Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeInspect"

Download as PPS, PDF
E
Expolink

Конференция "Код ИБ 2016". Новосибирск

1 of 23
ПРОБЛЕМЫ КОНТРОЛЯ ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ И ИХ РЕШЕНИЕ 2 ИЮНЯ 2016 г. | НОВОСИБИРСК | #CODEIB
Тратя много времени и сил на защиту от внешних угроз, компании, порой, забывают об угрозах внутренних, разрушительность действий которых может быть в несколько раз больше, чем любая атака извне. ПРОБЛЕМА Риски, связанные с неконтролируемым административным доступом к критичным информационным системам и ИТ- инфраструктуре компаний. ВВЕДЕНИЕ
Эксперт по информационной безопасности Джо Вайс в своем блоге опубликовал данные о возможной хакерской атаке, после того, как получил официальный доклад из Центра по вопросам разведки и терроризма штата Иллинойс. Он рассказал, что хакеры взломали систему SCADA, которая отвечает за технический контроль над водяными насосами. , - :ДОН КРЕЙВЕН водохозяйственный район Кёрран Гарднер «У нас есть некоторые свидетельства того, что компьютерная программа была взломана». ВВЕДЕНИЕ
ЧТО НА САМОМ ДЕЛЕ? Небольшая субподрядная компания Мимлица помогла создать систему диспетчерского управления и сбора данных SCADA, используемую службой регионального водоснабжения Curran Gardner в окрестностях города Спрингфилд (штат Иллинойс), и оказывала ей периодическую поддержку. Мимлиц рассказал, что в июне этого года он и его семья проводили отпуск в России, когда кто-то из Curran Gardner попросил его удаленно проверить некоторые данные файлов памяти на компьютере SCADA. «Я не управлял системой и не вносил каких-либо изменений, и ничего не включал и не выключал», — сказал Мимлиц службе Threat Level. 10 ноября центр EPA опубликовал доклад под названием «Кибервторжение в »,систему общественного водоснабжения района связав поломку водяного насоса с входом в систему с компьютера из России за пять месяцев до этого и безо всяких оснований утверждая, что злоумышленник из России включал и отключал систему SCADA, отчего и сгорел насос.
АРТ АТАКИ o Термин Advanced Persistent Threat (APT), как правило, не переводят на русский язык. o В 2006 году его впервые использовали для описания направленной атаки на критичные ресурсы. o С тех пор APT превратился в маркетинговый термин и используется везде для описания любых новых угроз, атак и др. o Мы используем его для обозначения целенаправленных атак, при которых ведется несанкционированная работа по получению доступа к критичной информации или системе.
ТИПИЧНАЯ АТАКА
СТАНДАРТ СТАТУС НЕОБХОДИМОСТЬ Monetary Authority of Singapore Обновлен. Добавлены специальные положения по управлению криптографическими ключами Да PCI DSS Требования по управлению доступом расширены. Добавлен Secure Shell и другие методы аутентификации Да NIST-FISMA NIST IR 7966 «безопасность управления автоматизированным доступом используя Secure Shell (SSH)». Опубликован Да SOX DS 5.8 – управление доступом и управление ключами Да NERC R5 – управление учетными данными, определяются протоколы удаленного подключения (SSL, SSH) Да HIPAA Управление доступом к информации Да ФСТЭК Впервые применил понятие «привилегированный пользователь» в методичке по 17 приказу Да ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
ИАФ.1 В ИС должна обеспечиваться многофакторная (двухфакторная) аутентификация K3 K2 K1 + + + УПД.1 В ИС должно осуществляться автоматическое блокирование временных учетных записей + + + УПД.2 В ИС должны быть реализованы дискреционный метод управления доступом, ролевой метод управления доступом + + + УПД.3 В ИС должно осуществляться управление информационными потоками при передаче информации + + + УПД.13 В ИС исключается удаленный доступ от имени привилегированных учетных записей для администрирования ИС и ее системы защиты + + + РСБ.1 В перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с действиями от имени привилегированных учетных записей + + + РСБ.2 В ИС обеспечивается полнотекстовую запись привилегированных команд РСБ.5 В ИС обеспечивается полнотекстовый анализ привилегированных команд ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
PRIVELEGED USER – КТО ОН? Невозможноо тследить КТО иЧТОделает Испол ьзуются совм естно О ни есть ВЕЗД Е Открываютд оступ к крити чнымданным Учетные записи с высокими привелегиями (Administrator, Root, Cisco, Oracle и др.)
