CyberArk Privileged Account Security

Бренд: CyberArk
Тип: Защита привилегированных аккаунтов

CyberArk Privileged Account Security – обеспечение безопасности привилегированных аккаунтов

Практический опыт говорит о том, что привилегированные аккаунты должны быть включены в корпоративную стратегию обеспечения безопасности. Привилегированные аккаунты являются критическими элементами в системе безопасности и требуют единого решения для защиты, отслеживания и оповещения о действиях привилегированных пользователей

Общая технологическая платформа CyberArk

Digital Vault™

Запатентованное и отмеченное наградами цифровое хранилище Digital Vault представляет собой изолированный и эффективно защищённый сервер, который обеспечивает непревзойдённый уровень безопасности, реагируя только на внутренние протоколы. Уровень криптографической защиты соответствует стандарту FIPS 140-2.

Master Policy™

Master Policy – это передовые механизмы, которые позволяют определять и контролировать политику безопасности привилегированных аккаунтов в рамках простого единого интерфейса, понятного для пользователя.

Механизм обнаружения

Это средство разработано для постоянного контроля изменений в ИТ-среде и обеспечения максимальной защиты. Оно гарантирует учёт и безопасность всех операций на привилегированных аккаунтах.

Универсальная модульная архитектура с минимальным уровнем воздействия

Предлагаемое решение оказывает минимальное воздействие на систему, сохраняя инвестиции в существующую информационную инфраструктуру.

Интеграция корпоративного уровня

Решение Privileged Account Security оптимизирует имеющуюся систему, обеспечивая превосходную поддержку для широкого спектра устройств, сетей, серверов и приложений, в том числе веб-сайтов и социальных сетей.

cyberark_pas.png

Продукты, предлагаемые в рамках решения Privileged Account Security

В рамках этого решения предлагаются автономные продукты с независимым управлением, которые сохраняют возможность совместного использования ресурсов и данных из общей инфраструктуры. Вместе эти продукты формируют надёжное комплексное решение.

  • Enterprise Password Vault™ - Защита, управление и аудит средств доступа к привилегированным аккаунтам.
  • SSH Key Manager™ - Управление, обновление и защита SSH-ключей
  • Privileged Session Manager™ - Мониторинг, контроль и изоляция сессий привилегированных пользователей
  • Privileged Threat Analytics™ - Анализ и оповещение об угрозах в отношении привилегированных аккаунтов
  • Application Identity Manager™ - Защита, управление и аудит встроенных в приложения идентификационных данных
  • On-Demand Privileges Manager™ - Контроль доступа с меньшим уровнем привилегий (для систем UNIX, Linux и Windows)
  • Viewfinity - Контроль приложений и учётных записей с меньшим уровнем привилегий на рабочих местах и серверах

Модули


CyberArk Privileged Session Manager

Privileged Session Manager (PSM) от компании CyberArk – это центральная точка контроля целевых систем, доступ к которым возможен через привилегированные аккаунты. Это единое решение для изоляции, контроля и мониторинга всей привилегированной активности в ЦОДах.

Привилегированные аккаунты, такие как sysadmin, root, Oracle system, Administrator в гипервизорах и Windows, и другие доминируют над всей инфраструктурой ЦОДов. Эти привилегированные аккаунты предоставляют широкий доступ и позволяют манипулировать чувствительными данными, уничтожить их и даже привести к нарушению доступности сервисов. Поскольку привилегированные аккаунты - столь мощное средство, они постоянно являются целью и внешних, и внутренних атак. Как часто Вы спрашиваете себя: кто их использует, и что с их помощью делает? Вам понадобится узнать: что вызвало остановку продуктивной системы; или увидеть в реальном времени: что происходит в рамках привилегированной сессии. Возможно, Вам нужно контролировать тех, кто пытается получить доступ, или убедиться, что третьи лица, подключающиеся к Вашим системам, смогут это сделать, но не должны знать административные пароли? Знания о том, что происходит в сессии администратора, означают, что Вы можете:

