CyberArk Privileged Account Security – обеспечение безопасности привилегированных аккаунтов
Практический опыт говорит о том, что привилегированные аккаунты должны быть включены в корпоративную стратегию обеспечения безопасности. Привилегированные аккаунты являются критическими элементами в системе безопасности и требуют единого решения для защиты, отслеживания и оповещения о действиях привилегированных пользователей
Общая технологическая платформа CyberArk
Digital Vault™
Запатентованное и отмеченное наградами цифровое хранилище Digital Vault представляет собой изолированный и эффективно защищённый сервер, который обеспечивает непревзойдённый уровень безопасности, реагируя только на внутренние протоколы. Уровень криптографической защиты соответствует стандарту FIPS 140-2.
Master Policy™
Master Policy – это передовые механизмы, которые позволяют определять и контролировать политику безопасности привилегированных аккаунтов в рамках простого единого интерфейса, понятного для пользователя.
Механизм обнаружения
Это средство разработано для постоянного контроля изменений в ИТ-среде и обеспечения максимальной защиты. Оно гарантирует учёт и безопасность всех операций на привилегированных аккаунтах.
Универсальная модульная архитектура с минимальным уровнем воздействия
Предлагаемое решение оказывает минимальное воздействие на систему, сохраняя инвестиции в существующую информационную инфраструктуру.
Интеграция корпоративного уровня
Решение Privileged Account Security оптимизирует имеющуюся систему, обеспечивая превосходную поддержку для широкого спектра устройств, сетей, серверов и приложений, в том числе веб-сайтов и социальных сетей.

Продукты, предлагаемые в рамках решения Privileged Account Security
В рамках этого решения предлагаются автономные продукты с независимым управлением, которые сохраняют возможность совместного использования ресурсов и данных из общей инфраструктуры. Вместе эти продукты формируют надёжное комплексное решение.
- Enterprise Password Vault™ - Защита, управление и аудит средств доступа к привилегированным аккаунтам.
- SSH Key Manager™ - Управление, обновление и защита SSH-ключей
- Privileged Session Manager™ - Мониторинг, контроль и изоляция сессий привилегированных пользователей
- Privileged Threat Analytics™ - Анализ и оповещение об угрозах в отношении привилегированных аккаунтов
- Application Identity Manager™ - Защита, управление и аудит встроенных в приложения идентификационных данных
- On-Demand Privileges Manager™ - Контроль доступа с меньшим уровнем привилегий (для систем UNIX, Linux и Windows)
- Viewfinity - Контроль приложений и учётных записей с меньшим уровнем привилегий на рабочих местах и серверах
Модули
CyberArk Privileged Session Manager
Privileged Session Manager (PSM) от компании CyberArk – это центральная точка контроля целевых систем, доступ к которым возможен через привилегированные аккаунты. Это единое решение для изоляции, контроля и мониторинга всей привилегированной активности в ЦОДах.
Привилегированные аккаунты, такие как sysadmin, root, Oracle system, Administrator в гипервизорах и Windows, и другие доминируют над всей инфраструктурой ЦОДов. Эти привилегированные аккаунты предоставляют широкий доступ и позволяют манипулировать чувствительными данными, уничтожить их и даже привести к нарушению доступности сервисов. Поскольку привилегированные аккаунты - столь мощное средство, они постоянно являются целью и внешних, и внутренних атак. Как часто Вы спрашиваете себя: кто их использует, и что с их помощью делает? Вам понадобится узнать: что вызвало остановку продуктивной системы; или увидеть в реальном времени: что происходит в рамках привилегированной сессии. Возможно, Вам нужно контролировать тех, кто пытается получить доступ, или убедиться, что третьи лица, подключающиеся к Вашим системам, смогут это сделать, но не должны знать административные пароли? Знания о том, что происходит в сессии администратора, означают, что Вы можете:
- Соответствовать требованиям аудита - Требования аудита становятся все шире и специфичнее, и Вам необходимо доказать аудитору, что Вы знаете что конкретно было сделано в данной привилегированной сессии. Множественные регулятивные документы требуют “отслеживать любой доступ к сетевым ресурсам”. Другие устанавливают принцип двойного контроля, когда для подтверждения привилегированной сессии или наблюдения за ней требуется дополнительное лицо.
- Снижать риски инсайда и кибер-атак, способных причинить урон Вашему бизнесу - В 2011 году Ponemon Institute опубликовалл исследование Insecurity of Privileged Users Survey, что в более, чем 60% случаев доступ к чувствительным или конфиденциальным данным осуществляется по не связанным с рабочими функциями причинам. Слишком много лиц в компаниях имеют неконтролируемый привилегированный доступ. В то же время, кибер-атаки стали обычным явлением, и становятся более четко спланированными, изощренными, нацеленными.
