Николай Чуприн, 15/05/19
Об особенностях контроля привилегированных пользователей на промышленных предприятиях, а также о сложностях внедрение и результатах редакции журнала Information Security рассказал руководитель отдела информационных систем Группы компаний ЕПК – Николай Чуприн.
– Как в вашей организации возникла задача контроля привилегированного доступа? Что послужило толчком к поиску решения и реализации проекта?
– После внедрения системы управления пользовательским доступом мы оценили удобство и простоту использования такого ПО. Пожалели об упущенном времени с точки зрения защиты от несанкционированного доступа, когда мы обходились только ненадежной парольной аутентификацией без дополнительной защиты. Тогда и было принято решение о необходимости скорейшей интеграции централизованного управления привилегированным доступом. Зачем подвергать рискам атак или потери самые важные корпоративные данные, которые требуются только администраторам системы? Безусловно, мы доверяем своим сотрудникам! Но в этом вопросе идет речь о том, что далеко не каждый сотрудник применяет в своей работе те или иные сведения. Доступ есть, а потребности в его использовании для выполнения конкретной работы нет. Поэтому и нужна система, которая будет определять уровни доступа и выдавать на него разрешения.
– Кто выступал инициатором внедрения и заказчиком новой системы?
– Мы, как и большинство руководителей крупных компаний, считаем, что доступом к информационным ресурсам может управлять только специализированный отдел. У нас курирует эти вопросы отдельный департамент ИТ. Его сотрудники инициировали внедрение управлением доступа пользователей с помощью второго фактора. Тогда выбрали OTP – одноразовый пароль. После успешной реализации проекта двухфакторной аутентификации они же, осознавая риски бесконтрольного использования административных учетных записей, предложили и их взять под защиту.
Сформировали и утвердили задачи, которые хотим решить при использовании программного обеспечения. Потом приступили к поиску подходящего решения.
– Как администраторы информационных систем отнеслись к внедрению системы PAM?
– К моменту, когда привыкали к измененному механизму получения привилегированного доступа, уже все свободно использовали ОТР. Поэтому проблем и конфликтов практически не было. Аргументация "против" разбилась о понимание важности защиты учетных данных и корпоративных секретов.
На этапе пилотного внедрения удалось полностью подстроить систему под наши требования. Поэтому переход на новый сценарий работы с привилегированными учетными записями прошел почти безболезненно для сотрудников.
– Расскажите, пожалуйста, подробнее о принципе работы выбранной системы. Какие у нее особенности?
– Схема работы очень простая и распространенная в подобных системах. Сотрудник не использует административную учетную запись для выполнения рутинной работы, т.е. основная рабочая станция не является носителем привилегированной учетной записи. Когда возникает необходимость управления системой из консоли администратора, сотрудник подключается к прокси-серверу доступа по протоколу RDP. Из этого прокси-сервера открывается сессия на целевой сервер.
Сотрудник аутентифицируется с помощью своих пользовательских учетных записей (непривилегированных) и на целевой сервер попадает уже в административную сессию. При этом также используется сценарий двухфакторной аутентификации.
Сразу же начинается журналирование всех событий, происходящих во время привилегированной сессии. Фиксируется клавиатурный ввод, ведется видео- и текстовая запись. Эти данные отдельно архивируются. Мы всегда имеем доступ к ним.
Наличие в PAM функционала, позволяющего вести и архивировать разные виды фиксации событий в сессиях, и есть его преимущество. Не нужно внедрять еще одну систему для этих целей и искать способ их интеграции между собой.
– Какие есть сложности в использовании нового механизма предоставления привилегированного доступа?
– Сложности как таковой не было. Был проделан большой объем предварительных работ. Первоначально подробно прописали сценарий работы системы. Под этот сценарий разрабатывались уровни доступа и списки из имеющейся базы учетных записей, кому и какой доступ предоставить. Потом заполняли базы учетных данных и раздавали доступ. Это серьезная работа, требующая тщательной проработки. Но ее нужно проделать только один раз на этапе подготовки к внедрению.
Конечно, для корректной работы системы потребовалось и выделение дополнительных мощностей и проверка отказоустойчивости, производительности и стабильности работы системы. Это все проведено в рамках пилотного внедрения. Тестируемая система показала себя с хорошей стороны.
– Что изменилось после внедрения PAM? Как проект в целом повлиял на ИБ?
– Первым отмечу тот факт, что планирование и четкая проработка политики предоставления привилегированного доступа дисциплинировала сотрудников, потому что PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только тех, кому предоставлена возможность административного управления системой.
Второй, но не менее важный факт – это сокращение числа сотрудников, имеющих доступ к привилегированным учетным записям. Соответственно, чем меньше количество точек входа в консоль администратора, тем меньше риск утраты информационных ресурсов и вероятность возникновения инцидентов.
Следовательно, реализация этого проекта позволила нам уменьшить поверхность атаки на информационные ресурсы компании.
– Какие, на ваш взгляд, существуют особенности в организации ИБ при работе привилегированных пользователей на промышленных предприятиях?
– Современная промышленность стремится к роботизации. Там, где раньше производством управлял человек, сегодня управляет программа. Автоматизированное управление технологическим процессом не может и не должно оставаться беззащитным перед угрозой несанкционированного доступа к ней. Защита бесперебойного функционирования этих процессов – важнейшая цель службы информационной безопасности.
Но настройку роботизированных систем все еще выполняют люди, поэтому пренебрегать внедрением усиленной защиты доступа административных пользователей нельзя.
От работы системы защиты доступа к управлению технологическими процессами на производстве зависит работа других подразделений и предприятия в целом.
– Что повлияло на выбор конкретного поставщика решения?
– Перед выбором вендора пришлось изучить предложения на рынке еще более внимательно, чем при запуске системы аутентификации для всех пользователей. Требования департамента ИТ можно понять. Стояла задача не просто выбора оптимального решения. Нужна была беспроблемная интеграция с уже существовавшей к тому моменту системой управления пользовательским доступом.
Одни предлагали стыковку с помощью API. Другие не имели опыта поддержки сторонних решений. Остальные разработчики находились за границей.
Мы – российское предприятие и отдаем предпочтение качественным отечественным решениям. Поддерживаем, так сказать, отечественных производителей.
Поэтому приняли решение внедрить PAM от российского разработчика уже используемого нами инструмента пользовательской аутентификации. Сразу нивелировалась проблема интеграции и дальнейшего взаимодействия между нами и технической поддержкой программных продуктов, тем более мы уже привыкли к их службе поддержки. Отработанная схема взаимодействия и оперативные ответы на любые вопросы определенно склоняют чашу весов в пользу этого вендора.