  • Соответствовать требованиям аудита - Требования аудита становятся все шире и специфичнее, и Вам необходимо доказать аудитору, что Вы знаете что конкретно было сделано в данной привилегированной сессии. Множественные регулятивные документы требуют “отслеживать любой доступ к сетевым ресурсам”. Другие устанавливают принцип двойного контроля, когда для подтверждения привилегированной сессии или наблюдения за ней требуется дополнительное лицо.
  • Снижать риски инсайда и кибер-атак, способных причинить урон Вашему бизнесу - В 2011 году Ponemon Institute опубликовалл исследование Insecurity of Privileged Users Survey, что в более, чем 60% случаев доступ к чувствительным или конфиденциальным данным осуществляется по не связанным с рабочими функциями причинам. Слишком много лиц в компаниях имеют неконтролируемый привилегированный доступ. В то же время, кибер-атаки стали обычным явлением, и становятся более четко спланированными, изощренными, нацеленными.
  • Сократить время восстановления и минимизировать потери - Минимизируйте время расследования за счет отслеживания того, что происходит в привилегированных сессиях, и возможности поиска событий, которые могли вызвать нарушение работоспособности систем
cyberark_psm.png

Privileged Session Manager® позволяет:

Изолировать, контролировать и отслеживать привилегированный доступ к чувствительным серверам Windows, Unix/Linux, zOS, iSeries и сетевым устройствам. Производить видеозапись и просмотр привилегированных сессий, а также просмотр защищенного подключения в По сравнению с другими средствами мониторинга БД оперативное развертывание без риска для продуктивных бизнес-приложений или необходимости их остановки. Контролировать и отслеживать любое подключение к гипервизору или использование его привилегированных аккаунтов, видеозапись всего происходящего реальном времени. Предоставлять удаленный доступ к чувствительным системами, используя привилегированный режим «одного окна» без необходимости передавать учетные данные пользователям, например внешним поставщикам. Выступать jump-сервером, с дополнительными возможностями контроля и мониторинга сессий. Система защиты БД с нулевым воздействием на них: не влияя на производительность, но фиксируя все операции администратора БД. В отличии от других средств мониторинга БД, обеспечивает оперативное развертывание без риска для продуктивных бизнес-приложений или необходимости их остановки Контролировать и отслеживать любое подключение к гипервизору или использование его привилегированных аккаунтов, видеозапись всего происходящего без установки агентов.

    Выгоды

  1. Изоляция привилегированных сессий для лучшей защиты от кибер-атак

    PSM обеспечивает полную изоляцию между стацией пользователя и целевой системой отделяя потенциально вредоносный код на станции от чувствительной целевой системы, устраняя риск проникновения вредоносного кода на критические системы. Защищая и изолируя такие критические активы, при этом зная, что происходит в привилегированных сессиях, Вы избегаете ошибок персонала, минимизируете угрозы инсайда и предотвращаете внешние атаки.

  2. Гарантия постоянного мониторинга для защиты и соответствия без влияния на бизнес

    Для соответствия требованиям PCI DSS, SOX, HIPAA, Basel III и многим другим Вам необходимо доказать аудиторам, что вы контролируете привилегированный доступ к чувствительным системам и обеспечиваете сбор доказательств о том, что было сделано в целевых системах, виртуальных системах, БД и веб-приложениях, как в реальном времени, так и при расследовании инцидентов.

  3. Повышение эффективности за счет централизованного контроля и управления

    Все привилегированные сессии к любым целевым системам контролируются и управляются централизованно, на основе предопределенных политик и процессов. И при определении средств контроля сессий, и при просмотре видеозаписей или событий безопасности применяется единый вебинтерфейс.

  4. Сокращение времени на анализ и минимизацию финансовых последствий

    Легкость поиска, определения и оповещения о событиях дает элементарный анализ первопричин, минимизирующий потенциальный ущерб компании вследствие нарушений безопасности или ошибок персонала. Видеозаписи помогают видеть целостную картину происходящего в сессии в более удобной форме, нежели отбор и фильтрование исчерпывающего набора логов.


CyberArk Discovery & Audit

Discovery & Audit (CyberArk DNA™) – это запатентованный, автономный, легкий в использовании инструмент, раскрывающий масштаб проблемы привилегированных аккаунтов в компании. Решение обеспечивает исчерпывающий список всех привилегированных аккаунтов в сети, отчет об ассоциированных с ними паролях и узлах, уязвимых для атак Pass-the-Hash.

Привилегированные аккаунты являются плацдармом внутренних и внешних атак, так как представляют собой кратчайшие пути к наиболее ценным данным компаний. Управление ими и их защита начинается с их обнаружения и оценки рисков безопасности, связанных с каждым из них. Однако систематический процесс идентификации и защиты всех привилегированных аккаунтов представляет собой серьезную проблему из-за их большого числа, отсутствия ретроспективы смены их статусов и документации, а также из-за смены сотрудников.

