Indeed PAM
Indeed Privileged Access Manager

Продукт Indeed Privileged Access Manager (Indeed PAM) разрабатывается "с нуля" как система управления доступом с использованием привилегированных учетных записей. В основе продукта лежит многолетний опыт компании "Индид" по созданию продуктов в области информационной безопасности.

2024: Поддержка OpenLDAP и ALD PRO

Компания Индид 13 мая 2024 года объявила о запуске обновленной версии Indeed PAM (Indeed Privileged Access Manager). В числе ключевых изменений продукта: поддержка новых каталогов пользователей: OpenLDAP и ALD PRO, подключение к произвольным ресурсам, нативная поддержка SIEM через CEF и LEEF формат логов, блокировка пользователя в PAM вручную, увеличенная максимальная длина пароля и пр.

В Indeed PAM 2.10 появилась возможность выбрать OpenLDAP и ALD PRO в качестве служб каталогов. Это изменение расширяет возможности по импортозамещению службы каталогов Active Directory компании Microsoft. Теперь Indeed PAM поддерживает следующие каталоги пользователей: Active Directory, FreeIPA, OpenLDAP и ALD PRO.

В обновленной версии продукта добавлен новый вид ресурсов — произвольные ресурсы — то есть такие ресурсы,которые не зарегистрированы в PAM-системе. Добавление дает возможность подключаться к любым ресурсам без необходимости предварительно заносить их в РАМ. Такое обновление облегчит работу пользователям, которые создают виртуальные машины в рамках своей работы. Теперь ИТ-специалисты могут сразу подключаться к ним, не дожидаясь, когда администратор PAM внесет их в список ресурсов.

Также появилась возможность подключить Indeed PAM к SIEM-системе, не используя дополнительные коннекторы или парсеры, что освобождает заказчика от необходимости дополнительных доработок.

2022: Сценарий контроля привилегированных пользователей можно отработать на платформе киберучений Jet CyberCamp

ИТ-компания «Инфосистемы Джет» и компания «Индид» — российский разработчик программных решений в области ИБ, создали совместную программу киберучений на платформе Jet CyberCamp. Теперь ИБ-специалисты могут отработать кейсы с Indeed PAM — решением класса Privileged Access Management, предназначенным для мониторинга и контроля действий привилегированных пользователей. Об этом сообщила компания «Инфосистемы Джет» 27 сентября 2022 года. Подробнее здесь.

2020: Включение в Реестр отечественного ПО

13 апреля 2020 года российская компания «Индид» объявила о включении программного комплекса Indeed Privileged Access Manager в Реестр отечественного ПО (Приказ Минкомсвязи РФ №162 от 07.04.2020). Indeed PAM предназначен для контроля действий администраторов систем и двухфакторной аутентификации привилегированных пользователей перед доступом к важным коммерческим данным. Вендор объявил о выпуске этого программного комплекса в августе 2018 года и постоянно информирует о выходе релизов, в которых расширяет функциональность продукта.

Включение Indeed PAM в Реестр открывает доступ к возможности его внедрения не только в частных компаниях, но и в организациях госсектора, которые должны соблюдать требования регуляторов и законодательства в сфере импортозамещения.

2019: Описание Indeed Privileged Access Manager

(Данные актуальны на март 2019 года)

Политики и разрешения

Политики и разрешения определяют параметры привилегированного доступа:

• кому предоставлен доступ
• к каким учетным записям предоставлен доступ
• к каким ресурсам (серверам и оборудованию) предоставлен доступ
• на какое время (постоянно/временно, в рабочие часы или в любое время)
• какую запись сессий нужно производить (видео и текстовую запись, только текстовую, скриншоты и т.п.)
• какие локальные ресурсы (диски, смарт-карты) будут доступны пользователю в удаленной сессии
• разрешено ли пользователю просматривать пароль привилегированной учетной записи

Централизованные политики сокращают затраты на администрирование системы и делают параметры и права доступа прозрачными для специалистов информационной безопасности и аудиторов.

