Платформа СКДПУ НТ от «АйТи БАСТИОН»

Вигель Антонов

Продукты PAM-платформы СКДПУ НТ производства компании «АйТи БАСТИОН» образуют комплекс, в котором основной модуль Шлюз доступа дополняется новым функционалом за счет модуля Мониторинг и аналитика. Расширение возможностей Шлюза доступа направлено на повышение удобства и эффективности его использования в сложных информационных инфраструктурах. Это достигается посредством его интеграции для совместной работы со смежными системами ИБ, добавлением расширенной аналитики и аудита, а также контроля соответствия нормативным требованиям.

СКДПУ НТ является системой класса PAM (Privileged Access Management), которая занимается сбором статистических данных в отношении действий привилегированных пользователей по разным критериям, включая: учетную запись, целевое устройство, операции и выполненные команды, параметры сессий, а также файлы, к которым осуществлялся доступ.

Функционал позволяет формировать журналы, которые содержат информацию об активности привилегированных пользователей. Данная статистическая информация может быть использована для формирования поведенческой модели пользователя и определения уровня доверия к нему. Анализ действий пользователя позволяет выявлять нарушения политик безопасности на ранних стадиях и предотвращает возможные утечки информации.

СКДПУ НТ – постоянно развиваемая и совершенствуемая программная платформа, компоненты которой отвечают за отдельные области информационной безопасности и защиты данных в части контроля привилегированных пользователей. Входящий в состав платформы модуль «СКДПУ НТ Мониторинг и аналитика» – это система контроля действий привилегированных пользователей, обладающая широкой функциональностью и использующая в своей работе математические модели.

Основной компонент PAM-платформы СКДПУ НТ – Шлюз доступа – в первую очередь отвечает за применение политик доступа, а также за сбор и запись данных сессий привилегированных пользователей. При этом функции анализа сессий, обнаружения и превентивного реагирования, а также поиска характерных событий в статистических данных реализованы в другой подсистеме – «СКДПУ НТ Мониторинг и аналитика».

Основная задача данного модуля заключается в уменьшении объема информации для ручного анализа сотрудниками подразделения ИБ. Данное решение позволяет реализовать репрезентативный мониторинг, глубокую аналитику с методами поведенческого анализа и обнаружения аномалий, расширить интеграционные возможности со смежными системами контура информационной безопасности, а также автоматизировать выполнение основных задач по контролю действий привилегированных пользователей.

«СКДПУ НТ Мониторинг и аналитика» отвечает за сбор и анализ статистической информации о действиях пользователей, поступающей от компонента платформы Шлюз доступа, а также осуществляет обработку данных по алгоритмам сравнения паттернов, математической статистики и машинного обучения, исключая необходимости проведения анализа в ручном режиме.

Модуль предоставляет возможность идентифицировать потенциально опасные отклонения от нормального поведения пользователей как на основе используемых алгоритмов обработки и детекторов аномалий, так и в автоматическом режиме.

Просмотр цифровых профилей пользователя в окне «персоны».

Совместное использование Шлюза доступа и модуля Мониторинг и аналитика в платформе СКДПУ НТ является оптимальным решением для обеспечения безопасной работы привилегированных пользователей. Это достигается за счет автоматизированного контроля их действий на основе централизованного анализа, выявления и превентивного реагирования на потенциальные инциденты информационной безопасности при доступе к информационным ресурсам организации. Такая комбинация двух продуктов позволяет полноценно включать систему контроля действий привилегированных пользователей СКДПУ НТ в процессы SOC (Security Operations Center) организации.

Подсистема СКДПУ НТ Мониторинг и аналитика предоставляет следующие группы функциональных возможностей:

• мониторинг и централизованный поиск. Формирование и анализ сводных отчетов по разным критериям, например, по учетным записям, по активностям на целевых устройствах и системах, по выполняемым командам и действиям, по количеству сессий и загруженным файлам;
• цифровой профиль пользователя: формируется на основании набора стандартных сценариев и действий привилегированного пользователя посредством анализа статистических данных мониторинга и составления карты действий, характерных для каждого отдельного пользователя во время работы с информационной инфраструктурой (корректируемый и дополняемый в процессе работы);
• отчеты и статистика: предоставляются сводные отчеты по разным критериям, например, по учетным записям, по активности на целевых устройствах и системах, по выполняемым командам и действиям, по количеству сессий и загруженным файлам;
• выявление аномалий: анализ различных параметров действий привилегированных пользователей для обнаружения критичных отклонений от его «стандартного поведения»;
• анализ событий по «тепловым картам»: анализ активности привилегированных пользователей и работа с инцидентами на основе метода «тепловых карт» для наглядного представления обобщенной информации.

Совместное использование «СКДПУ НТ Шлюз доступа» с модулем Мониторинга и аналитики характеризуется следующими преимуществами:

• комплексная функциональность расширенного мониторинга и углубленной аналитики в едином компоненте;
• поддержка полнотекстового поиска в массиве собранных статистических данных;
• наличие сводных отчетов, с возможностью автоматизированного формирования по заданному расписанию;
• оперативное обнаружение и автоматизированное оповещение (реагирование) на выявленные инциденты информационной безопасности, связанные с контролем действий привилегированных пользователей;
• автоматизация выполнения основных задач и процессов контроля действий привилегированных пользователей;
• расширенные возможности конфигурирования мониторинга и аналитики;
• обеспечение аудита действий привилегированных пользователей, поддержка централизованного архива данных сессий;
• расширенные возможности интеграции со смежными системами информационной безопасности (SOAR/SGRC, SOC);
• поддержка работы с системами класса PAM сторонних вендоров;
• снижение трудозатрат и рационализация использования ресурсов экспертов подразделения информационной безопасности.

Настраиваемые дашборды и графики в окне «Мониторинг».

«СКДПУ НТ Мониторинг и аналитика» может быть использован для решения целого ряда задач:

• создание единого центра мониторинга и аналитики, контроля действий привилегированных пользователей и сессий удаленного доступа для инфраструктуры шлюзов доступа СКДПУ НТ;
• подготовка необходимых отчетов для оценки уровня информационной безопасности, расследование инцидентов информационной безопасности;
• формирование централизованного архива аудита действий привилегированных пользователей и сессий удаленного доступа;
• создание источника данных для автоматизированной системы реагирования на инциденты информационной безопасности, связанных с нарушением привилегий уровня доступа.

В рамках развития продукта СКДПУ НТ Мониторинг и аналитика в обновленных версиях реализуется возможность его работы со стронными системами класса PAM, например CyberArk Identity Security Platform.

Окно «Активность целей».

Платформа СКДПУ НТ удовлетворяет требования регуляторов в отношении значимых объектов критической информационной инфраструктуры 1-ой категории, государственных и иных информационных систем до 1-го класса защищенности персональных данных, а также АСУ ТП 1-го класса защищенности. Кроме того, платформа СКДПУ НТ и ее компоненты сертифицированы по 4-му уровню доверия (сертификат ФСТЭК России № 4811).

На виртуальном полигоне дистрибьютора Merlion развернут демостенд с АйТи Бастион СКДПУ НТ – познакомиться с продуктом можно на демонстрации.