Самый опасный род войск неприятеля - это свои предатели

1. ИБ: СТРАТЕГИЯ ОБОРОНЫ
26.08.2015
Серия седьмая: Системы контроля
привилегированных пользователей
Гаврилов Вадим
ведущий системный инженер
Зверева Татьяна
системный инженер первой категории

2. 2 из 20
Серия вебинаров «ИБ: Стратегия обороны»
 Серия первая. Устав караульной службы (13.04.2015)
 Планирование и внедрение систем защиты информации
 Серия вторая. Почему порядок не убираете? (27.04.2015)
 Системы контроля доступа к информации
 Серия третья. Разновидности колючей проволоки (20.05.2015)
 Системы контроля доступа к устройствам
 Серия четвертая. Таможня дает «добро»! (ч. I ) (3.06.2015)
 Системы защиты от утечек
 Серия четвертая. Таможня дает «добро»! (ч. II) (17.06.2015)
 Системы защиты от утечек
 Серия пятая. Будни контрразведчика: шпионаж, саботаж, макияж (29.07.2015)
 Системы контроля персонала
 Серия шестая. Фельдъегеря: перед прочтением съесть (12.08.2015)
 Системы управления правами доступа к документам
 Серия седьмая. Самый опасный род войск неприятеля - это свои предатели
(26.08.2015)
 Системы контроля привилегированных пользователей
 Серия восьмая. Космические войска: вторжение внеземных технологий (23.09.2015)
 Системы обнаружения целевых атак

3. Протокол
 Длительность вебинара составит 1 час
 Вопросы можно задавать по ходу вебинара на вкладке
questions
 Есть приз за самое активное участие!
 Обратная связь по адресу event@ussc.ru
 Запись вебинара будет выслана всем
зарегистрировавшимся!
 P.S. Кого рекламируем?
3 из 20

4. О чем эта презентация?
 Формулировка проблемы
 Решение: что это такое и зачем это нужно
 Архитектура
 Функциональные возможности
 Как это работает?
 Преимущества и недостатки
 Интеграция
 Границы применимости
 Как выбрать?
 Типичные представители
4 из 20

5. Формулировка проблемы
 Привилегированные пользователи - необходимость,
но они являются источником повышенного риска:
 имеют доступ к критичным данным и ключевым элементам
инфраструктуры
 подвержены обидам и коррупции как обычные пользователи
 могут быть посторонними для организации людьми
 умеют не только красть и уничтожать информацию и
инфраструктуру, но и эффективно скрывать следы
 Привилегированные записи vs.
Привилегированные пользователи
 Привилегированные учетные
записи могут нанести бизнесу
критический ущерб
5 из 20

6. Решение: что это такое и зачем это нужно
 Оставить как есть
 Работа с кадрами
 Организационные меры
 Физический контроль
 Использование
специализированных
средств контроля
6 из 20

7. Серверные сегменты
Архитектура
7 из 20
Серверы
СУБД
Серверы
Приложений
Серверы
Windows
Серверы
Linux
Среда
виртуализации
Активное
сетевое
оборудование
Хранилище
Серверы
службы
каталогов
Сервер доступаПривилегированные
пользователи

8. Архитектура: схема включения в сеть
8 из 20
Сегменты
привилегирован-
ных
пользователей
Сегменты
серверов
Сервер
доступа
 Сетевой мост (bridge) / L2
 Маршрутизация / L3
 Бастион / L6

9. Функциональные возможности
 Изоляция привилегированных пользователей
 Защита и управление привилегированными учетными
записями
 Контроль сессий привилегированных пользователей
 Обнаружение привилегированных учетных записей
9 из 20

10. Как это работает: обнаружение
 Обнаружение привилегированных записей:
 на рабочих станциях и серверах под управлением
 ОС Windows
 Linux-based ОС
 на сетевых устройствах
 в средах виртуализации
 Сбор статистики по привилегиро-
ванным учетным записям
 дата последней регистрации
 членство в группах
 для чего используется
10 из 20

11. Как это работает: изоляция
 Доступ к целевым системам
 только через сервер доступа
 только с конкретных конечных точек
 только к тем системам, к которым доступ необходим именно
сейчас
11 из 20

12. Как это работает: защита и управление
 Доступ к целевым системам
 только для пользователей, прошедших аутентификацию
(возможно, многофакторную)
 только от имени учетных записей, соответствующих
политикам безопасности
 Управление
 выдача учетных записей по запросу
 внедрение политик управления
учетными записями
12 из 20

13. Как это работает: контроль сессий
 Просмотр в реальном времени, запись и
воспроизведение сессий
 Индексация содержимого, поиск по ключевым словам
 Оптическое распознавание символов (для записей
RDP-сессий)
 Контроль буфера обмена, подклю-
чаемых носителей и др.
(для RDP-сессий)
 Блокировка запрещенных действий
 Информирование офицера ИБ
13 из 20

14. Преимущества и недостатки
 Преимущества:
 все привилегированные записи известны и находятся под контролем
 единая точка доступа к ключевым элементам инфраструктуры
 предотвращение потенциально-опасных действий
 архив записей сессий доступа к ключевым элементам инфраструктуры
 уменьшение поверхности атаки
 строгие политики безопасности учетных записей даже для систем,
которые сами не могут их поддерживать
 Недостатки:
 необходимость изменения топологии сети
 необходимость наведения порядка
в производственных процессах
 психологические проблемы
 организационные проблемы
 дефицит кадров
14 из 20

15. Интеграция
 Системы управления идентификацией (Identity
Management, IdM)
 Системы управления инцидентами ИБ (Security
Information and Event Management, SIEM)
 Системы предотвращения утечек (Data Loss Prevention,
DLP)
 Целевые системы: автоматизация
изменений учетных записей
 Целевые системы: контроль работы
15 из 20

16. Границы применимости
16 из 20
 Ограничения, связанные с используемыми
протоколами
 Ограничения интеграции
 Человеческий фактор
 Сложные атаки

17. Как выбрать
 Архитектура
 физические устройства
 виртуальные устройства
 отказоустойчивость
 наличие выделенного защищенного хранилища
 Архитектура включения в сеть
 Технические возможности
 Состав решения
 Интеграция
 Производитель
 Стоимость
17 из 20

18. Типичные представители
18 из 20

19. Краткие итоги
 Системы контроля привилегированных учетных
записей это:
 обнаружение персонифицированных и сервисных учетных
записей в сети
 изоляция пользователей от целевых систем
 сужение поверхности атаки
 аудит действий пользователей
 реализация сложных
политик безопасности
19 из 20

20. Гаврилов Вадим
vgavrilov@ussc.ru
ООО «УЦСБ»
620100, Екатеринбург, ул. Ткачей, д. 6
Тел.: +7 (343) 379-98-34
Факс: +7 (343) 209-57-38
info@ussc.ru
www.USSC.ru
Спасибо за внимание!Пожалуйста, задавайте вопросы!
Следующая серия: Космические войска -
вторжение внеземных технологий
Системы обнаружения целевых атак
23.09.2015
Ваши комментарии и предложения Вы
можете присылать по адресу:
event@ussc.ru