• Разное оборудование требует разных администраторов • Для разных ресурсов требуются специалисты нескольких компаний • Нескольким администраторам требуется доступ к одним и тем же ресурсам • Трудно понять что делал admin на серверах или в оборудовании АСУ ТП ПРОБЛЕМА
ПРОБЛЕМА Налажен регулярный контроль 90% вторжений в критичные ИС осуществляются с помощью привилегированных учетных записей. 74% администраторов признались, что легко обходят меры безопасности, призванные защищать конфиденциальные данные. 80% привилегированных учетных записей принадлежат автоматизированным системам, которые никак не контролируются и к которым трудно применить политики безопасности.
o Решение, позволяющее контролировать зашифрованные подключения к ИС компании, её сетевой и серверной инфраструктуре. o Визуализация действий суперпользователей и эффективное управление доступом ко всей инфраструктуре. o Управление привилегированным доступом (PAM) o Мониторинг привилегированных пользователей и сессий (PUM) o Мониторинг зашифрованных каналов o Разделение доступа к общим аккаунтам с персонализацией доступа каждого администратора o Управление субканалами внутри зашифрованных соединений o Безопасное взаимодействие с инфраструктурой организации o Строгая аутентификация пользователей
SafeInspect - полнофункциональная платформа для контроля привилегированных учетных записей в ИС – как классических, так и облачных. o Контроль широко используемых протоколов администрирования; o Регистрация действий в виде видеозаписи; o Индексация, быстрый поиск события; o Контроль зашифрованных каналов; o Работа без использования агентов; o Двухуровневый контроль подключений; o Двухфакторная аутентификация; o Контроль доступа в реальном времени; o Противодействие внутренним угрозам; o Аудит файловых операций; o Статистика и отчеты о действиях; o Сбор информации для расследований инцидентов.
МАСШТАБИРУЕМОСТЬ И УНИВЕРСАЛЬНОСТЬ o Может быть установлен как на «железе» (сервере), так и в виртуальной среде: VMware, Hyper-V, Virtualbox. Возможна оптимизация под Оpenstack; o Три режима работы: Прозрачный (L2), Маршрутизатор (L3), Бастион; ПРЕИМУЩЕСТВА o Отказоустойчивость; o Распределенная архитектура: • Возможна установка большого количества Коллекторов • Данные аудита направляются в Менеджер • Можно осуществлять зональный аудит (разными аудиторами), или централизованный (по всей инфраструктуре).
МИНИМАЛЬНОЕ ВТОРЖЕНИЕ В БИЗНЕС-ПРОЦЕССЫ И ИНФРАСТРУКТУРУ o Нет необходимости в специальном ПО, серверных агентах или шлюзах на клиентской стороне; o Не нужно обучать пользователей работе с системой, менять бизнес-процессы и сетевую инфраструктуру; ПРЕИМУЩЕСТВА o Обеспечивает защиту доступа к серверам, базам данных, сетевым устройствам и другим устройствам инфраструктуры o Отслеживает как интерактивных пользователей, так и соединения «машина-машина»
Работа в распределенной инфраструктуре ПРЕИМУЩЕСТВА
ИНТЕГРАЦИЯ 3 варианта: •ПРОЗРАЧНЫЙ - система устанавливается в «разрыв» соединения с серверами; •МАРШРУТИЗАТОР - соединения с серверами направляются в систему, а она маршрутизирует их на сервера; •БАСТИОН - для доступа к серверам необходимо явно подключаться к порталу системы. 1. Подключение 2. Аутентификация и авторизация 3-5. Подключение к ресурсам 6. Отправка данных в DLP / IPS 7. Сохранение записи сессии 8. Отправка логов в SIEM / Syslog
ДОСТУП К КРИТИЧЕСКИМ РЕСУРСАМ ДВУХУРОВНЕВАЯ АВТОРИЗАЦИЯ: •Аутентификация •Подтверждение •Доступ
Система интегрируется с системами SIEM, IPS, Web filters, DLP, позволяя повысить эффективность как своей работы, так и работы других подсистем. ИНТЕГРАЦИЯ С ДРУГИМИ СИСТЕМАМИ
