ВНЕДРЕНИЕ СИСТЕМЫ КОНТРОЛЯ ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ (2020)

ЗАДАЧА ПЕРЕД БИЗНЕСОМ Соответствие требованиям концерна Volkswagen в части контроля привилегированного доступа. ЗАДАЧА ПЕРЕД ИБ Обеспечение контроля доступа привилегированных пользователей к информационным системам банка, повышение информативности доказательной базы о действиях привилегированных пользователей, снижение риска злоупотребления привилегированными полномочиями. РЕШЕНИЕ Система контроля привилегированного доступа (Privileged Access Management, PAM) на базе решения CyberArk Privileged Access Security. РЕАЛИЗАЦИЯ Для обеспечения отказоустойчивой архитектуры PAM-системы специалисты «Инфосистемы Джет» разместили ее в двух территориально разнесенных центрах обработки данных. Одной из особенностей проекта стал длительный период опытной эксплуатации системы, который продолжался около трех месяцев. За это время банку удалось плавно перевести сотрудников на работу с новой системой, а проектная команда интегратора смогла получить подробную обратную связь от пользователей и устранить недостатки конфигурации. Отличительной чертой проекта также стала реализация в системе функционала запроса и согласования доступа. Помимо тонкой настройки PAM-системы, специалисты интегратора адаптировали под нее действующий в финансовой организации регламент управления привилегированным доступом. Внедрение системы происходило при тесном взаимодействии инженеров интегратора и экспертов банка. Так, специалисты кредитной организации самостоятельно внедрили тестовую среду системы, руководствуясь инструкциями проектной команды «Инфосистемы Джет» и получая оперативные консультации по возникающим вопросам. С помощью тестовой среды системы специалисты «Фольксваген Банк РУС» смогут проверять обновления решения перед их применением в продуктивной среде в соответствии с принятыми в банке регламентами.

• 9 ИС. Количество информационных систем, для которых обеспечен контроль доступа привилегированных пользователей.
• 50 пользователей. Количество привилегированных пользователей, доступ которых контролирует PAM.
• 2 ЦОД. Отказоустойчивость PAM обеспечена в рамках двух ЦОД.
• 3 месяца. Длительность опытной эксплуатации PAM составила 3 месяца.

РЕЗУЛЬТАТЫ ПРОЕКТА По итогам проекта «Фольксваген Банк РУС» привел уровень защиты от инсайдерских угроз в соответствие требованиям международного концерна и решил все поставленные задачи. Система от CyberArk обеспечила контроль доступа 50 привилегированных пользователей к 9 информационным системам банка. С помощью решения ИБ-служба финансовой организации согласовывает доступ к контролируемым системам и расследует инциденты, ИТ-специалисты администрируют внутренние сервисы, прикладное ПО и базы данных, а разработчики получают временный доступ для применения обновлений продуктов банка. В дальнейших планах кредитной организации — расширить число приложений и сервисов, привилегированный доступ к которым контролируется с помощью PAM-системы. Илья Удовицкий, руководитель отдела информационной безопасности «Фольксваген Банк РУС»: «Нам было важно не только интегрировать решение в ИТ-инфраструктуру, но и в действующие процессы управления привилегированным доступом, которые приняты и функционируют в банке. В том числе мы ожидали от проекта повышения информативности доказательной базы о действиях привилегированных пользователей за счет детального сбора информации о том, кто, когда, под какой учетной записью и к каким системам подключается. Справиться со всеми поставленными задачами нам помогли специалисты “Инфосистемы Джет”».

