Теперь следует дать некоторые рекомендации по тому, как выбрать наиболее подходящее решение. Для этого, руководствуясь своим бюджетом и требованиями к решению, основываясь на собранных данных, можно по пунктам подобрать наиболее подходящий вариант. В случае если выбор встает между двумя компонентами, руководствоваться их критичностью для успешного достижения инструментом намеченных для него целей в вашей ИС. В целом же обобщить написанное можно так:

Более легкие и дешевые решения CyberArk PASS и ObserveIt подходят для малых организаций с небольшим IT-бюджетом.

Отечественный SafeInspect разрабатывался как "закрытое решение", удовлетворяет требованиям всех Российских стандартов и нормативных актов, и хорошо подойдет для отечественных предприятий и ГИС. К тому же, у иностранных продуктов отсутствует локализация.

Для крупных контор подойдут наиболее мощные решения типа Wallix AdminBastion, Xceedium Xsuite и Balabit SCB, нацеленные на установку в аппаратном варианте.

В случае если необходима установка в "прозрачном" режиме (невидимом для пользователей), подойдут только продукты Xceedium Xsuite и Balabit Shell Control Box. Также, эта возможность заявлена у CyberArk Privileged Account Security Solution в случае реализации в виде виртуального устройства.

Следует несколько детальнее рассмотреть, как действует и как внедряется подобное решение, на примере Xceedium Xsuite.

Для начала устройство ставится в "разрыв" сети. Для обеспечения максимальной эффективности следует настроить его для работы в "непрозрачном" виде. В этом случае все пользователи будут проходить явную авторизацию на шлюзе устройства. Однако, иногда ситуация требует обратного. Для работы устройства в прозрачном режиме на маршрутизаторе прописываются соответствующие настройки (весь трафик из необходимой подсети направляется на IP-адрес устройства). При этом тот трафик, который устройству не удастся распознать (выявить в нем контролируемые протоколы), будет пропускаться без изменений дальше (на указанный шлюз).

В случае Xsuite называются Xceedium “Gate Keeper”. Устанавливаются в разрыв сети подобно аппаратным файерволам или корневым управляемым свичам (больше всего схоже со всем известным CISCO ASA).

На данный момент актуальное устройство в линейке Xceedium: X206P, Based on Intel Core I7 (Hexacore) 3.0GHz, 8GB DDR3 ECC, 32GB (x2) Solid State Drive. Конкурирующие решения предоставляют схожие конфигурации.

У модулей имеется встроенный источник бесперебойного питания небольшой мощности, позволяющий им продолжать работу без питания от сети до 15мин, что дает возможность избежать потери оперативных данных, а также перезагрузки системы при кратковременных "проседаниях" электроснабжения. При этом в любом случае не стоит переживать за сохранность логов и видеофайлов, создаваемых системой - они пишутся в потоковом режиме, и в случае подобного сбоя просто прервутся на том месте, когда пропало электроснабжение ИС.

В случае с неаппаратной конфигурацией продукта подобным же образом устанавливается сервер, на котором развернуто виртуальное устройство или программа.

Как правило, доступ к рабочему пользовательскому интерфейсу системы может осуществляться через клиентское приложение или через Веб-интерфейс с использованием стандартных веб-браузеров по локальному адресу.

Администраторы системы безопасности могут также использовать доступ через администраторскую консоль, схожую с консолями различных других сетевых устройств.

Для входа в систему пользователю потребуются учетные данные пользователя этой системы, если на устройстве не настроено иначе. Также потребуется выбрать и тип аутентификации, от чего будет зависеть и набор следующих параметров.

Выбор пользователя, куда подключаться. Тут будут отображены все доступные (дозволенные и настроенные) устройства (сервера), настроенные для них способы подключения, а так же некоторые другие атрибуты. Интерфейс аккаунтов администраторов системы несколько отличается от представленного.

Далее предстоит выбор, под какими конечными учетными данными (если заранее внесены в систему) и каким способом подключаться. На рисунке UP - User Password, а SSH key - готовая связка ключа.

После этого работают, как обычно. В целом все в точности напоминает работу на удаленном рабочем столе, но вместо привычного желтоватого таскбара Windows RDP средства будет видна аналогичная полоска используемого инструмента (или окно браузера, если не поддерживается полноэкранный режим).

Некоторая другая запретная деятельность, для которой не настроено никаких "наказаний", просто не выполняется без каких либо уведомлений. При этом понять, что запуск программы заблокировал инструмент, а не произошло ее "зависание", можно определить только не обнаружив процесса программы в диспетчере задач.

