Контролируем системных администраторов – как, зачем и где?

Реальность

Несмотря на то, что большинство руководителей, особенно ответственных за финансы, подсознательно понимают риски, связанные с потерей (утечкой) данных или простоем систем, тем не менее, потенциальный риск обычно не осязаем, далек и не воспринимается должным образом. Такова природа человека. И, к сожалению, часты случаи значительных финансовых потерь из-за потери или кражи данных. 

Повторюсь, если понимание того, что ИТ-инфраструктуру нужно защищать и резервировать, уже давно пришло, то вот понимание того, что информационная безопасность является крайне важным звеном, в большинстве случаев в сознании еще не закреплено! По некоторым оценкам доля выделяемых денег на ИБ не превышает ¼ от суммарного ИТ-бюджета: 

Например, нет понимания, что сами люди, которые обслуживают ИТ, могут быть источником денежных (репутационных) потерь! Да, именно так – люди, которые имеют доступ к вашим серверами или сервисам, и не просто доступ, а привилегированный доступ, в любой момент могут вашу империю обрушить! Причем, это не обязательно будет осознанно и с умыслом: например, ошибка администратора баз данных может уничтожить плоды полугодовой разработки целой команды программистов, а обиженный уволенный администратор может попросту стереть критически важные данные!

Кажется фантастикой? «Со мной этого не случиться»? «Я ему доверяю» или «в случае необходимости он сам во всем сознается»? Не надо наивности, когда речь идет о деньгах. Согласно последнему отчету Verizon Data Breach Investigation Report более половины угроз связанных с потерей данных (и как результат – денег) стали следствием действий пользователей!

И не стоит наедятся на резервные копии, так как согласно того же отчета, почти половина подобных потерь обнаруживается спустя месяцы, а треть – вообще спустя годы! Вы уверены, что у вас есть копия резервных данных годичной давности?

А если действия администратора привели к негативу на основе личной обиды или совместных действий с конкурентами, то скорее всего, вы даже не найдете «крайних»!

Немного реальных фактов (без указания названий и фамилий).

В США один администратор внес скрипт в систему своего работодателя, который должен был бы срабатывать каждый год в его день рождения, цель этого действия была в подстраховке от своего увольнения. К счастью, для работодателя, данный скрипт был выявлен коллегами того самого администратора (случайно, кстати), а злоумышленник получил реальных срок.

В Молдове администратор шантажировал руководство компании после своего ухода на большую сумму денег(десятки тысяч долларов США), после того, как украл базу данных. В результате он таки получил желаемую сумму, так ка как потеря данных обошлась бы значительно дороже.

В России администратор, которому не повысили зарплату, уволился, а позже узнал, что его приемнику работодатель с самого начала выделил желаемый оклад. В результате, от обиды, бывший администратор, имея доступ к системам (почему после его увольнения доступы к данным не были изменены – отдельный вопрос), просто удалил данные компании!

Подобная статистика подтверждается и аналитической группой по информационной безопасности (CERT) института Карнеги-Миллон. Вот диаграмма по ИТ:

Уверен, вы сможете найти массу подобных реальных историй во всемирной сети.

Варианты

Какие же существуют способы сохранить инвестиции, деньги и свой интеллектуальный труд? Разумеется, есть множество способов, и каждый владелец бизнеса выбирает исходя из личного взгляда на свои бизнес-процессы, человеческий фактор, оценку рисков и множество других факторов.

Можно увеличить глубину резервных копий и архивов, но обратная сторона – дороговизна хранения данных, да и не ясно, на какой конкретно момент восстанавливать сервисы в случае, если проблематика выявлена не сразу, а спустя долгое время.

Можно внедрить системы журналирования событий, например, SIEM. Но с каких систем собирать данные? Если со всех, то требуется множество индивидуальных настроек на каждом сервисе, да и не все решения поддерживают такую интеграцию. А если речь об оборудовании, то как передавать журналы, скажем, с коммутатора?