Типично, что число разделяемых и привилегированных аккаунтов в 2-3 раза больше числа пользователей в компании. Разделяемые аккаунты существую повсюду: на рабочих станциях, переносных компьютерах, серверах, в БД, средствах защиты и сетевом оборудовании, виртуальных машинах, коде приложений, веб-приложениях – процесс поиска становится практически невозможным без специального инструмента, предназначенного для их обнаружения и идентификации. Проблема осложняется тем, что сотрудники и внешние пользователи, управляющие аккаунтами, меняются или покидают компанию, часто унося столь важные знания. Несмотря на попытки документирования и отслеживания привилегированных аккаунтов, всегда значительная их часть остается недокументированной, в силу их наследования или расширения бизнеса.

Определение нахождения привилегированных аккаунтов и их числа – только первый шаг к пониманию связанных с ними рисков и уязвимостей. Старые, статичные пароли так же, как и хеши паролей в сети порождают высокий риск компрометации учетных данных. Например, атаки типа Pass-the-Hash используют уязвимости хешей для получения привилегий или доступа к ценным активам и данным. Как результат, полное понимание проблем безопасности привилегированных аккаунтов требует полного сканирования сети, аудита учетных данных и хранения хешей паролей.

Обследование, аудит и понимание уязвимостей привилегированных аккаунтов может решить следующие проблемы:

  • Безопасность и риск-менеджмент - Если степень риска не понятна, подразделения ИТ и безопасности не владеют информацией, требуемой для его снижения.
  • Аудит и соответствие - При отсутствии в компании четкого понимания об объеме и местонахождениях привилегированных аккаунтов, у аудитора не будет достаточной информации для завершения аудита.
  • Управление проектом - Если компания озаботилась проблемой привилегированных аккаунтов, расчет бюджета и ресурсов на внедрение окажутся невозможными без четкой картины проблемы.

    Возможности

  • Простота процедуры сканирования - элементарный трехэтапный процесс, не требующий установки ПО, сканирует все каталоги для поиска привилегированных, разделяемых и общих аккаунтов на рабочих станциях и серверах.
  • Графическое предоставление результата - простой, лаконичный формат для менеджмента о рисках и соответствии аккаунтов.
  • Детальная отчетность – детальный отчет - является единственной верной версией обо всех привилегированных аккаунтах, уязвимостях Pass-the- Hash и статусе каждого аккаунта.
  • Схема уязвимостей Pass-the-Hash - иллюстрирует как злоумышленник может использовать уязвимости Pass-the-Hash через связь узлов для доступа к целевой системе.
  • Карта доверий ключей SSH - визуальное отображение всех ключей SSH (включая повреждённые пары) иллюстрирует доверительные отношения, которые позволяют доступ к привилегированным учетным записям.
  • Индикативное оповещение - отчет содержит индикаторы о проблемах, таких как некорректное использование аккаунта и уязвимости Pass-the-Hash
  • Глубокое сканирование с минимальным воздействием на производительность - многопоточное приложение, расходуя минимум пропускной способности сети и процессорной мощности, без внесения какихлибо изменений, в режиме «только чтение», быстро проводит сканирование контроллеров доменов и целевых машин.

    Выгода

  • По обнаружению каждого привилегированного аккаунта определяется степень риск - быстрый, точный отчет о числе и статусах позволяет немедленно засечь неизвестные или неверно управляемые аккаунты и действовать без промедления.
  • Уязвимости к конкретным атакам становятся очевидны - идентификация хешей привилегированных паролей обеспечивает понимание ключевых уязвимостей Pass-the-Hash, оптимизируя планирование и внедрение.
  • Сокращение ценного времени и затрат на подготовку к аудиту - аудиторы получают достоверный, скоррелированный и исчерпывающий отчет о состоянии привилегированных аккаунтов, заменяющий сложные и затратные методы получения такой информации.
  • Прозрачность проблем и решений привилегированных аккаунтов - просто и достоверно представляется масштаб проблемы, оптимальный подход к планированию, бюджетированию и развертыванию решения.
  • Внедрение полноценного решения - CyberArk, лидер рынка предлагает всесторонние средства для контроля, мониторинга, управления и наблюдения за привилегированными аккаунтами. Это готовое решение начинается с критичной функции аудита и обнаружения всех привилегированных аккаунтов в сети.
Получите техническую консультацию