Вы отслеживаете привилегированную. активность? Cyber-Privileged Account Security & Compliance Survey, May 2013. Факты говорят за себя Не существует идеальной защиты.

Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
CyberArk

Анна Архипова,

Менеджер по работе с партнерами

IT Guard


План
:

Стратегия защиты
CyberArk



Продукты
CyberArk


SIM


О компании

Стратегия
CyberArk

Systems
Integration
Partners

Temporary
Staff

Cloud
Service

Providers

Off Shore

Developers

Contractors

Внутренние
пользователи

Провайдеры
сервисов

Временные
сотрудники

Системные
интеграторы

Подрядчики

Сторонние
разработчики

Systems
Integration
Partners

External
Attacker

Cloud
Services

Off Shore

Developers

Contractors

Internal
Users

You Need to Know!

Кто
нарушитель
?

Кто
авторизован?

Подготовка
атаки

-

несколько месяцев

Н
ачалась с
одного компьютера

Правдоподобное письмо: распорядок дня, круг общения
и список мероприятий

Модуль

сбора информации
: внутренние адреса
серверов, имена пользователей и пароли

Хищение
данных
-

вручную

Присутствие в системе не обнаруживалось
антивирусами в
течении нескольких месяцев

Типичная

атака

* На основе

анализа

Александра

Гостева,

Лаборатория Касперского:

http://www.securitylab.ru/news/
407517
.php

7

Пользователи

Средства защиты

желевые системы

Программно
-
технические средства защиты

Концепция «доверия» администратору

Любая компания, любая система

Мо

IDS/IPS

CS&AV

CASE
,
DLP
,
SIEM

Другие (
IdM
, IAM)

8

аребуется доступ
–

разведка, подготовка, другое обеспечение

Поиск сотрудников, ответственных за администрирование или
обслуживание

Доставка сообщения или эксплойта с целевой атакой,
заражающей
компьютеры

При подключении целевой системы для работы
-

опознание и
действие вируса от имени легитимного пользователя

Атака уже в сети!

Атаки с помощью социальных сетей

9

Привилегированные записи

“
единственный путь к
данным
”

Критичный актив

«Все пути ведут...» к привилегированым записям

Сетевое

устройство

Сервер

База
данных

Цели

атак

Сегодня любая компания является потенциальной целью атак.

Злоумышленники целенаправленны, настойчивы,
скрытны.


*
Source:
Mandiant

-

На
основе анализа около
120
инцидентов

целенаправленных
атак.

12

Source:
Trustwave

2012
Global Security Report

80
%

Слабые административные аккаунты

15
%

Скрытые административные аккаунты (по
умолчанию)


5
%

Кэш средств удаленного доступа

Основные методы проникновения в системы

“
48
%
Из всех случаев несанкционированного доступа к данным были произведены с
использованием привилегированных учетных записей
*
”


Проактивный
контроль привилегированного доступа используется для предотвращения
такого рода атак

Привилегированный аккаунт: что
,
где и почему

Какие

Кем используются

Используются для

Привилегированные
персональные

•

Облачные провайдеры

•

Персональные записи с
широкими привилегиями

•

IT
службы

•

Сотрудники

•

Привилегированные операции

•

Доступ к критичной инф.

•

Веб
-
сайты

Общие
привилегированные

•

Administrator

•

root

•

Cisco Enable

•

Oracle SYS

•

Local Administrators

•

ERP admin

•

IT
службы

•

Системные
администраторы

•

DBA

•

Help desk

•

Разработчики

•

Менеджер соц.медиа

•

Наследуемые прилож.

•

Аварийные

•

Высокий
SLA

•

Катастрофоустойчивость

•

Привилегированные операции

•

Доступ к критичной инф.

Аккаунты
приложений

•

Hard coded/
встроенные
ID

•

Служебные записи

•

Приложения/скрипты

•

Windows Services

•

Scheduled Tasks

•

Batch jobs

и т.д.

•

Разработчики

•

Онлайн доступ к БД

•

Batch processing

•

Взаимодействие
App
-
2
-
App

Все высокие привилегии

Сложно контролировать
,
управлять и отслеживать


Ведут к критическим рискам при неправильном использовании

Но этот факт не понятен...

0%
5%
10%
15%
20%
25%
30%
35%
1-250
251-500
501-1,000
1,001-5,000
5,001+
Don't know
Сколько привилегированных записией в вашей
системе
?

Cyber
-
Privileged Account Security & Compliance Survey, May
2013
(Enterprise �
5000
Employees)


Используются вариации разных решений

0%
5%
10%
15%
20%
25%
Как вы отслеживаете активность привилегированных
записей
?

Cyber
-
Privileged Account Security & Compliance Survey, May
2013


72
%

28
%

Вы отслеживаете

привилегированную

активность
?

Факты говорят за себя...

Не существует идеальной защиты

Нарушители профессиональны и меняют тактику все время
.