Для защиты от намеренных или случайных деструктивных действий привилегированных пользователей в Банке СОЮЗ была внедрена система управления привилегированными учётными записями на базе решений одного из лидеров данного сегмента — компании CyberArk. Решения CyberArk используют 17 из 20 крупнейших мировых банков. Теперь они стали появляться и в России. Чем вы рискуете Все эксперты в области информационной безопасности и защиты информации сходятся во мнении, что внутренняя угроза является наиболее актуальной и масштабной для бизнеса. По некоторым оценкам, почти три четверти успешных вторжений и атак осуществляются из пределов защищаемой зоны объектов собственными сотрудниками организаций. В эту оценку вошли и атаки, осуществляемые из-за пределов компании, но с ведома или при непосредственном участии инсайдеров. Вместе с тем, в каждой организации, в каждом бизнесе, где есть хоть какие-то информационные технологии, имеются сотрудники, обладающие повышенными привилегиями в корпоративных информационных системах (КИС) - это системные администраторы, администраторы баз данных, администраторы ИБ, аутсорсеры, обслуживающие КИС. Причём большинство из них — около 70% (исследование Independent Oracle User Group) — уверены, что их работодатель или заказчик не может контролировать их деятельность. А насколько вы доверяете своим привилегированным пользователям? Главный ресурс банка Главным ресурсом банка являются деньги и знания. Причём большей частью это деньги не свои, а клиентов. И это показывает уровень ответственности сотрудников, обеспечивающих безопасность знаний о клиентах, их счетах, движении денежных средств. Что было сделано Для защиты от намеренных или случайных деструктивных действий привилегированных пользователей в Банке СОЮЗ была внедрена система управления привилегированными учётными записями на базе решений одного из лидеров данного сегмента — компании CyberArk. Решения CyberArk используют 17 из 20 крупнейших мировых банков. Теперь они стали появляться и в России. В рамках данного проекта специалисты ЭЛВИС-ПЛЮС и Банка СОЮЗ решили следующие задачи: Реализовали единую точку входа для всех привилегированных пользователей. Обеспечили соответствие требованиям Банка России по регистрации действий привилегированных пользователей. Получили возможность оперативного получения отчётов, содержащих сведения о фактах привилегированного доступа пользователей и администраторов к прикладным информационным системам, для службы ИБ и руководства банка. Определили права, обязанности и разграничили зоны ответственности персонала компании в части предоставления привилегированного доступа к различным информационным системам. Как всё работает В информационных системах банка сейчас трудятся несколько модулей комплексного решения CyberArk. «Ядром» системы является CyberArk Privileged Identity Management, который отвечает за строгую аутентификацию пользователей, хранение информации об учётных записях, событиях и инцидентах (полезность этого инструмента при проведении расследований сложно переоценить). В связке с CA PIM работает Enterprise Password Vault. Это защищённое хранилище позволяет банку хранить, управлять и отслеживать использование привилегированных учётных данных. На ключевых точках информационной инфраструктуры — серверах и базах данных — установлены модули CA Enterprise Password Vault. Они изолируют, мониторят, записывают и контролируют использование критических сервисов привилегированными пользователями. Интересной возможностью решений CyberArk является обеспечение многофакторной аутентификации пользователей даже в том случае, если целевая информационная система не поддерживает её. Пользователь аутентифицируется в единой точке системы — веб-интерфейсе, который поддерживает методы усиленной аутентификации и уже через него получает доступ к нужным сервисам и приложениям. Что в итоге От внедрения выигрывают все: банк получает отличный инструмент для контроля своих администраторов, клиенты банка — ещё один элемент уверенности в сохранности своих денег. Сергей Панов, заместитель генерального директора ЭЛВИС-ПЛЮС: «Контроль действий пользователей, имеющих максимально возможные полномочия, является одним из важнейших аспектов обеспечения ИБ. Ведь ошибка, злонамеренные или мошеннические действия с их стороны могут нанести серьезнейший урон информационным и финансовым активам компании, способны оказать критическое влияние на её бизнес. Поэтому в комплексных решениях АО «ЭЛВИС-ПЛЮС» реализация задач контроля действий привилегированных пользователей играет ключевую роль. Сочетание экспертизы ЭЛВИС-ПЛЮС и продвинутых функциональных возможностей продуктов ведущего вендора в этом сегменте рынка решений ИБ компании CyberArk позволяют эффективно и надёжно решать задачи по защите активов компаний заказчиков от внутренних угроз».