Администратор системы заранее настраивает количество запрещенных действий (violations, нарушений) или запрещенных команд (words, слов) (таких, например, как создание пользователя в Cisco или *nix сервере, уничтожение процесса и т.д.), после которого текущая сессия будет разорвана, или, например, заблокирована используемая учетная запись. Во всех рассмотренных системах настройка очень гибкая: можно задавать группы нарушений разной критичности, например, низкой - за которые не последует никаких ответных реакций со стороны системы, просто она не даст их выполнить; средней - за которые пользователь будет получать предупреждения до определенного количества, после чего его сессия будет разорвана; и высокой, после чего аккаунт пользователя будет заблокирован и также будет немедленно уведомлен офицер безопасности. Меню их настройки будет представлено ниже.

На рисунке (Рис. 8) видно поведение системы в ответ на попытку несанкционированного выполнения консольной команды - уничтожения процесса. Система не дает выполнить команду, а также уведомляет пользователя о совершении нарушения. Отбор команд производится на основе blacklisting/whitelisting.

Рисунок 2

Ниже (Рис. 3) изображено, как в логах системы (в пользовательском варианте представления) отразится вышеприведенный пример нарушения. Длительность хранения логов настраиваемая, также можно настраивать их сортировку, представление, детали. Также можно настраивать расположение хранения записываемых данных - на мощностях самого модуля или на внешних устройствах. Система представит в лог-записи всю собранную информацию о пользователе и сессии. Из меню логов нарушений доступен просмотр видеозаписей сессий и/или метаданных, имеется быстрый и полный поиск по словам (командам/метаданным) или OCR-данным (видеозахват и распознание символов).

Рисунок 3

Как уже было сказано ранее, интерфейс администраторских аккаунтов системы отличается от пользовательских.

Здесь представлены краткие сведения об использовании лицензий, управляемых устройствах и пользователях, применении политик, статистические данные, состояние самого устройства, а так же последние события. Вверху расположена строка настроек поведения системы, разбитая на логические группы, такие, как: общие (глобальные) настройки, сессии, сервисы, пользователи, устройства, политики. Во всех рассмотренных продуктах этот набор различается несущественно. Из интерфейса администратора системы доступны глобальные настройки, а так же большое количество разделов детальных настроек, часть из которых будет рассмотрена ниже. Так же отсюда доступно конфигурирование непосредственно самого инструмента. Именно в нем находятся сетевые настройки устройства, маршрутизация соединений, расположение хранения записываемых файлов и т.д.

В глобальных настройках выбираются доступные методы аутентификации, общее поведение аккаунтов пользователей и сессий, доступные устройства, настройки представления, используемые протоколы, парольные политики и многое другое. Обратите внимание на настраиваемые дисклеймеры и предупреждения. Именно эти тексты будут выводиться пользователям при входе в систему, подключениях к удаленным рабочим столам, начале видеофиксации сессии, в случае совершения нарушений и др.

В настройке устройств задаются необходимые сервера и параметры подключения к ним. Исследуемые инструменты поддерживают широкий спектр устройств и их операционных систем, в том числе виртуализированные и облачные решения.

Раздел управления пользователями отображает всех внесенных в систему пользователей и детальные данные по ним. Здесь можно добавлять/удалять и деактивировать / вновь активировать пользователей; настроить личные и учетные данные пользователя, параметры его аккаунта; назначить ему роль и доступные устройства, изменить способы подключения и аутентификации, а так же изменить параметры, диктуемые ролью. Некоторые из представленных продуктов даже позволяют отдельно настроить "строгость" политики в отношении одного отдельного пользователя.

Рисунок 13

Основная настройка системы представлена в типичном для таких систем виде, базирующемся на управлении доступом на основе ролей (role-based access control). Рассмотрим раздел управления ролями. Как правило, там имеется писок из 10-30 типовых ролей с кратким описанием их сути и набором доступных параметров.

Все представленные системы имеют некоторый весьма схожий "стартовый" набор ролей "из коробки". Он также зависит от параметров, выбранных в предустановочной настройке системы. У рассмотренной версии Xceedium Xsuite, например, в наличии 17 ролей "из коробки". Роли можно добавлять и удалять. Система не даст удалить роль, которая на данный момент назначена какому-либо аккаунту. Так же, есть некоторые роли, которые не удастся удалить или изменить. Как правило, это критичные для системы роли, такие, как, например, "XSuite Administrator" - администратор самой системы.

При детальной настройке роли имеется возможность выбирать дозволенные ей привилегии из числа стандартных и добавленных пользователем. Как правило, это реализовано в виде списка всех потенциально доступных данной роли привилегий с кратким описанием их сути и набора "тикбоксов" для активации/деактивации каждой из них. Важно уделить существенное внимание этой настройке, кропотливо и обдуманно пройдя все пункты. Настройки привилегий роли должны очень точно соответствовать ее сути и предъявляемым к ней ожиданиям. Для максимальной эффективности надо провести после настройки проверку. Кроме того, одно небольшое упущение в этой настройке может оказаться критическим для эффективности выполнения своих функций инструментом, и, значит, для безопасности информационной системы организации в целом.

