Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

CyberArk 21.10.2014

DialogueScience
DialogueScience

Для работы привилегированных пользователей создаются исключения в политиках безопасности и предоставляются преференции в ИТ-процессах. Средства защиты периметра обеспечивают привилегированным пользователям доступ внутрь сети и возможности удаления данных аудита, доступ к данным без уведомления. Получение доступа к контроллеру домена на основании доступного хэша пароля позволяет эскалировать привилегии существующих привилегированных учетных записей и создавать новые. Конечные точки создают плацдарм для атак, доступ к данным и средства эскалации привилегий вглубь инфраструктуры. Хищение привилегированных учетных данных и эскалация привилегий – сегодня являются основными причинами успешности атак.

1 of 25
1 Средства анализа уязвимостей привилегированных учетных записей и мониторинга действий привилегированных пользователей 21 октября 2014
2 PAS 9.0!
3 * На основе анализа Александра Гостева, Лаборатория Касперского: http://www.securitylab.ru/news/407517.php Новые возможности ▪AD Bridge -Без агентов -AD управляет пользователями UNIX/Linux -Нет необходимости управлять УЗ UNIX -Унификация OPM ▪EPV -Мастер описания процессов обнаружения новых аккаунтов -Инструмент принятия решения на защиту -«Тестовый» режим ▪AIM Central Credential Provider -Без агентов (серверных провайдеров) -Поддержка аутентификации: -Доменный пользователь -Адрес машины -Цифровой сертификат ▪А также… (!)
Детализированный аудит сессий Windows
5 Функциональная конкуренция?... Конкурент Запись сессий Изоляция и управление Гетерогенное окружение Без агентов Доверенный аудит Масштаби- руемость Поддержка любых платформ №1 + - - - - - - №2 + - +- + - + - №3 +- + + + + - - CyberArk + + + + + + + «Администратор легко останавливает агент, а затем снова его включает». «Мы не можем быть уверены, что записывается все, как требует регулятор». «Агент на сервере или на клиенте – легко компрометируется». «Не защищенный репозиторий аудита – записи можно удалить». «Репозиторий аудита DBA вообще не контролируется».
6 Индексация, метка времени, поиск >> результат ▪Просмотр локализованного фрагмента, без агента ▪Захват событий сессий RDP в Windows, включая текст (команды) ▪Легкий поиск и просмотр ▪Обнаружение угроз ▪Интеграция с SIEM для создания правил реагирования “net user” command is captured “Play” icon replays the video from that exact point Event Viewer opening is captured Deletion of all traces from events is seen clearly in the video
7 Решение CyberArk PAS Enterprise Integration Shared Technology Platform Discovery Engine Master Policy Secure Digital Vault Proactive Controls, Monitoring & Management Privileged Session Manager Application Identity Manager On- Demand Privileges Manager Enterprise Password Vault Behavioral Analytics Privileged Threat Analytics SSH Key Manager
8 SSH Key Manager
9 Аутентификация SSH SSH – сетевой защищенный протокол, использует инфраструктуру открытых ключей (SSH keys): ▪Шифрование сессии ▪Применяется в Unix/Linux ▪Альтернатива паролям ▪Аутентификация машин и приложений Username (X) connection request Response Access granted Challenge Validate response User Target System Public Private
10 Ключи повсюду… User Application Network Devices Servers Mainframes Databases Applications Security Appliances Enterprise Resources Private Private Компрометация одного ключа = Компрометация множества систем Безопасность ключа – решающий фактор.