Хранилище привилегированных учетных данных

Учетные данные, необходимые для доступа (логины, пароли, SSH-ключ) хранятся в хранилище, к которому имеет доступ только сервер Indeed PAM. Хранение и передача данных к/от сервера производится в зашифрованном виде с применением стойких алгоритмов шифрования. Доступ к хранилищу ограничен и возможен только для сервера PAM, для реализации этого подхода применяется специальная процедура по "запечатыванию" сервера — hardening сервера базы данных.Российский рынок CRM-систем: оценки, перспективы, крупнейшие поставщики. Обзор TAdviser 9.6 т

Подсистема записи сессий

Все сеансы привилегированного доступа записываются в обязательном порядке и сохраняются в архиве Indeed PAM. В архиве записи хранятся в зашифрованном виде, получить к ним доступ возможно, только обладая соответствующими полномочиями в рамках системы PAM.

Записи ведутся в следующих форматах:

• Текстовая запись ведется всегда и фиксирует такие данные:
  • полный ввод и вывод консоли в SSH-подключениях;
  • все запускаемые процессы, открываемые окна и клавиатурный ввод для RDP-подключений.

• Видеозапись производится как для RDP, так и для SSH подключений. Видеозапись не обязательна, ее включение выполняется администратором PAM с помощью механизма политик. Качество видео настраивается и может быть разным для различных учетных записей, например, сеансы администраторов домена могут записываться с максимальным качеством, а сеансы операторов со сжатием.
• Снятие снимков экрана также производится как для RDP, так и для SSH-подключений. Сохранение снимков экрана не обязательно, его включение выполняется администратором PAM с помощью механизма политик. Частота снятия и качество снимков экрана задается в политиках.

Просмотр активных сессий доступен в режиме реального времени с возможностью разрыва сессии администратором PAM.

Журнальный сервер

Журнальный сервер является выделенным сервисом по сбору событий Indeed PAM. Такие события включают в себя всю активность администраторов и пользователей PAM. Журнал фиксирует, кто и какие параметры системы изменял и кто под какими учетными данными выполнял подключение к целевым ресурсам.

Для удобства интеграции в SIEM и своевременного реагирования на инциденты, события могут доставляться по протоколу syslog на сторонний журнальный сервер.

Консоль администратора

Консоль администратора предоставляет интерфейс для настройки, управления и аудита работы системы и выполнена в виде веб-приложения. Используя консоль, администратор предоставляет пользователям доступ к учетным данным, настраивает политики доступа и просматривает журналы событий и записи привилегированных сессий. Также консоль позволяет администраторам PAM просматривать активные привилегированные сессии в реальном времени и, при необходимости, прекращать сеанс работы сотрудника. Доступ в консоль администратора выполняется с помощью двухфакторной аутентификации.

Сервисы самообслуживания

Для получения привилегированного доступа сотрудники используют два инструмента:

• Консоль пользователя, выполненная в виде веб-приложения. В консоли пользователя сотрудники просматривают доступные им учетные записи и ресурсы, а также запускают привилегированные сессии.
• Приложение на сервере доступе. С использованием этого приложения сотрудники получают доступ минуя консоль пользователя. В этом случае сотрудник подключается напрямую к серверу доступа, где ему предлагается выбрать разрешенное подключение.

В обоих случаях доступ сотрудников защищен двухфакторной аутентификацией с помощью OTP (One-Time Password).

Модули доступа

Модули доступа предоставляют механизмы открытия и записи привилегированных сессий.

Сервер доступа

Сервер доступа реализует централизованную модель получения привилегированного доступа. Сотрудник сначала выполняет подключение к серверу доступа, на котором проверяются его права и выполняется аутентификация по второму фактору, после чего сотруднику открывается сессия на целевом ресурсе.

SSH Proxy

SSH Proxy является альтернативным вариантом получения доступа через Indeed PAM в Linux/Unix-системы.

Подсистема управления учетными записями

При использовании систем класса PAM офицерам информационной безопасности важно понимать, что в инфраструктуре компании нет неучтенных привилегированных записей, и доступ к ним контролируется и протоколируется. В рамках Indeed PAM эту задачу решает подсистема управления учетными записями.

