Вектор атаки на привілейований доступ дуже широкий, і для фахівців, що відповідають за це надзвичайно важливо налаштувати управління привілейованим доступом (PAM) таким чином, щоб забезпечити мінімальні шанси на порушення безпеки.
Моніторинг привілейованих сесій, одна з найважливіших функцій керування привілейованим доступом. Вона забезпечує жорсткий контроль для будь-яких привілейованих користувачів або третіх сторін, яким потрібен доступ до критично важливих систем.
Ізоляція, моніторинг і запис є ключовими цілями моніторингу сесій, і якщо будь-яка ініціатива PAM будь-якої організації не включає надійну функцію моніторингу сесії, це призведе до неналежного впровадження PAM та порушення кіберзахисту в майбутньому.
Розглянемо приклад. Банки, державні організації та лікарні використовують камери відеоспостереження як усередині, так і за межами своїх приміщень для виявлення будь-якої підозрілої діяльності. За допомогою запису, як функції PAM, який зберігається на SD-карті або у вбудованій пам’яті, адміністратори можуть визначити, хто, що зробив, коли і як.
У сучасній ІТ-інфраструктурі існує динамічна кількість привілейованих користувачів, які постійно отримують доступ до критичних програм для виконання кількох привілейованих завдань. Отже, ІТ-адміністратор не може стежити за окремими користувачами, хто що робить.
Моніторинг сесії допомагає адміністраторам виявляти, ідентифікувати та пом’якшувати підозрілі дії привілейованих користувачів, щоб забезпечити безпеку та конфіденційність даних. Це також можна вважати кроком вперед, щоб полегшити життя як користувачів PAM, так і ІТ-адміністраторів, оскільки він фіксує кожну сесію і допомагає переглядати журнали відео в будь-який час для перевірки.
Кейс 1: Управління сесією
ІТ-адміністратори завжди хочуть мати докладні звіти про кожну сесію для цілей аудиту та перевірки відповідності нормативним вимогам. Чим докладніший звіт, тим більш зрозумілим він є та відповідає ІТ-стандартам. Якщо не передбачено налаштування різних полів у кожній привілейованій сесії, то детальні та налаштовані звіти неможливо створити в будь-який момент часу. Ці відомості включають ім’я користувача, IP-адресу, URL-адресу API, шлях до папки даних тощо.
За допомогою конфігурації Session Orchestrator від ARCON користувач може легко та ефективно налаштувати різні деталі, що стосуються сесії. Він містить IP-адреси користувачів, номер порту протоколу керування передачею (TCP), номер порту безпечного з’єднання WebSocket (WSS), деталі API, URL-адресу робочого API, шлях до папки для зберігання даних, активний/неактивний статус тощо. В результаті адміністратори можуть переглядати або завантажувати повну інформацію про журнали сесії, створені після кожної сесії.
Кейс 2: Замороження/розмороження сесії
Як адміністратор, що ви будете робити, якщо виявите щось підозріле, що відбувається в корпоративній мережі? Очевидна відповідь полягає в тому, щоб припинити цю підозрілу діяльність негайно. Однак, якщо рішення PAM не має такого функціонала для припинення сесії, тоді адміністратору доведеться дочекатися створення звіту після сесії, щоб усунути зловмисну дію. Це може завдати більшої шкоди, ніж передбачається, якби суперадміністратор міг будь-коли зупинити виконання завдання.
ARCON PAM з функцією «Моніторинг сесії» пропонує варіанти заморожування/розморожування привілейованих сесій, якщо буде виявлено аномальну поведінку. ІТ-адміністратори відстежують дії користувача в режимі реального часу та можуть заморозити сесію, якщо буде виявлено щось підозріле. Водночас вони можуть розморозити сесію, якщо потрібно, і користувач миттєво повертається до виконання своїх завдань. Крім того, у разі серйозної аномалії адміністратор може «заблокувати» сесію (і користувача) на невизначений період до подальшого повідомлення. Цей механізм допомагає запобігти зловмисним діям в режимі реального часу.
Кейс 3: Журнали сесій
Коли привілейовані користувачі отримують доступ до будь-якої критично важливої системи в будь-який момент часу для критичного завдання, дуже важливо, щоб адміністратори мали журнали сесій. Ці журнали є записами тих дій, які відбуваються під час сесій привілейованого доступу. Їх можна використовувати для відстеження активності користувачів, виявлення потенційних загроз та усунення проблем.
ARCON PAM підтримує такі типи журналів сесій:
- Журнали доступу до служби: ці журнали записують інформацію про служби, до яких зверталися під час сесії.
- Журнали команд: у цих журналах записуються команди, які було виконано під час сесії.
- Журнали процесів: у цих журналах записуються процеси, запущені або зупинені під час сесії.
- Журнали метаданих: ці журнали записують додаткову інформацію про сесію, наприклад IP-адресу користувача, час і дату сесії.
- Журнали активності користувача: у цих журналах записується детальна інформація про діяльність користувача під час сесії.
Тип журналів сесій, які генеруються, залежить від конфігурації ARCON | PAM. Наприклад, якщо адміністратор налаштував ARCON | PAM для запису журналів активності користувачів, тоді всі дії користувачів будуть записуватися в журнали. Це корисно для адміністраторів ІТ-безпеки, оскільки, відстежуючи дії користувачів, вони можуть миттєво виявляти потенційні загрози та усувати проблеми.