Теперь обратимся к настройке политик. Политики будут представлены в типичном виде настраиваемого списка с параметрами.

Как правило, политики представляют из себя все связки параметров доступа из конкретной учетной записи системы на конкретное устройство. Тут настраиваются типы соединений, доступные сервисы, работа с паролями, фильтры, параметры записи и критичности сессий и т.д. Здесь же можно настроить и отдельный "прозрачный режим". В этом случае, если учетная запись, с которой происходит подключение к удаленному устройству, и само удаленное устройство, на которое происходит подключение, соответствуют обозначенным в данной политике, то для такого соединения система предстанет в "прозрачном виде", и, как было детально рассмотрено ранее, будет только мониторить траффик.

Также отсюда можно перейти к настройке "фильтров". Здесь можно настроить сообщения критичных и некритичных нарушений, уведомления администраторам безопасности, количество нарушений до ответной реакции со стороны системы, и сама реакция. В случае Xceedium Xsuite это: заблокировать аккаунт, прервать сессию, или ничего не предпринимать.

Далее можно провести детальную настройку фильтров, на основе блэклистинга/вайтлистинга, добавить или удалить фильтры. В разделе "Command filter lists" - управление наборами фильтров команд - проводится детальная настройка фильтров: перечни "слов" и реакция на них. В принципе, если вы хотите узнать, когда пользователь введет какое-то специфическое незапретное слово, внесите его в список отслеживаемых команд, затем снимите галочки с позиций "предупреждать" и "блокировать", и поставьте галочку в пункте "уведомлять" (администратора системы). Таким образом, вы сможете "с поличным" застать пользователя за интересующей вас деятельностью.

Он представлен в виде сортируемой таблицы с отображением ключевых параметров в столбцах, здесь же можно осуществлять быстрый поиск записи по одному из этих ключевых параметров, или отсортировать таблицу по одному конкретному атрибуту, например, для отображения всех записей сессий одного конкретного пользователя. После выбора интересующей вас записи (или лог-файла) можно перейти к просмотру.

На следующем рисунке (Рис. 3) изображено, как примерно выглядит просмотр видеозаписи сессии с привязкой к логам. Внешне все очень похоже на обычный видеопроигрыватель, с той лишь разницей, что чаще всего это не полноценное видео, а имитация с привязкой к времени. Доступна даже быстрая перемотка. Можно осуществлять поиск по метаданным, предупреждениям и распознанным данным с экрана. Сами видеозаписи, как уже упоминалось ранее, имеют "псевдовидео" формат и занимают совсем немного места. Особым плюсом такого инструмента является то, что при разборе инцидента в наличии будут наглядные доказательства кто что сделал типа "вот он нажал туда, и вот что произошло", понятные всем, а не только искушенным IT-специалистам.

Рисунок 3

Поиск в логах нарушений. Здесь доступен свободный текстовый поиск, а также "шаблонный" поиск по командам, по искомым устройствам, по искомым аккаунтам. Система имеет шкалу имитации временных промежутков, аналогичную реальной шкале у видео, что упрощает восприятие и ориентирование. На рисунке ниже представлен поиск по искомым словам в чистом виде.

Поиск в видео с распознанием по метаданным и OCR. Следует отметить, что благодаря особым форматам записи, инструменты легко справляются с просмотром даже очень длинных сессий.

В общем случае рекомендуется для эффективности использования дискового пространства и удобства в поиске сеансы работы с консолью хранить в виде текстовых логов, а полноценные сеансы работы с "формами" сохранять в качестве видео с метаданными.

Итак, инструмент имеет удобный, интуитивно понятный интерфейс, и настройка его не представляет особой трудности. После того, как все под контролем, необходимо еще раз путем тестирования провести проверку невозможности подключений и "перепрыгиваний", невозможность исполнения запрещенных команд, доступа к данным, запуска программ и т.д. Стоит также упомянуть, что для большинства представленных продуктов в разрезе ИТ-инфраструктуры можно даже выбирать отдельные "цели" (targets), на которые распространяется действие системы: физические элементы (devices - компьютеры, сервера, управляемые свитчи, хранилища данных и т.д.), аккаунты, пользователи. Элементу, не взятому в состав "целей" системой, будет позволено вести себя так, как будто системы нет.

После того, как все настроено, и администраторы безопасности освоили данный инструмент, можно приступать к работе. Важным аспектом является то, что для запуска данной системы в работу нет надобности надолго прерывать работу ИС организации - установку и настройку инструмента можно провести "параллельно", а затем по готовности включить его в работу (например, перекоммутировав на него поток входящих соединений). Инструмент почти не потребует никакого обучения от пользователей, однако, как уже было упомянуто ранее, важным шагом на этом этапе станет разъяснить им принципиальную суть и полезность инструмента, что он "за них" а не "против".

Вывод к главе 3