Group IB. Серегей Золотухин. "Киберразведка - новый инструмент для ТОП-менед...
IT-Task. Дмитрий Ильин. "Привилегированные пользователи. Что делать, чтобы они не превратились в злоумышленников"
1. Привилегированные пользователи.
Что делать, чтобы они не
превратились в злоумышленников
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
#CODEIB
2. 105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru Виновники инцидентов ИБ
#CODEIB
3. Невозможноо
тследить КТО
иЧТОделает
Испол
ьзуются совм
естно
О
ни есть ВЕЗД
Е
Открываютд
оступ к крити
чнымданным
Учетные записи с высокими привилегиями
(Administrator, Root, Cisco, Oracle и др.)
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Кто такой привилегированный
пользователь?
#CODEIB
4. 105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Где бывает
привилегированный доступ?
#CODEIB
5. 105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Криптография – не панацея
#CODEIB
6. o Разное оборудование
требует разных
администраторов
o Для разных ресурсов
требуются специалисты
нескольких компаний
o Нескольким
администраторам требуется
доступ к одним и тем же
ресурсам
o Трудно понять что делал
admin на серверах или в
оборудовании АСУ ТП
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Описание проблемы
#CODEIB
7. ПО ДАННЫМ ОПРОСА
АДМИНИСТРАТОРОВ:
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Данные опроса
администраторов
#CODEIB
8. 105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Система SafeInspect
#CODEIB
9. Три сценария:
• ПРОЗРАЧНЫЙ (L2) - система
устанавливается
в «разрыв» соединения с
серверами (поддержка VLAN);
• МАРШРУТИЗАТОР (L3) –
соединения с серверами
направляются в систему, а она
маршрутизирует их на сервера
• БАСТИОН (L7) - для доступа к
серверам необходимо явно
подключаться к порталу системы.
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Варианты интеграции
#CODEIB
10. 105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Общая схема применения
#CODEIB
11. Злонамеренные действия со
стороны поставщиков ИТ услуг
Проблема:
• Отсутствие информации о действиях поставщиков ИТ услуг на целевых ресурсах
компании
• Логи межсетевых экранов показывают только факт подключения, но не показывают
кто подключался и что делал.
Решение:
• SafeInspect ведёт запись всех действий привилегированных пользователей на
целевых ресурсах
• Просмотр активности может быть доступен в реальном времени или в записи
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Примеры сценариев
#CODEIB
12. Неосторожные действия со
стороны поставщиков ИТ услуг
Проблема:
• Сложность контроля действий на целевых ресурсах
• Возможность скрыть совершённые ошибки
• Совершённые ошибки могут быть обнаружены не сразу
Решение:
• SafeInspect ведёт запись всех действий, включая введённые команды, переданные
файлы, просмотренные ресурсы и т.д.
• Офицер безопасности может прервать сессию в случае совершения
несанкционированных или ошибочных действий
• Просмотр сессий доступен из обычного браузера
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Примеры сценариев
#CODEIB
13. Использование учётной записи
суперпользователя несколькими лицами
Проблема:
• Невозможность определить админа, совершившего действия из-под учётной записи
суперпользователя
• Сложность в управлении доступом к удалённым ресурсам
• Возможность намеренно или случайно заблокировать доступ к учётной записи
суперпользователя для всех лиц.
Решение:
• SafeInspect позволяет назначать соответствие пользователя для каждой
административной учётной записи
• Во время записи сессии, отображается логин подключившегося администратора
• Можно сгенерировать отчёт по деятельности конкретного пользователя
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Примеры сценариев
#CODEIB
14. Многочисленные учётные записи
к целевым ресурсам организации
Проблема:
• Отсутствие централизованного управления удалённым доступом к большому
количеству ресурсов
• Сложность в запоминании большого количества учётных записей для управления
сетевыми ресурсами
Решение:
• SafeInspect позволяет разграничить зоны деятельности для администраторов и
привязать несколько учётных записей на целевых ресурсах к одной учётной записи
на SafeInspect
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Примеры сценариев
#CODEIB
15. Утечка информации
Проблема:
• Администраторы могут скачивать данные (в том числе и в рамках легитимных
процессов), и прятать следы своей противоправной деятельности
Решение:
• SafeInspect ведёт запись всех действий привилегированных пользователей на
целевых ресурсах
• Все записи содержат временные метки и могут быть соотнесены с деятельностью
администраторов
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Примеры сценариев
#CODEIB
16. Неэффективные действия
аутсорсеров
Проблема:
• Дорогие, но неэффективные действия аутсорсеров
• Сложность в определении времени, потраченного на те или иные действия
Решение:
• SafeInspect позволяет пошагово просмотреть действия администраторов, произвести
поиск по вводимым командам и увидеть результаты их применения
• Временные метки в записях сессий позволяют подсчитать потраченное время и
минимизировать расходы на аутсорс
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
Примеры сценариев
#CODEIB
17. Вопросы
ООО «АйТи Таск»
➢ Тел./факс: +7 (495) 972-98-26
➢ Адрес: 105082, Россия, г. Москва
ул. Большая Почтовая 55/59с1
➢ E-mail: info@it-task.ru
➢ Web: www.It-task.ru
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
www.it-task.ru
#CODEIB