Компании, уделяющие серьезное внимание ИБ и
инвестирующие в Иа, все равно подвергаются компрометации
.

100
%

94%

416

100%

Жертв обновляли
антивирусы

Вторжений были
замечены 3
-
ми
лицами

Дней (в среднем)
атака

в сети не
замечена

Вторжений
использовали
украденные УЗ

Mandiant
,
2013

4
обязательных шага для противодействия

2
. Защищать и управлять привилегированными
аккаунтами

3
. Контролировать
,
изолировать и отслеживать
привилегированный доступ к серверам, БД и
виртуальным платформам

4
. Расследовать использование привилегированных
записей в реальном времени

1
. Обнаруживать все привилегированные записи

Продукты

▪
Решаемые проблемы
-

причины использования

Инсайдеры

Риски и соответствие

Облака

�
Инсайдер поневоле

�
Инсайдер имеет то, чего нет у хакера:
доступ

и

доверие

�
Атака инсайдера требует
42
и более
дней для противодействия


(
Ponemon Institute, July
2010
)

�
Вопросы соответствия и аудита становятся
шире и сложнее

�
Отсутствие соответствия обходится в
2.65
раз
дороже соответствия

(Ponemon
Insititute
, The True Cost of Compliance, Jan
2011
)

�
Безопасность
–

единственный барьер
для применения облаков

�
Миграция в облака обозначает
потерю контроля над человеческим
фактором

желевые кибер
-
атаки

�
Спланированые
,
сложные и
целенаправленые атаки

�
Нацелены на наиболее ценные активы

�
Используют наиболее мощные
привилегированные аккаунты

бстановить полный контроль доступа и
отчетность

Обеспечить прозрачность активности
привилегированных пользователей

Безопасно мигрируйте, оставаясь
защищеными

Обезопасьте привилегированные аккаунты
и изолируйте сессии

Решение проблем безопасности
привилегированных аккаунтов

▪
Управление привилегиями

Пользователей и отчетность

▪
Мониторинг и запись сессий

▪
Отчетность для соответствия

▪
Контроль удаленного доступа

▪
Аудируемый безопасный


файлообмен

Аудит и
соответствие

▪
Безопасность и мониторинг

общих админ. аккаунтов в АСУ ТП


▪
Контроль и мониторинг

удаленных пользователей

▪
Безопасность
Smart Grid

Промышленные
системы
/
АСУ ТП

▪
Современные атаки

▪
Инсайдеры

▪
Безопасность гибридных облаков

▪
Защита записей приложений

▪
Безопасность общих аккаунтов

▪
Обмен конфиден. информацией

Угрозы

Отличия
CyberArk

Доверие администратору
–

не панацея.

Административные процедуры не могут отменить автоматических политик.

Администратор
CyberArk

не
имеет доступа к информации, которую защищает.

Контролируемые
аккаунты не могут быть использованы злоумышленниками.


IdM
:

бправление доступом вместо идентификации и учета.

DLP:

Контроль действий вместо контроля контента.

IPS
/
WAF/DBF:

Мониторинг злоупотреблений, вместо мониторинга активности


SSO:

еранение паролей в защищенном хранилище вместо клиента

RMS:

Защита файлов на любых платформах вместо смены платформы


CyberArk

не заменяет
другие СЗИ, а эффективно дополняет их.

жифровое хранилище лежит в основе всех решений
CyberArk
,
а не является компонентом решений.

22

Virtual
Servers

Unix/Linux

Servers

iSeries

Mainframes

Windows

Servers

zSeries

Mainframe

Databases

Applications

Network

Devices

Security

Appliances

Websites

& Web Apps

OPM

Workflow

PSM

Workflow

EPV

Workflow

AIM

Workflow

Monitoring &

Reporting Workflow

Unix Admins

Windows Admins

DBAs

VM Admins

External

Vendors

Business

Applications

Auditor/

Security & Risk

Нужен
“root”
для
обновления СУБД

Провайдер
должен
подключиться к
“root”

удаленно.

Мне нужен пароль
на
root

Мой скрипт
использует
“root”

Ок
,
есть право на

“root”,
кто
использует и зачем
?

root

Управление
привилегированными записями

Внешние поставщики

IT
службы

Разработчики и
DBA

Аудиторы

Identity

Management


Systems

Monitoring & SIEM
Applications

Enterprise

Directory
and More


Любое устройство
,
ЦОД
–


Традиционные и облачные
,
хостинг

PIM Portal/Web Access

Master Policy

Secure Digital Vault
™

Enterprise

Password

Vault
®

Privileged
Session
Manager
®

Application
Identity
Manager™

On
-
Demand
Privileges
Manager™

Безопасность привилегированных записей



Корпоративные системы

Vault

Central Policy
Manager

System

User

Pass

Unix

root

Oracle

SYS

Windows

Administrator

z/OS

DB2ADMIN

Cisco

enable

Enterprise Password Vault

(
EPV)