o РАЗНЫЕ ВАРИАНТЫ ПРОДУКТА: может быть установлен как Virtual Appliance (в разных виртуальных средах), а также на «железо» (сервера). o ВЫСОКАЯ МАСШТАБИРУЕМОСТЬ: Коллекторы могут добавляться в соответствии с изменениями в сетевой или виртуальной инфраструктуре. o ПРОСТОТА ПРИМЕНЕНИЯ: Прозрачные режимы и возможность использования стандартных приложений упрощают внедрение. Нет необходимости в тренингах пользователей или изменении бизнес-процессов. o БЕЗ АГЕНТОВ: Нет необходимости в инсталляции дополнительного ПО или агентов на серверах. o ПРОСТАЯ ИНТЕГРАЦИЯ: Легко интегрируется как в инфраструктуру безопасности (SIEM, DLP, IDS), так и в сетевую инфраструктуру (не нужны jump- сервера, поддержка Vlan). ОБЩАЯ СТОИМОСТЬ ВЛАДЕНИЯ
«…несмотря на то, что используемые решения PAM имеют широкие возможности, существуют точечные решения, которые в некоторых случаях, заполняют существующие пробелы, или могут быть использованы в комбинации с «best-of-breed» решениями…» Gartner Даже если у компании уже есть решение Privileged Access Management (PAM), уникальные возможности SafeInspect эффективно дополнят его функции. При этом не потребуется установка доп. агентов и не изменится логика уже используемого решения. ЛУЧШЕЕ РЕШЕНИЕ В КОНКРЕТНОЙ СИТУАЦИИ • Прозрачный мониторинг и управление • Распределенная архитектура • Детальный контроль SSH и RDP • Поиск, расследование и видео-показ событий • Простая работа с общими аккаунтами • Интеграция с DLP для SSH, SFTP, зашифрованными SSL протоколами в режиме реального времени • Интеграция с системами IDS, IPS
Результат o Контроль всех подключений o Контроль каналов SSH, RDP, HTTP/HTTPs, Telnet и др. o Запись трафика в журнал, архивация в зашифрованном виде o Просмотр логов в формате видео o Контроль не только внутренних, но и внешних подключений o Работа без агентов o Простое внедрение и эксплуатация o Интуитивный интерфейс o Быстрая смена настроек РЕЗУЛЬТАТ
СПАСИБО ЗА ВНИМАНИЕ! ВОПРОСЫ?

More Related Content

НТБ. Сергей Шерстюк. "Система контроля привилегированных пользователей SafeInspect"

  • 1. ПРОБЛЕМЫ КОНТРОЛЯ ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ И ИХ РЕШЕНИЕ 2 ИЮНЯ 2016 г. | НОВОСИБИРСК | #CODEIB
  • 2. Тратя много времени и сил на защиту от внешних угроз, компании, порой, забывают об угрозах внутренних, разрушительность действий которых может быть в несколько раз больше, чем любая атака извне. ПРОБЛЕМА Риски, связанные с неконтролируемым административным доступом к критичным информационным системам и ИТ- инфраструктуре компаний. ВВЕДЕНИЕ
  • 3. Эксперт по информационной безопасности Джо Вайс в своем блоге опубликовал данные о возможной хакерской атаке, после того, как получил официальный доклад из Центра по вопросам разведки и терроризма штата Иллинойс. Он рассказал, что хакеры взломали систему SCADA, которая отвечает за технический контроль над водяными насосами. , - :ДОН КРЕЙВЕН водохозяйственный район Кёрран Гарднер «У нас есть некоторые свидетельства того, что компьютерная программа была взломана». ВВЕДЕНИЕ
  • 4. ЧТО НА САМОМ ДЕЛЕ? Небольшая субподрядная компания Мимлица помогла создать систему диспетчерского управления и сбора данных SCADA, используемую службой регионального водоснабжения Curran Gardner в окрестностях города Спрингфилд (штат Иллинойс), и оказывала ей периодическую поддержку. Мимлиц рассказал, что в июне этого года он и его семья проводили отпуск в России, когда кто-то из Curran Gardner попросил его удаленно проверить некоторые данные файлов памяти на компьютере SCADA. «Я не управлял системой и не вносил каких-либо изменений, и ничего не включал и не выключал», — сказал Мимлиц службе Threat Level. 10 ноября центр EPA опубликовал доклад под названием «Кибервторжение в »,систему общественного водоснабжения района связав поломку водяного насоса с входом в систему с компьютера из России за пять месяцев до этого и безо всяких оснований утверждая, что злоумышленник из России включал и отключал систему SCADA, отчего и сгорел насос.