- Сократить время восстановления и минимизировать потери - Минимизируйте время расследования за счет отслеживания того, что происходит в привилегированных сессиях, и возможности поиска событий, которые могли вызвать нарушение работоспособности систем

Privileged Session Manager® позволяет:
Изолировать, контролировать и отслеживать привилегированный доступ к чувствительным серверам Windows, Unix/Linux, zOS, iSeries и сетевым устройствам. Производить видеозапись и просмотр привилегированных сессий, а также просмотр защищенного подключения в По сравнению с другими средствами мониторинга БД оперативное развертывание без риска для продуктивных бизнес-приложений или необходимости их остановки. Контролировать и отслеживать любое подключение к гипервизору или использование его привилегированных аккаунтов, видеозапись всего происходящего реальном времени. Предоставлять удаленный доступ к чувствительным системами, используя привилегированный режим «одного окна» без необходимости передавать учетные данные пользователям, например внешним поставщикам. Выступать jump-сервером, с дополнительными возможностями контроля и мониторинга сессий. Система защиты БД с нулевым воздействием на них: не влияя на производительность, но фиксируя все операции администратора БД. В отличии от других средств мониторинга БД, обеспечивает оперативное развертывание без риска для продуктивных бизнес-приложений или необходимости их остановки Контролировать и отслеживать любое подключение к гипервизору или использование его привилегированных аккаунтов, видеозапись всего происходящего без установки агентов.
Изоляция привилегированных сессий для лучшей защиты от кибер-атак
PSM обеспечивает полную изоляцию между стацией пользователя и целевой системой отделяя потенциально вредоносный код на станции от чувствительной целевой системы, устраняя риск проникновения вредоносного кода на критические системы. Защищая и изолируя такие критические активы, при этом зная, что происходит в привилегированных сессиях, Вы избегаете ошибок персонала, минимизируете угрозы инсайда и предотвращаете внешние атаки.
Гарантия постоянного мониторинга для защиты и соответствия без влияния на бизнес
Для соответствия требованиям PCI DSS, SOX, HIPAA, Basel III и многим другим Вам необходимо доказать аудиторам, что вы контролируете привилегированный доступ к чувствительным системам и обеспечиваете сбор доказательств о том, что было сделано в целевых системах, виртуальных системах, БД и веб-приложениях, как в реальном времени, так и при расследовании инцидентов.
Повышение эффективности за счет централизованного контроля и управления
Все привилегированные сессии к любым целевым системам контролируются и управляются централизованно, на основе предопределенных политик и процессов. И при определении средств контроля сессий, и при просмотре видеозаписей или событий безопасности применяется единый вебинтерфейс.
Сокращение времени на анализ и минимизацию финансовых последствий
Легкость поиска, определения и оповещения о событиях дает элементарный анализ первопричин, минимизирующий потенциальный ущерб компании вследствие нарушений безопасности или ошибок персонала. Видеозаписи помогают видеть целостную картину происходящего в сессии в более удобной форме, нежели отбор и фильтрование исчерпывающего набора логов.
Выгоды
CyberArk Discovery & Audit
Discovery & Audit (CyberArk DNA™) – это запатентованный, автономный, легкий в использовании инструмент, раскрывающий масштаб проблемы привилегированных аккаунтов в компании. Решение обеспечивает исчерпывающий список всех привилегированных аккаунтов в сети, отчет об ассоциированных с ними паролях и узлах, уязвимых для атак Pass-the-Hash.
Привилегированные аккаунты являются плацдармом внутренних и внешних атак, так как представляют собой кратчайшие пути к наиболее ценным данным компаний. Управление ими и их защита начинается с их обнаружения и оценки рисков безопасности, связанных с каждым из них. Однако систематический процесс идентификации и защиты всех привилегированных аккаунтов представляет собой серьезную проблему из-за их большого числа, отсутствия ретроспективы смены их статусов и документации, а также из-за смены сотрудников. Типично, что число разделяемых и привилегированных аккаунтов в 2-3 раза больше числа пользователей в компании. Разделяемые аккаунты существую повсюду: на рабочих станциях, переносных компьютерах, серверах, в БД, средствах защиты и сетевом оборудовании, виртуальных машинах, коде приложений, веб-приложениях – процесс поиска становится практически невозможным без специального инструмента, предназначенного для их обнаружения и идентификации. Проблема осложняется тем, что сотрудники и внешние пользователи, управляющие аккаунтами, меняются или покидают компанию, часто унося столь важные знания. Несмотря на попытки документирования и отслеживания привилегированных аккаунтов, всегда значительная их часть остается недокументированной, в силу их наследования или расширения бизнеса. Определение нахождения привилегированных аккаунтов и их числа – только первый шаг к пониманию связанных с ними рисков и уязвимостей. Старые, статичные пароли так же, как и хеши паролей в сети порождают высокий риск компрометации учетных данных. Например, атаки типа Pass-the-Hash используют уязвимости хешей для получения привилегий или доступа к ценным активам и данным. Как результат, полное понимание проблем безопасности привилегированных аккаунтов требует полного сканирования сети, аудита учетных данных и хранения хешей паролей. Обследование, аудит и понимание уязвимостей привилегированных аккаунтов может решить следующие проблемы:
- Безопасность и риск-менеджмент - Если степень риска не понятна, подразделения ИТ и безопасности не владеют информацией, требуемой для его снижения.
- Аудит и соответствие - При отсутствии в компании четкого понимания об объеме и местонахождениях привилегированных аккаунтов, у аудитора не будет достаточной информации для завершения аудита.
- Управление проектом - Если компания озаботилась проблемой привилегированных аккаунтов, расчет бюджета и ресурсов на внедрение окажутся невозможными без четкой картины проблемы.
Возможности |
Выгода |