Есть вариант использовать решения по записи действий непосредственно на целевой системе в процессе работы администратора на ней, например, на сервере почты. Но, что, если такое решение не имеет агента под конкретную операционную систему? И где гарантия, что такой агент не привнесет каких-либо сбоев в работу операционной системы, особенно если это банковская система или биллинговая система оператора?

PAM-решения

Поэтому вполне ожидаемо, что появился отельный класс решений – решения для контроля привилегированных пользователей, так называемые решения PAM (Privileged Access Management).

Суть концепции Privileged Access Management в том, что те пользователи, которые могут осознанно или непреднамеренно привести к сбою сервисов или потере данных компании, должны контролироваться в обязательном порядке. То есть, все их действия должны не только записываться в специальное хранилище, но также должен быть реализован быстрый и эффективный поиск событий и действий таких администраторов при работе с целевыми системами. А еще лучше, если взаимодействие администратора с целевой системой будет также превентивно обрабатываться – таким образом, попытка выполнить опасные действия (или запрещенные команды) попросту приведет к отключению администратора от системы.

Разумеется, современные системы PAM обладают значительным функционалом, а сам рынок уже насыщен игроками (как известными, так и не очень) в этой нише. Из наиболее качественных решений можно выделить следующие: Wheel Systems FUDO PAM, CyberArc PASS, ObserveIT PAM, Hitachi ID, Liberman Software и другие.

Большинство решений Privileged Access Management обеспечивают полностью прозрачное подключение к целевым системам (серверам, оборудованию, сервисам) на основании стандартных протоколов – RDP, SSH, Telnet, HTTP и т.д. Это означает, что решения PAM работают «посредине» – между администратором и целевой системой, никак не влияя на саму целевую систему, по сути являясь неким условным прокси-сервером для различных протоколов.

Плюсы PAM решений

Итак, что вы получите, внедрив Privileged Access Management?

Первое и самое важное – отныне все ваши администраторы будут идентифицированы перед тем, как подключиться к важному сервису или серверу вашей компании. Это означает, что даже если у вас используется на всех сервисах стандартная запись Administrator с одним паролем, то даже в этом случае будет ясно, какой конкретно сотрудник ее использовал.

Второе – абсолютно любые действия будут записаны в том или ином виде, и не просто записаны, а появится возможность быстрого поиска по заданному критерию, например, команде. Таким образом, вы сразу сможете найти кто, когда и где ввел ту или иную команду. Согласитесь, получить нужный видеоролик такого действия с привязкой к пользователю и серверу за считаные секунды намного удобнее нежели изучать сотни строк журналов.

Далее, PAM-решение, по сути, не зависит от того, какую целевую систему или какого профиля специалиста вам нужно контролировать. Это означает, что одним решением вы можете контролировать всех администраторов Windows, которые используют для подключения RDP- или VNC-протокол; администраторов Unix, которые используют SSH-протокол; администраторов оборудования, которые подключаются через Telnet; администраторов баз данных Oracle и SQL; администраторов веб-порталов (HTTP/S) и тому подобное.

Для более сложных случаев и крайне важных систем вы сможете при помощи решения PAM принудительно менять пароли пользователей на целевых системах по заданным критериям и атрибутам (например, каждые 5 минут, при этом задать длину пароля, набор спецсимволов и т.п.). Это может потребоваться, если вы подозреваете, что пользователь можно самовольно обойти контроль и попытаться подключиться к такой системе напрямую, минуя PAM-решение.

Стоит отметить, что современные PAM-системы хранят всю записанную информацию и данные о целевых системах в защищенных хранилищах, что позволяет избежать краж паролей или других данных непосредственно с самих систем Privileged Access Management.

Перспективный игрок – Wheel Systems FUDO PAM

Теперь немного расскажу о решении Privileged Access Management от польской компании Wheel Systems, так как компания Wheel Systems является относительно молодым игроком на украинском рынке, но при этом предлагает очень качественный продукт, что позволило вывести ее решение не только в лидеры на польском рынке, а и предлагать его по всему миру (компания даже имеет второй офис в Кремниевой Долине в США) с 2005 года.