Подсистема выполняет следующие функции:

• Периодический поиск новых привилегированных учетных записей на целевых ресурсах. Данная мера позволяет защититься от недобросовестного администратора, который создал себе учетную запись для работы в обход системы PAM.
• Периодическая проверка паролей и SSH-ключей привилегированных учетных записей. Данная функция позволяет убедиться, что в хранилище PAM содержатся актуальные учетные данные и недобросовестный администратор не выполнил сброс пароля учетной записи для использования ее в обход PAM.
• Периодическая смена паролей и SSH-ключей. Indeed PAM генерирует случайные сложные пароли и SSH-ключи для контролируемых привилегированных учетных данных, защищая их от несанкционированного доступа.
• Сброс пароля учетной записи после показа его пользователю. Администратор PAM может разрешить сотрудники просматривать пароль привилегированной учетной записи в тех случаях, когда необходимо явное использование пароля. После того, как сотрудник получит пароль, через заданный промежуток времени Indeed PAM сбросит пароль в новое случайное значение.

Для выполнения указанных функций в состав подсистемы управления учетными записями входят модули подключения (коннекторы) для целевых систем:

• коннектор к Active Directory;
• коннектор к Windows и Windows Server;
• SSH-коннектор для подключения к Linux/Unix-системам на базе различных дистрибутивов.

Основные характеристики Indeed PAM

• Протоколы доступа — RDP, SSH, HTTP(s)
• Поддерживаемые типы учетных данных — Имя пользователя + пароль, SSH-ключи
• Поиск привилегированных учетных записей и управление паролем — Windows, Linux, Active Directory
• Поддерживаемые каталоги пользователей — Active Directory
• Технологии двухфакторной аутентификации — Пароль + TOTP (программный генератор)
• Поддерживаемые типы записи сессий — Текстовый лог, Видеозапись, Снимки экрана
• Технологии удаленного доступа — Microsoft RDS, SSH Proxy

2018

Привилегированные учетные записи несут в себе серьезные риски информационной безопасности: компрометация привилегированного доступа может приводить к крупным финансовым и репутационным потерям компании. Защитить привилегированный доступ сложнее, а последствия его неправомерного использования намного серьезнее, чем в случае рядовых пользователей. Решение проблемы невозможно с использованием общих подходов к защите учетных данных и требует применения специализированных решений.

Сформулировать задачи по защите и контролю привилегированного доступа можно следующим образом:

• Регистрировать попытки использования привилегированных учетных записей в журнале доступа, с указанием какой сотрудник, когда и к какой учетной записи получал доступ
• Вести видео и текстовую запись привилегированных сессий с возможностью просмотра архива сессий
• Обеспечить мультифакторную аутентификацию сотрудников при доступе к привилегированным учетным записям
• Содержать пароль привилегированных учетных записей в секрете от сотрудников, производить регулярную смену паролей

Для решения описанных задач нами был разработан программный комплекс Indeed Privileged Access Manager (Indeed PAM). Комплекс централизованно хранит и управляет привилегированными учетными записями. Indeed Privileged Access Manager обладает следующими характеристиками.

Решаемые задачи

• Сохранение в секрете паролей административных учетных записей
• Видео и текстовая запись сессий
• Обнаружение привилегированных учетных записей для последующего взятия их под контроль
• Двухфакторная аутентификации при получении привилегированного доступа

Поддерживаемые типы учетных записей

• Microsoft Active Directory
• Учетные записи ОС Windows
• Учетные записи ОС Linux (пароли и SSH-ключи)
• Учетные записи для доступа к сетевому оборудованию

Поддерживаемые протоколы доступа

• RDP
• SSH
• Web-приложения

Поиск привилегированных учетных записей

• В состав Indeed PAM входит модуль, который выполняет поиск привилегированных учетных записей, регистрирует их в системе и предлагает взять их под контроль.

Регулярная автоматическая смена паролей привилегированных учетных записей

• Indeed PAM выполняет регулярную смену паролей на случайное значение, исполняя требования как к сложности паролей, так и периодичности их смены.

Архитектурная схема Indeed PAM

Общая архитектурная схема Indeed PAM