Одним из первых шагов было внесение значительных улучшений в рутинные системы контроля доступа производственных систем. При этом одной из целей National Gypsum было сделать его более безопасным, но более болезненным, когда пользователи пытались делать то, что им не следовало делать. В рамках новой модели безопасности National Gypsum команда создала больше учетных записей Active Directory для соответствия ролям в средах разработки, контроля качества и производства. Они также создали новые учетные записи для ролей SYS и «пожарный», установив стратегию с наименьшими привилегиями, когда пользователям будет предоставлен доступ по требованию только к системам, необходимым для выполнения конкретной задачи, документированным способом. Производитель внедрил решение CyberArk Privileged Access Security Solution, используя его Enterprise Password Vault® для более эффективного управления почти 2000 паролями, обеспечивая их автоматическое обновление, регулярные изменения и полный контроль. В настоящее время служба безопасности National Gypsum отвечает за все производственные учетные записи и может отслеживать, кто запрашивал доступ к системе, и что было сделано после предоставления доступа. Благодаря интеграции с Active Directory решение CyberArk устраняет необходимость в двойном управлении и обслуживании ролей, что в целом повышает операционную эффективность. National Gypsum также интегрировала решение CyberArk Application Access Manager ™ с Opalis, системой автоматизации процессов. Opalis отвечает за выполнение многочисленных задач по автоматизации ИТ на серверах и в приложениях производителя. Интеграция с Application Access Manager позволила National Gypsum удалить конфиденциальные (на уровне администратора домена) жестко запрограммированные пароли из заданий Opalis и воспользоваться возможностями безопасного кэширования для обеспечения непрерывности бизнеса даже в случае сбоя сети. Как правило, сотрудникам предоставляется уровень привилегий, который они могут либо применять неправильно и нанести некоторый ущерб привилегированной системе, на которую им были предоставлены повышенные права, либо получить доступ к конфиденциальной информации. Браннон говорит: «В National Gypsum мы позаботились о том, чтобы у людей был только тот уровень доступа, который необходим. Это предотвращает непреднамеренное отключение производственных систем пользователями, поскольку они имеют доступ к данным и / или процессам вне своих обычных потребностей. По умолчанию мы отказываем, а затем разрешаем на основе потребностей, предоставленных одобрением». Работа с CyberArk также помогла стимулировать новые бизнес-инициативы, такие как развертывание SAP National Gypsum, «которое предоставило возможность сделать все правильно», сказал Брэннон. Например, National Gypsum использовала свое развертывание SAP во внешнем центре обработки данных, чтобы установить более строгие средства управления системой и соответствующие уровни доступа. По словам Брэннона, некоторые внутренние сотрудники сказали, что такой подход не будет работать в компании, и что у National Gypsum не было персонал?

Внедрение решения Cyber-Ark PIM для контроля и управления удаленным доступом к информационным системам банка ВТБ 24 разработка проекта: июль 2013 Компания ARinteg выполнила проект по внедрению решения Cyber-Ark PIM для контроля и управления удаленным доступом к информационным системам банка ВТБ 24 Цель проекта Основной целью проекта являлось снижение рисков для бизнес-процессов в информационных системах банка ВТБ 24, связанных с неконтролируемыми действиями специалистов, осуществляющих эксплуатацию и обслуживание элементов ИТ-инфраструктуры. Задачи проекта: — Повышение эффективности производственной деятельности специалистов, осуществляющих эксплуатацию и обслуживание элементов ИТ-инфраструктуры; — Сведение к минимуму угроз, связанных с осуществлением удаленного доступа к соответствующим элементам ИТ-инфраструктуры; — Создать возможность осуществления доступа только тех специалистов, которым разрешен такой доступ, и только к тем элементам ИТ-инфраструктуры, к которым им доступ разрешен. О продукте Подсистема регистрации операций управления информационными системами для банка ВТБ 24 создана на базе решения Cyber-Ark PIM. Cyber-Ark Privileged Identity Manager - система управления привилегированными учётными записями, которая обеспечивает единую точку входа в ИТ-системы, исключающей разглашение идентификационной и аутентификационной информации конечным пользователям (администраторам). Система имеет прозрачный механизм обработки и согласования заявок на предоставление доступа. Решение предназначено для организации защищенного доступа персонала, осуществляющего обслуживание элементов ИТ-инфраструктуры, а также регистрации всех действий, осуществляемых в процессе выполнения работ по обслуживанию. Итоги проекта Проект был выполнен в запланированные сроки. В результате внедрения решения удалось достигнуть поставленных целей: была усилена информационная безопасность, увеличена продуктивность управления информационными системами и значительно снижены инсайдерские угрозы. Созданная система полностью оправдала ожидания клиента.