Успех компании Wheel Systems основан на том, что данный производитель не стремится охватить все существующие сферы информационной безопасности, а сфокусировался на всего нескольких нишах, одной из которых есть решение Wheel FUDO PAM – то есть решение по контролю привилегированных учётных записей (администраторов и пользователей).

На сегодня уже выходит версия 3.8 данного продукта, и хочется отметить, что политика позиционирования версионности решения у компании Wheel Systems особенная – компания попросту не выпускает что-либо, пока это не будет продукт близкий к совершенству. Именно поэтому предыдущая версия была 3.4, а версии 3.5-3.7 были не выпущены, так как компания посчитала, что они не соответствуют ожиданиями заказчиков.  Данный подход дает покупателям решения уверенность, что они не станут так называемыми «бета-тестерами», а получат действительно качественное решение.

Сам продукт Wheel FUDO PAM построен на базе операционной системы FreeBSD, и это полностью закрытая разработка (нельзя, например, подключиться по консоли или через SSH непосредственно к ОС), а все данные (записанные сессии, настройки, пароли) хранятся во встроенной базе данных и шифруются алгоритмом AES, что позволяет владельцам бизнеса быть уверенным в том, что даже в случае кражи Wheel FUDO PAM злоумышленник не получит ничего важного без знания пароля или специального загрузочного USB-накопителя. При этом, хочется отметить, что сама команда разработчиков Wheel Systems состоит в open source сообществе, которое и занимается разработкой и модификацией подобных операционных систем, что опять-таки дает уверенность в том, что решение будет работать стабильно и безопасно во всех отношениях. Безопасность данных настолько важна для компании Wheel Systems, что даже восстановление из резервных копий возможно только при участии вендора, после идентификации владельца этих копий!

Выделим ключевые особенности, которые может предложить компания Wheel Systems:

• Контроль администраторов на уровне все возможных протоколов: RDP, SSH, Telnet, VNX, MySQL, HTTP, MS SQL, Oracle DB и другие (включая даже такие редкие протоколы как Modbus). При этом администраторы могут подключаться, используя как привычный инструментарий (например, putty-клиент для SSH, или   Microsoft Remote Desktop для протокола RDP), так и осуществлять вход на целевые системы через специальный веб-портал.
• Полная запись всех сессий привилегированных пользователей. Причем, если это графическая сессия (через RDP, к примеру), то запись будет хранится в видео-формате, а для сессий HTTP, Oracle или MS SQL это будет полный журнал вводимых и передаваемых служебных команд, а также, ответных действий. В этом есть своя логика и удобство последующего расследования инцидентов –  ведь узнать, что администратор делал в ОС Windows намного удобнее путем просмотра видео, в то же время, провести анализ переданных команд в базу данных намного проще путем текстового поиска. А для оптимизации хранимого объема есть возможность задать интервал хранения записанных сессий с последующим автоматическим удалением по истечении заданного количества дней.
• Встроенный механизм распознавания текста (OCR) который в автоматическом режиме анализирует каждый сохраненный кадр записанных сессий в видео формате. Это важно, когда нам необходимо найти именно тот фрагмент, в котором присутствовала определенная строка или вводилась конкретная команда, то есть, по сути, все записанные видеофайлы сопровождаются текстовыми метками (а также помечаются клики устройств – клавиатуры и мыши). Причем, OCR понимает и кириллицу!
• Поиск с удобными фильтрами – есть возможность искать по конкретным пользователям, датам, целевым системам и массе других параметров. Учитывая функционал, описанный ранее (текстовые журналы и OCR-механизм), поисковая система решения Wheel FUDO PAM позволяет сразу найти, кто совершил то или иное действие (например, запустил Блокнот в Windows или ввел команду DROP TABLE, удалив таблицу в базе данных).
• Возможность on-line просмотра работы администраторов, то есть возможность скрытно наблюдать за их действиями. При этом доступны функции «заморозить» работу, прервать сессию, подключиться к сессии (перехватить управление), и, что более интересно, – «поделиться» этой сессией с третьим лицом. «Поделиться» сессией означает сгенерировать одноразовую уникальную ссылку (причем можно задать время жизни этой ссылки) и передать ее кому-либо для удаленного подключения к этой сессии (например, это может быть более опытный коллега и передача такой ссылки позволит ему подключиться и решить ту или иную проблему).
• Анализ эффективности работы администраторов. Не секрет, что часто довольно сложно оценить эффективность работы сотрудников, особенно, если это специалисты на условиях аутсорсинга с почасовой оплатой их труда. Механизм анализа эффективности позволит увидеть не только реальную активность администраторов (по отношению к общему времени открытой сессии), но и сравнить эффективность работы как целых департаментов, так и нескольких отдельно взятых сотрудников. Эта функция в Wheel FUDO PAM позволяет компании экономить выплаты внешним подрядчикам либо объективно производить начисления премий! Пример вывода такого анализа:

