиме реального времени на основе UNIX, Linux и Windows в базах данных, виртуальных машинах, сетевых устройствах, SAP, мейнфреймах, веб-сайтах, SaaS и др.
- Распространение мониторинга привилегированной сессии на любое приложение-клиент, веб-приложение или веб-сайт с особым вариантом подключения.
- Видеозапись и детализированное логирование привилегированных сессий. Безопасное хранение всех записей сессий и логов во взломоустойчивом сейфе.
- Индексирование вводимых команд и запускаемых приложений по времени для эффективного и быстрого поиска по базе записей.
- Моментальное прерывание подозрительных сессий.
- Анализ использования привилегированных аккаунтов для создания профиля поведения.
- Информирование об аномальной активности.
- Экспертный анализ поведения пользователей и объектов на целевых системах с помощью динамических, самообучающихся запатентованных алгоритмов.
- Доступ с нулевым доверием для внешних пользователей, гарантирующий, что пользователи подтверждают личность каждый раз, когда им требуется доступ к критически важным активам.
- Оптимизация операций за счёт устранения виртуальных частных сетей (VPN), агентов и учетных данных, необходимых для удаленного доступа подрядных организаций, и предоставление доступа со сквозным шифрованием.
- Биометрическая многофакторная аутентификация, использующая возможности смартфонов для подтверждения личности с помощью встроенных методов авторизации и динамических QR-кодов.
- Удобный процесс предоставления удаленного доступа для сотрудников и подрядных организаций к CyberArk с поддержкой прямого или делегированного предоставления доступа.
Результат
Система контроля действий привилегированных пользователей стала одним из ключевых звеньев системы безопасности предприятия. Специалистам ISIB также удалось обеспечить непрерывность деятельности и конфиденциальность данных.
Внедрение CyberArk предоставило качественный инструмент, который в полной мере обеспечивает большую часть потребностей при реализации работ в рамках одного из важнейших направлений информационной безопасности – контролю за привилегированным доступом и защите от несанкционированного привилегированного доступа.
Внедрение CyberArk предоставило качественный инструмент, который в полной мере обеспечивает большую часть потребностей при реализации работ в рамках одного из важнейших направлений информационной безопасности – контролю за привилегированным доступом и защите от несанкционированного привилегированного доступа.