  • 5. АРТ АТАКИ o Термин Advanced Persistent Threat (APT), как правило, не переводят на русский язык. o В 2006 году его впервые использовали для описания направленной атаки на критичные ресурсы. o С тех пор APT превратился в маркетинговый термин и используется везде для описания любых новых угроз, атак и др. o Мы используем его для обозначения целенаправленных атак, при которых ведется несанкционированная работа по получению доступа к критичной информации или системе.
  • 7. СТАНДАРТ СТАТУС НЕОБХОДИМОСТЬ Monetary Authority of Singapore Обновлен. Добавлены специальные положения по управлению криптографическими ключами Да PCI DSS Требования по управлению доступом расширены. Добавлен Secure Shell и другие методы аутентификации Да NIST-FISMA NIST IR 7966 «безопасность управления автоматизированным доступом используя Secure Shell (SSH)». Опубликован Да SOX DS 5.8 – управление доступом и управление ключами Да NERC R5 – управление учетными данными, определяются протоколы удаленного подключения (SSL, SSH) Да HIPAA Управление доступом к информации Да ФСТЭК Впервые применил понятие «привилегированный пользователь» в методичке по 17 приказу Да ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
  • 8. ИАФ.1 В ИС должна обеспечиваться многофакторная (двухфакторная) аутентификация K3 K2 K1 + + + УПД.1 В ИС должно осуществляться автоматическое блокирование временных учетных записей + + + УПД.2 В ИС должны быть реализованы дискреционный метод управления доступом, ролевой метод управления доступом + + + УПД.3 В ИС должно осуществляться управление информационными потоками при передаче информации + + + УПД.13 В ИС исключается удаленный доступ от имени привилегированных учетных записей для администрирования ИС и ее системы защиты + + + РСБ.1 В перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с действиями от имени привилегированных учетных записей + + + РСБ.2 В ИС обеспечивается полнотекстовую запись привилегированных команд РСБ.5 В ИС обеспечивается полнотекстовый анализ привилегированных команд ТРЕБОВАНИЯ РЕГУЛЯТОРОВ
  • 9. PRIVELEGED USER – КТО ОН? Невозможноо тследить КТО иЧТОделает Испол ьзуются совм естно О ни есть ВЕЗД Е Открываютд оступ к крити чнымданным Учетные записи с высокими привелегиями (Administrator, Root, Cisco, Oracle и др.)
  • 10. • Разное оборудование требует разных администраторов • Для разных ресурсов требуются специалисты нескольких компаний • Нескольким администраторам требуется доступ к одним и тем же ресурсам • Трудно понять что делал admin на серверах или в оборудовании АСУ ТП ПРОБЛЕМА
  • 11. ПРОБЛЕМА Налажен регулярный контроль 90% вторжений в критичные ИС осуществляются с помощью привилегированных учетных записей. 74% администраторов признались, что легко обходят меры безопасности, призванные защищать конфиденциальные данные. 80% привилегированных учетных записей принадлежат автоматизированным системам, которые никак не контролируются и к которым трудно применить политики безопасности.
  • 12. o Решение, позволяющее контролировать зашифрованные подключения к ИС компании, её сетевой и серверной инфраструктуре. o Визуализация действий суперпользователей и эффективное управление доступом ко всей инфраструктуре. o Управление привилегированным доступом (PAM) o Мониторинг привилегированных пользователей и сессий (PUM) o Мониторинг зашифрованных каналов o Разделение доступа к общим аккаунтам с персонализацией доступа каждого администратора o Управление субканалами внутри зашифрованных соединений o Безопасное взаимодействие с инфраструктурой организации o Строгая аутентификация пользователей
  • 13. SafeInspect - полнофункциональная платформа для контроля привилегированных учетных записей в ИС – как классических, так и облачных. o Контроль широко используемых протоколов администрирования; o Регистрация действий в виде видеозаписи; o Индексация, быстрый поиск события; o Контроль зашифрованных каналов; o Работа без использования агентов; o Двухуровневый контроль подключений; o Двухфакторная аутентификация; o Контроль доступа в реальном времени; o Противодействие внутренним угрозам; o Аудит файловых операций; o Статистика и отчеты о действиях; o Сбор информации для расследований инцидентов.