• Возможность ограничения функциональных возможностей протоколов. С помощью Wheel FUDO PAM можно указать такие параметры, как максимально допустимое разрешение для сессий, разрешен ли проброс буфера обмена, можно ли использовать копирование файлов при подключении и тому подобное. По сути, это еще один порог защиты вашей инфраструктуры, в том числе, от утечек важной информации.

• Управление доступами к целевым системам (серверам) подразумевает как различные механизмы хранения и подмены паролей, так и возможность принудительной смены паролей для пользователей. По сути, система PAM позволяет отграничить администраторов от знания паролей к целевым системам, что позволяет избегать ситуаций их (паролей от критически важных систем) передачи (случайно или специально) третьим лицам. Более того – Wheel FUDO PAM умеет дополнительно «перебивать» пароли доступа к целевым системам, делая их к тому же «динамичными».
• Интеграция с различными сервисами позволяет дополнительно осуществлять авторизацию пользователей на основе существующих каталогов (AD/LDAP) либо ввести дополнительный уровень безопасности с точки зрения аутентификации администраторов (например, через мульти-факторную авторизацию на базе RADUIS-сервера). А также есть возможность передачи журналов в сторонние системы сбора данных (через syslog).
• Ну и наконец, такая очень полезная функция как возможность блокировки вводимых команд! Да, Wheel FUDO PAM умеет в режиме реального времени анализировать вводимые команды на стороне пользователя и сверять их с заранее заданными правилами. В случае, если вводимая команда соответствует команде в запрещенном списке, то пользователь просто будет отсоединен от целевой системы, а ответственный офицер безопасности получит соответствующее уведомление о нарушении политик безопасности. Согласитесь, это очень хороший инструментарий (и главное – совершенно бесплатный!) для любой компании, причем, он позволяет запрещать ввод и вполне сложных конструкций (команд из нескольких слов и символов) на основе регулярных выражений.

• Отказоустойчивость обеспечивается возможностью построения кластера, при этом поддерживаются варианты с более чем двумя нодами (в том числе, между виртуальными и аппаратными устройствами).

Учитывая крайне положительный опыт и отзывы по текущим версиям решения Wheel FUDO PAM, уверен: новая версия (3.8) порадует очередными новаторскими идеями и хорошей реализацией давно ожидаемых функций. Например, производитель обещает поведенческий анализ (отклонение поведения пользователя от привычных действий), механизм дополнительного разрешения на установление сессии администратором (вышестоящий начальник или ответственное лицо должно подтвердить полномочия администратора на подключение к целевой системе), поддержку новых версий протоколов, работу с мобильными приложениями и другие интересные функции. Что ж, поживем – увидим.

Протестировать решение Wheel FUDO PAM можно, обратившись к официальному дистрибьютору в Украине – компании Обериг IT.

Александр Батуревич, технический эксперт компании Oberig IT 

Примечание: диаграммы и данные взяты из открытых источников в Internet.