2015 08 26 ИБ Стратегия обороны серия №7
TRANSCRIPT
ИБ: СТРАТЕГИЯ ОБОРОНЫ
26.08.2015
Серия седьмая: Системы контроляпривилегированных пользователей
Гаврилов Вадимведущий системный инженер
Зверева Татьянасистемный инженер первой категории
2 из 20
Серия вебинаров «ИБ: Стратегия обороны» Серия первая. Устав караульной службы (13.04.2015)
Планирование и внедрение систем защиты информации Серия вторая. Почему порядок не убираете? (27.04.2015)
Системы контроля доступа к информации Серия третья. Разновидности колючей проволоки (20.05.2015)
Системы контроля доступа к устройствам Серия четвертая. Таможня дает «добро»! (ч. I ) (3.06.2015)
Системы защиты от утечек Серия четвертая. Таможня дает «добро»! (ч. II) (17.06.2015)
Системы защиты от утечек Серия пятая. Будни контрразведчика: шпионаж, саботаж, макияж (29.07.2015)
Системы контроля персонала Серия шестая. Фельдъегеря: перед прочтением съесть (12.08.2015)
Системы управления правами доступа к документам Серия седьмая. Самый опасный род войск неприятеля - это свои предатели
(26.08.2015) Системы контроля привилегированных пользователей
Серия восьмая. Космические войска: вторжение внеземных технологий (23.09.2015) Системы обнаружения целевых атак
Протокол
Длительность вебинара составит 1 час
Вопросы можно задавать по ходу вебинара на вкладке questions
Есть приз за самое активное участие!
Обратная связь по адресу [email protected]
Запись вебинара будет выслана всем зарегистрировавшимся!
P.S. Кого рекламируем?
3 из 20
О чем эта презентация? Формулировка проблемы Решение: что это такое и зачем это нужно Архитектура Функциональные возможности Как это работает? Преимущества и недостатки Интеграция Границы применимости Как выбрать? Типичные представители
4 из 20
Формулировка проблемы Привилегированные пользователи - необходимость,
но они являются источником повышенного риска: имеют доступ к критичным данным и ключевым элементам
инфраструктуры подвержены обидам и коррупции как обычные пользователи могут быть посторонними для организации людьми умеют не только красть и уничтожать информацию и
инфраструктуру, но и эффективно скрывать следы Привилегированные записи vs.
Привилегированные пользователи Привилегированные учетные
записи могут нанести бизнесукритический ущерб
5 из 20
Решение: что это такое и зачем это нужно Оставить как есть
Работа с кадрами
Организационные меры
Физический контроль
Использованиеспециализированныхсредств контроля
6 из 20
Серверные сегментыАрхитектура
7 из 20
Серверы
СУБД
Серверы
Приложений
Серверы
Windows
Серверы
Linux
Среда
виртуализации
Активное
сетевое
оборудование
Хранилище
Серверы
службы
каталогов
Сервер доступаПривилегированные
пользователи
Архитектура: схема включения в сеть
8 из 20
Сегменты
привилегирован-
ных
пользователей
Сегменты
серверов
Сервер
доступа
Сетевой мост (bridge) / L2
Маршрутизация / L3
Бастион / L6
Функциональные возможности Изоляция привилегированных пользователей
Защита и управление привилегированными учетными записями
Контроль сессий привилегированных пользователей
Обнаружение привилегированных учетных записей
9 из 20
Как это работает: обнаружение Обнаружение привилегированных записей:
на рабочих станциях и серверах под управлением ОС Windows Linux-based ОС
на сетевых устройствах в средах виртуализации
Сбор статистики по привилегиро-ванным учетным записям дата последней регистрации членство в группах для чего используется
10 из 20
Как это работает: изоляция Доступ к целевым системам
только через сервер доступа
только с конкретных конечных точек
только к тем системам, к которым доступ необходим именно сейчас
11 из 20
Как это работает: защита и управление Доступ к целевым системам
только для пользователей, прошедших аутентификацию (возможно, многофакторную)
только от имени учетных записей, соответствующих политикам безопасности
Управление выдача учетных записей по запросу
внедрение политик управленияучетными записями
12 из 20
Как это работает: контроль сессий Просмотр в реальном времени, запись и
воспроизведение сессий Индексация содержимого, поиск по ключевым словам Оптическое распознавание символов (для записей
RDP-сессий) Контроль буфера обмена, подклю-
чаемых носителей и др.(для RDP-сессий)
Блокировка запрещенных действий Информирование офицера ИБ
13 из 20
Преимущества и недостатки Преимущества:
все привилегированные записи известны и находятся под контролем единая точка доступа к ключевым элементам инфраструктуры предотвращение потенциально-опасных действий архив записей сессий доступа к ключевым элементам инфраструктуры уменьшение поверхности атаки строгие политики безопасности учетных записей даже для систем,
которые сами не могут их поддерживать Недостатки:
необходимость изменения топологии сети необходимость наведения порядка
в производственных процессах психологические проблемы организационные проблемы дефицит кадров
14 из 20
Интеграция Системы управления идентификацией (Identity
Management, IdM)
Системы управления инцидентами ИБ (Security Information and Event Management, SIEM)
Системы предотвращения утечек (Data Loss Prevention, DLP)
Целевые системы: автоматизацияизменений учетных записей
Целевые системы: контроль работы
15 из 20
Границы применимости
16 из 20
Ограничения, связанные с используемыми протоколами
Ограничения интеграции
Человеческий фактор
Сложные атаки
Как выбрать Архитектура
физические устройства виртуальные устройства отказоустойчивость наличие выделенного защищенного хранилища
Архитектура включения в сеть Технические возможности Состав решения Интеграция Производитель Стоимость
17 из 20
Типичные представители
18 из 20
Краткие итоги Системы контроля привилегированных учетных
записей это: обнаружение персонифицированных и сервисных учетных
записей в сети
изоляция пользователей от целевых систем
сужение поверхности атаки
аудит действий пользователей
реализация сложныхполитик безопасности
19 из 20
Гаврилов Вадим[email protected]
ООО «УЦСБ»620100, Екатеринбург, ул. Ткачей, д. 6
Тел.: +7 (343) 379-98-34Факс: +7 (343) 209-57-38
Спасибо за внимание!Пожалуйста, задавайте вопросы!
Следующая серия: Космические войска -вторжение внеземных технологий
Системы обнаружения целевых атак
23.09.2015
Ваши комментарии и предложения Вы можете присылать по адресу: