Заказчик
Заказчиком проекта выступала крупная нефтегазодобывающая компания. Работает на территории Иркутской области, Республики Саха (Якутия), Красноярского края. Занимается геологическим изучением, разведкой и добычей углеводородного сырья.
Входит в двадцатку крупнейших российских нефтяных компаний по запасам углеводородного сырья. Включена в рейтинг 30 самых быстроразвивающихся компаний России.
На настоящий момент холдинг представляет собой разветвленную структуру с множеством дочерних предприятий. Способен собственными силами вести добычу нефти на всех этапах, начиная от разведки месторождений и заканчивая транспортировкой.
На предприятиях группы компаний работает свыше 10 000 специалистов.
Ситуация
Для крупного предприятия с территориально распределенной инфраструктурой, каким и является Заказчик, вопрос безопасности доступа к ИТ-системам имеет высокий приоритет. В рамках проекта необходимо было минимизировать угрозы, связанные с контролем предоставления доступа к критически важным ИТ-активам для сотрудников подрядных организаций и системных администраторов.
Перед специалистами ISIB в данном проекте стояли задачи:
1. Изолировать привилегированные сессии.
2. Отслеживать в реальном времени выполнение работ в информационной системе.
3. Унифицировать доступ к привилегированным учетным записям для программных, аппаратных и программно-аппаратных систем и приложений.
Решение
В качестве решения была выбрана система контроля действий привилегированных пользователей на базе продукта CyberArk PAS – мирового лидера в этом сегменте.
Исходя из технического задания и выделенных аппаратных ресурсов, в процессе внедрения была развернута инфраструктура CyberArk PAS в следующем составе:
Безопасное хранилище конфиденциальных данных (Enterprise Digital Vault).
Полнофункциональный веб-интерфейс, предоставляющий единую консоль для запроса доступа и управления привилегированными паролями по всему предприятию как конечными пользователями, так и администраторами (Password Vault Web Access).
Диспетчер политик безопасности для управления паролями. Позволяет автоматически проверять пароли на удаленных компьютерах и при необходимости изменять их (Central Policy Manager).
Менеджер привилегированных сеансов – полноценное решение для изоляции, контроля и мониторинга доступа к привилегированным аккаунтам и их деятельности в критических системах на основе UNIX, Linux и Windows в базах данных, виртуальных машинах, сетевых устройствах, мейнфреймах, веб-сайтах, SaaS и др. Оно обеспечивает единственную точку доступа, предотвращает проникновение в систему вредоносных программ и регистрирует каждое нажатие с клавиатуры и мыши в процессе непрерывного мониторинга.
Подключение к службе удаленного доступа на основе SaaS, которая интегрируется с Core PAS для полной видимости и контроля удаленных привилегированных действий без необходимости использования VPN, агентов или паролей (CyberArk Remote Access [Alero]).
Менеджер привилегированных сеансов для SSH – позволяет защищать, контролировать и отслеживать привилегированный доступ к сетевым устройствам по протоколу SSH (Privileged Session Manager для SSH).
Шлюз HTML5 - компонент для обеспечения безопасного удаленного доступа к целевой машине через HTML5. Шлюз HTML5 туннелирует сеанс между конечным пользователем и компьютером PSM, используя защищенный протокол WebSocket (порт 443). Вместо того, чтобы открывать соединение RDP, конечному пользователю требуется только веб-браузер для установления соединения с удаленным компьютером через PSM (PSM HTML5 Gateway).
Система анализа угроз привилегированного доступа - компонент отслеживает использование привилегированных учетных записей, управляемых в PAM, а также учетных записей, которые еще не управляются CyberArk, и ищет признаки злоупотребления или неправомерного использования платформы CyberArk (Privileged Threat Analytics).
Автоматическое обнаружение дополнений или изменений в системах, включая серверы, рабочие станции, гипервизоры и др.
Возможность подключения “по щелчку мыши” без демонстрации пароля конечному пользователю и защищённое централизованное корпоративное управление паролями.
Постоянная верификация профилей доступа, а также автоматическое восстановление и сброс паролей при отсутствии синхронизации.
Изоляция, управление, мониторинг и регистрация привилегированных сессий, а также их деятельности в критических системах в режиме реального времени на основе UNIX, Linux и Windows в базах данных, виртуальных машинах, сетевых устройствах, SAP, мейнфреймах, веб-сайтах, SaaS и др.
Распространение мониторинга привилегированной сессии на любое приложение-клиент, веб-приложение или веб-сайт с особым вариантом подключения.
Видеозапись и детализированное логирование привилегированных сессий. Безопасное хранение всех записей сессий и логов во взломоустойчивом сейфе.
Индексирование вводимых команд и запускаемых приложений по времени для эффективного и быстрого поиска по базе записей.
Моментальное прерывание подозрительных сессий.
Анализ использования привилегированных аккаунтов для создания профиля поведения.
Информирование об аномальной активности.
Экспертный анализ поведения пользователей и объектов на целевых системах с помощью динамических, самообучающихся запатентованных алгоритмов.
Доступ с нулевым доверием для внешних пользователей, гарантирующий, что пользователи подтверждают личность каждый раз, когда им требуется доступ к критически важным активам.
Оптимизация операций за счёт устранения виртуальных частных сетей (VPN), агентов и учетных данных, необходимых для удаленного доступа подрядных организаций, и предоставление доступа со сквозным шифрованием.
Биометрическая многофакторная аутентификация, использующая возможности смартфонов для подтверждения личности с помощью встроенных методов авторизации и динамических QR-кодов.
Удобный процесс предоставления удаленного доступа для сотрудников и подрядных организаций к CyberArk с поддержкой прямого или делегированного предоставления доступа.
+7 (3952) 500-677
info@isib.ru
г. Иркутск,
ул. Лермонтова, 90/1,
6 этаж
664074, г. Иркутск,
а/я 143
© Cибирский центр информационных технологий, 2023