11 Проблемы управления SSH ключами ПРОБЛЕМЫ Непрозрачность Отсутствие контроля Сложность управления Какие есть ключи и кто имеет к ним доступ? Их легко создавать, но сложно отслеживать Процедура смены ключей затратная и сложная ПОСЛЕДСТВИЯ Риски несоответствия Риски безопасности Аудиторы проверять Статичные, неуправляемые ключи приводят к успешным атакам
12 Как CyberArk помогает решить проблемы? ФУНКЦИИ Обнаружение Управление ключами Поиск ключей и систематизация информации о них Enforce granular access controls and monitor every SSH session Защита и смена ключей ВЫГОДЫ Соответствие Снижение рисков безопасности Защита, мониторинг ключей, доступа к ним, и отчетность Устранение бэкдоров, повышение защищенности и определением подозрительной активности Управление и наблюдение
13 Discover and Audit (DNA)
14 Как работает Pass-the-Hash?
15 DNA v5.0 – уязвимы ли Вы? ▪Как может выполняться атака на мою компанию? ▪Какие серверы и УЗ необходимо защитить в первую очередь? 2 – Результат – Сколько машин уязвимы для Pass- the-Hash? 1 – Сколько УЗ и машин уязвимы? 3 – Что если использовать одноразовые пароли PAS для управления этими УЗ?
16 Как CyberArk может снизить риск PtH? Применить PAS для: Хэши не представляют угрозы при: Постоянной смене паролей, напр. OTP Управление учетными данными Применяйте стратегию минимальных привилегий (OPM) Минимальные привилегии PSM исключает кражу учетных данных (P-SSO) (но не кражу хэшей!!!) – это делает EPV Привилегированный SSO Используйте локальные УЗ вместо доменных CyberArk управляет локальными УЗ Разделение обязанностей
17 Как DNA v5 работает с SSH ключами? ▪Обнаруживает, включая «зависшие», ключи, извлекает необходимые данные о них и сообщает статус каждого ключа. ▪Коррелирует и устанавливает связей между ключами, УЗ и машинами. ▪Генерирует отчет о текущем статусе ключей. ▪Предоставляет карту зависимостей между ключами, УЗ и машинами. ▪Формирует детальный отчет по данным карты зависимостей.
18 On-demand Privileges Manager (OPM)
19 Штатные средства контроля доступа ОС «Экономить $1,264 с Windows ПК в год, удалив права admin…» Gartner «Закрыть 92% всех уязвимостей Windows, удалив права admin…» Microsoft
20 IT personnel Server with OPM 1.Создание политики 2.Запрос на повышение привилегий 3.Считывание политики, запись логов 4.Просмотр результатов аудита 2 3 CyberArk Admin 1 4 Auditor Как работает OPM? Vault PVWA
21 Privileged Threat Analytics (PTA)
22 •Патентованный алгоритм изучает поведение привилегированных пользователей. •Самообучение корректирует профиль по изменению поведения. •Активность сравнивается с профилем поведения для выявления аномалий. •Баллы угрозы присваиваются каждой аномалии, инциденту или группе событий для выявления наиболее рисковых событий. •Целевые предупреждения включают детальную информацию о событиях и позволяют непосредственно реагировать на атаки через панель управления. •Панель управления и уведомления по электронной почте оперативно позволяют предпринять ответные действия. •Двухсторонняя интеграция с SIEM. Что такое PTA?
23 Как работает PTA? Ок ALERT: SIEM & CyberArk Анализ поведения SIEM Анализ поведения: Статистическая модель на основе комбинации алгоритма анализа, данных Digital Vault и целевых систем и интеграции с SIEM. CyberArk Vault Предупреждение АКТИВНОСТЬ НАД УЗ Привилегированный пользователь Защищаемые системы
24 PTA в действии ▪Незнакомый IP! ▪Privileged Threat Analytics обнаружил вход на файл-сервер с незнакомого IP адреса ▪Десктоп инфицируется вредоносным кодом ▪Нарушитель получает учетные данные файл-сервера ▪Нарушитель легитимно заходит на файл-сервер
25 Спасибо за внимание!