  • 14. МАСШТАБИРУЕМОСТЬ И УНИВЕРСАЛЬНОСТЬ o Может быть установлен как на «железе» (сервере), так и в виртуальной среде: VMware, Hyper-V, Virtualbox. Возможна оптимизация под Оpenstack; o Три режима работы: Прозрачный (L2), Маршрутизатор (L3), Бастион; ПРЕИМУЩЕСТВА o Отказоустойчивость; o Распределенная архитектура: • Возможна установка большого количества Коллекторов • Данные аудита направляются в Менеджер • Можно осуществлять зональный аудит (разными аудиторами), или централизованный (по всей инфраструктуре).
  • 15. МИНИМАЛЬНОЕ ВТОРЖЕНИЕ В БИЗНЕС-ПРОЦЕССЫ И ИНФРАСТРУКТУРУ o Нет необходимости в специальном ПО, серверных агентах или шлюзах на клиентской стороне; o Не нужно обучать пользователей работе с системой, менять бизнес-процессы и сетевую инфраструктуру; ПРЕИМУЩЕСТВА o Обеспечивает защиту доступа к серверам, базам данных, сетевым устройствам и другим устройствам инфраструктуры o Отслеживает как интерактивных пользователей, так и соединения «машина-машина»
  • 17. ИНТЕГРАЦИЯ 3 варианта: •ПРОЗРАЧНЫЙ - система устанавливается в «разрыв» соединения с серверами; •МАРШРУТИЗАТОР - соединения с серверами направляются в систему, а она маршрутизирует их на сервера; •БАСТИОН - для доступа к серверам необходимо явно подключаться к порталу системы. 1. Подключение 2. Аутентификация и авторизация 3-5. Подключение к ресурсам 6. Отправка данных в DLP / IPS 7. Сохранение записи сессии 8. Отправка логов в SIEM / Syslog
  • 18. ДОСТУП К КРИТИЧЕСКИМ РЕСУРСАМ ДВУХУРОВНЕВАЯ АВТОРИЗАЦИЯ: •Аутентификация •Подтверждение •Доступ
  • 19. Система интегрируется с системами SIEM, IPS, Web filters, DLP, позволяя повысить эффективность как своей работы, так и работы других подсистем. ИНТЕГРАЦИЯ С ДРУГИМИ СИСТЕМАМИ
  • 20. o РАЗНЫЕ ВАРИАНТЫ ПРОДУКТА: может быть установлен как Virtual Appliance (в разных виртуальных средах), а также на «железо» (сервера). o ВЫСОКАЯ МАСШТАБИРУЕМОСТЬ: Коллекторы могут добавляться в соответствии с изменениями в сетевой или виртуальной инфраструктуре. o ПРОСТОТА ПРИМЕНЕНИЯ: Прозрачные режимы и возможность использования стандартных приложений упрощают внедрение. Нет необходимости в тренингах пользователей или изменении бизнес-процессов. o БЕЗ АГЕНТОВ: Нет необходимости в инсталляции дополнительного ПО или агентов на серверах. o ПРОСТАЯ ИНТЕГРАЦИЯ: Легко интегрируется как в инфраструктуру безопасности (SIEM, DLP, IDS), так и в сетевую инфраструктуру (не нужны jump- сервера, поддержка Vlan). ОБЩАЯ СТОИМОСТЬ ВЛАДЕНИЯ
  • 21. «…несмотря на то, что используемые решения PAM имеют широкие возможности, существуют точечные решения, которые в некоторых случаях, заполняют существующие пробелы, или могут быть использованы в комбинации с «best-of-breed» решениями…» Gartner Даже если у компании уже есть решение Privileged Access Management (PAM), уникальные возможности SafeInspect эффективно дополнят его функции. При этом не потребуется установка доп. агентов и не изменится логика уже используемого решения. ЛУЧШЕЕ РЕШЕНИЕ В КОНКРЕТНОЙ СИТУАЦИИ • Прозрачный мониторинг и управление • Распределенная архитектура • Детальный контроль SSH и RDP • Поиск, расследование и видео-показ событий • Простая работа с общими аккаунтами • Интеграция с DLP для SSH, SFTP, зашифрованными SSL протоколами в режиме реального времени • Интеграция с системами IDS, IPS
  • 22. Результат o Контроль всех подключений o Контроль каналов SSH, RDP, HTTP/HTTPs, Telnet и др. o Запись трафика в журнал, архивация в зашифрованном виде o Просмотр логов в формате видео o Контроль не только внутренних, но и внешних подключений o Работа без агентов o Простое внедрение и эксплуатация o Интуитивный интерфейс o Быстрая смена настроек РЕЗУЛЬТАТ