Задачи Телекоммуникационный рынок Украины является высококонкурентным, рост количества поставщиков диктует свои требования к масштабируемости технологий и гибкости работы с новыми партнерами. Существующая инфраструктура обмена конфиденциальными данными с партнерами не в полной мере соответствовала быстроменяющимся задачам бизнеса. Требовался новый подход к построению безопасных каналов передачи конфиденциальной информации с каждым новым партнером. Общий тренд рынка к переводу неосновных активов на аутсорсинг и аутстаффинг ставил новые задачи по обеспечению безопасности доступа третьих лиц к критическим системам компании. Наличие административного доступа к критическим системам несет серьёзную угрозу работе компании. Традиционных систем контроля не достаточно. Требовалось найти удобный и функциональный инструмент для решения поставленных задач. Результаты Интеграция решений CyberArk в инфраструктуру компании позволила обеспечить необходимый уровень безопасности при передаче конфиденциальных данных и контролю доступа к критическим системам. CyberArk SIM позволяет организовать новый безопасный канал обмена с партнерами в считанные минуты. Шифрование информации при хранении и в процессе передачи гарантирует конфиденциальность и целостность данных компании. CyberArk PAS позволяет деанонимизировать административные учетные записи, повысить уровень контроля и безопасности доступа к критическим системам. Наличие данного инструмента позволяет службе информационной безопасности контролировать действия третьих лиц при доступе к критическим системам компании и обеспечивать необходимый уровень безопасности в меняющихcя условиях. Киевстар - лидер телекоммуникационного рынка Украины. Предоставляет услуги мобильной связи, широкополосного доступа в Интернет и многие другие более чем 25 миллионам абонентов Украины. Работает на рынке под брендами Киевстар и Beeline. Компания имеет широкую партнерскую сеть для более полного удовлетворения потребностей клиентов. Индустрия: телекоммуникационные услуги Ежегодный доход: более 1 млрд. $ Количество сотрудников: более 4000 Количество абонентов: более 25 млн. Используемые продукты: CyberArk SIM, CyberArk PAS Решение Одним из первых шагов стало определение требований к новому продукту: безопасность, унификация, удобство администрирования, отказоустойчивость и масштабирование. Проведя анализ доступных решений на рынке, были выбраны решения CyberArk: Sensitive Information Management – для хранения и передачи конфиденциальной информаций, Privileged Account Security – для контроля привилегированного доступа к критическим системам компании. В основе выбранных систем лежит запатентованное хранилище CyberArk Digital Vault, многоуровневая система защиты которого гарантирует безопасность хранимой в нем информации. Модульность выбранных систем позволяет гибко масштабировать инфраструктуру в зависимости от реальных потребностей. Результат и ключевая выгода: Автоматизированный безопасный обмен данными с третьими лицами. Удобный инструмент создания новых каналов передачи данных. Защищенное хранилище конфиденциальной информации Контроль доступа третьих лиц к критическим системам Деанонимизация административных учетных записей Автоматизация управления паролями Соответствие стандартам