More Related Content

CyberArk 21.10.2014

  • 1. 1 Средства анализа уязвимостей привилегированных учетных записей и мониторинга действий привилегированных пользователей 21 октября 2014
  • 3. 3 * На основе анализа Александра Гостева, Лаборатория Касперского: http://www.securitylab.ru/news/407517.php Новые возможности ▪AD Bridge -Без агентов -AD управляет пользователями UNIX/Linux -Нет необходимости управлять УЗ UNIX -Унификация OPM ▪EPV -Мастер описания процессов обнаружения новых аккаунтов -Инструмент принятия решения на защиту -«Тестовый» режим ▪AIM Central Credential Provider -Без агентов (серверных провайдеров) -Поддержка аутентификации: -Доменный пользователь -Адрес машины -Цифровой сертификат ▪А также… (!)
  • 5. 5 Функциональная конкуренция?... Конкурент Запись сессий Изоляция и управление Гетерогенное окружение Без агентов Доверенный аудит Масштаби- руемость Поддержка любых платформ №1 + - - - - - - №2 + - +- + - + - №3 +- + + + + - - CyberArk + + + + + + + «Администратор легко останавливает агент, а затем снова его включает». «Мы не можем быть уверены, что записывается все, как требует регулятор». «Агент на сервере или на клиенте – легко компрометируется». «Не защищенный репозиторий аудита – записи можно удалить». «Репозиторий аудита DBA вообще не контролируется».
  • 6. 6 Индексация, метка времени, поиск >> результат ▪Просмотр локализованного фрагмента, без агента ▪Захват событий сессий RDP в Windows, включая текст (команды) ▪Легкий поиск и просмотр ▪Обнаружение угроз ▪Интеграция с SIEM для создания правил реагирования “net user” command is captured “Play” icon replays the video from that exact point Event Viewer opening is captured Deletion of all traces from events is seen clearly in the video
  • 7. 7 Решение CyberArk PAS Enterprise Integration Shared Technology Platform Discovery Engine Master Policy Secure Digital Vault Proactive Controls, Monitoring & Management Privileged Session Manager Application Identity Manager On- Demand Privileges Manager Enterprise Password Vault Behavioral Analytics Privileged Threat Analytics SSH Key Manager
  • 8. 8 SSH Key Manager
  • 9. 9 Аутентификация SSH SSH – сетевой защищенный протокол, использует инфраструктуру открытых ключей (SSH keys): ▪Шифрование сессии ▪Применяется в Unix/Linux ▪Альтернатива паролям ▪Аутентификация машин и приложений Username (X) connection request Response Access granted Challenge Validate response User Target System Public Private
  • 10. 10 Ключи повсюду… User Application Network Devices Servers Mainframes Databases Applications Security Appliances Enterprise Resources Private Private Компрометация одного ключа = Компрометация множества систем Безопасность ключа – решающий фактор.
  • 11. 11 Проблемы управления SSH ключами ПРОБЛЕМЫ Непрозрачность Отсутствие контроля Сложность управления Какие есть ключи и кто имеет к ним доступ? Их легко создавать, но сложно отслеживать Процедура смены ключей затратная и сложная ПОСЛЕДСТВИЯ Риски несоответствия Риски безопасности Аудиторы проверять Статичные, неуправляемые ключи приводят к успешным атакам
  • 12. 12 Как CyberArk помогает решить проблемы? ФУНКЦИИ Обнаружение Управление ключами Поиск ключей и систематизация информации о них Enforce granular access controls and monitor every SSH session Защита и смена ключей ВЫГОДЫ Соответствие Снижение рисков безопасности Защита, мониторинг ключей, доступа к ним, и отчетность Устранение бэкдоров, повышение защищенности и определением подозрительной активности Управление и наблюдение
  • 13. 13 Discover and Audit (DNA)
  • 14. 14 Как работает Pass-the-Hash?
  • 15. 15 DNA v5.0 – уязвимы ли Вы? ▪Как может выполняться атака на мою компанию? ▪Какие серверы и УЗ необходимо защитить в первую очередь? 2 – Результат – Сколько машин уязвимы для Pass- the-Hash? 1 – Сколько УЗ и машин уязвимы? 3 – Что если использовать одноразовые пароли PAS для управления этими УЗ?
  • 16. 16 Как CyberArk может снизить риск PtH? Применить PAS для: Хэши не представляют угрозы при: Постоянной смене паролей, напр. OTP Управление учетными данными Применяйте стратегию минимальных привилегий (OPM) Минимальные привилегии PSM исключает кражу учетных данных (P-SSO) (но не кражу хэшей!!!) – это делает EPV Привилегированный SSO Используйте локальные УЗ вместо доменных CyberArk управляет локальными УЗ Разделение обязанностей
  • 17. 17 Как DNA v5 работает с SSH ключами? ▪Обнаруживает, включая «зависшие», ключи, извлекает необходимые данные о них и сообщает статус каждого ключа. ▪Коррелирует и устанавливает связей между ключами, УЗ и машинами. ▪Генерирует отчет о текущем статусе ключей. ▪Предоставляет карту зависимостей между ключами, УЗ и машинами. ▪Формирует детальный отчет по данным карты зависимостей.
  • 18. 18 On-demand Privileges Manager (OPM)
  • 19. 19 Штатные средства контроля доступа ОС «Экономить $1,264 с Windows ПК в год, удалив права admin…» Gartner «Закрыть 92% всех уязвимостей Windows, удалив права admin…» Microsoft
  • 20. 20 IT personnel Server with OPM 1.Создание политики 2.Запрос на повышение привилегий 3.Считывание политики, запись логов 4.Просмотр результатов аудита 2 3 CyberArk Admin 1 4 Auditor Как работает OPM? Vault PVWA
  • 21. 21 Privileged Threat Analytics (PTA)
  • 22. 22 •Патентованный алгоритм изучает поведение привилегированных пользователей. •Самообучение корректирует профиль по изменению поведения. •Активность сравнивается с профилем поведения для выявления аномалий. •Баллы угрозы присваиваются каждой аномалии, инциденту или группе событий для выявления наиболее рисковых событий. •Целевые предупреждения включают детальную информацию о событиях и позволяют непосредственно реагировать на атаки через панель управления. •Панель управления и уведомления по электронной почте оперативно позволяют предпринять ответные действия. •Двухсторонняя интеграция с SIEM. Что такое PTA?
  • 23. 23 Как работает PTA? Ок ALERT: SIEM & CyberArk Анализ поведения SIEM Анализ поведения: Статистическая модель на основе комбинации алгоритма анализа, данных Digital Vault и целевых систем и интеграции с SIEM. CyberArk Vault Предупреждение АКТИВНОСТЬ НАД УЗ Привилегированный пользователь Защищаемые системы
  • 24. 24 PTA в действии ▪Незнакомый IP! ▪Privileged Threat Analytics обнаружил вход на файл-сервер с незнакомого IP адреса ▪Десктоп инфицируется вредоносным кодом ▪Нарушитель получает учетные данные файл-сервера ▪Нарушитель легитимно заходит на файл-сервер
  • 25. 25 Спасибо за внимание!