tops
3
cr
3
t

tops
3
cr
3
t

tops
3
cr
3
t

tops
3
cr
3
t

y
7
qeF$
1

lm
7
yT
5
w

X
5
$aq+p

gviNa
9
%

tops
3
cr
3
t

Password Vault
Web Access

Политика

1.
жентральное определение политик

2.
Первичная загрузка и замена

Automatic Detection, Bulk upload, Manual

3.
Процесс запроса

Dual control,


One
-
time Passwords, exclusivity, groups

4.
Прямое подключение

к устройствам

5.
Доступ аудиторов

Политика

tops
3
cr
3
t

tops
3
cr
3
t

tops
3
cr
3
t

tops
3
cr
3
t

tops
3
cr
3
t

Tojsd$
5
fh

Oiue^$fgW

IT

Системный

администратор

Аудитор

J
2
EE Application Servers

IIS for Windows
®

Server

Конф.файлы Веба

INI/
текстовые файлы

БД приложений


В реестрах
, FTP
и т.д.

▪
Windows service

▪
Scheduled tasks

▪
IIS application pool

▪
IIS Directory Security

▪
COM+

▪
Registry

Устранение запрограммированных паролей

Configuration Files
& Databases

Application Servers

Service

Accounts

Hard
-
Coded,
Embedded
Credentials

Конфигурационные
файлы,базы данных

Сервера приложений

Служебные аккаунты

Запрограммируемые
,
встроенные аккаунты

Сторонние
приложения

Снижает
TCO
обслуживания
Windows
и затраты ИТ

Минимум привилегий снижает количество заявок и звонков в ИТ
,
ниже
“
непреднамеренный ущерб
”

Gartner: “
С минимальными привилегяими
TCO

минимум на
20
%
ниже
”

Снижает риск инфицирования

90
%
уязвимостей
Windows
не используются без привилегий
admin

Исключая права
admin
снижаем риск от
malware.

OPM for Windows

Privilege

Guard

Admin User

Standard User

Standard Applications

Problem Applications

Basic Admin Tasks

Software Installation

36

Routers and Switches

Vault

Windows/UNIX
Servers

Web Sites

1.
Аутентификация на портале
PVWA

2.
Соединение

3.
Получение записи из хранилища

4.
Соединение нативным протоколом

5.
Сохранение записи сессии

6.
Отправка логов в
SIEM/Syslog

4

5

Databases

6

SIEM/
Syslog


ESX
\
vCenters

1

HTTPS

2

RDP over HTTPS

PSM

3

Privileged Session Manager

(
PSM
)

Безопасность виртуальных сред с единого центра управления

53


Автоопределение
ESX
серверов
и всех имиджей

Контроль доступа к
гипервизорам
,
vCenter

и
готевым машинам

Персонализованный доступ и
отслеживание использования

Применение политик
безопасности по управлению
учетными записями

бправление изменениями
процедурами утверждения

PIM


Не остаются следы на
гипервизоре

Мониторинг
VM admin
и
гостевых машин посредством
DVR
записи

Контроль доступа к сессиям и
процессы утверждения

Строгая аутентификация к
гипервизору

Привилегированный

SSO


PSM

Единые политики и аудит привиегированных аккаунтов в
виртуальных средах

PSM
поддерживает многие платформы

PSM Multi
-
Platform
Support

OS/
390
AS/
400

54

Интеграция
PIM
с системами контроля уязвимостей

Системы
контроля
уязвимостей

PIM

useuse;r00;rpasspas;&#xs10w;&#xord0;word

55

Интеграция
PIM/PSM
с
SIEM
-
системами

Системы
SIEM

PIM/PSM

Events, commands

56

SIM

SIM
–

администратору нет доступа к данным

SIM
-

безопасность данных и их доставки


Существующие решения для безопасного обмена
файлами

Loss of control &
3
rd

Party trust . No
integration with legacy systems


No traceability

Unsecure

No central management

High maintenance costs

Need to evolve with
compliancy

Unsecure

Volume limitations

No automatic processes


Expensive

Delayed delivery

Problems upon arrival

Manual process

No digital backup

Expensive

68

SIM
–

готовая интеграция

SIM: Enterprise Ready
–

готовая интеграция

Redundancy

High Availability modules

Disaster Recovery modules

External Storage support

Encrypted Backup integration

Content Filter

and Encryption

WebSense

McAfee

TrendMicro

Authentications

Username /
Password

RSA SecurID

Radius

PKI

Oracle SSO

LDAP

LDAP integration

Active
Directory

Sun One

Novell

Oracle

Any LDAP
server

SIEM and Monitor


ArcSight

RSA Envision


CA Unicenter


IBM Tivoli

HP OpenView

Backend Integration

As
400

Main Frame

BizTalk

Oracle Apps

MQ Series

Enterprise
Service Bus

Generic
Integration

Protocols

Vault Protocol

FTP

FTP over
SSL/TLS

SFTP / SSH

HTTP/S

SCP

PGP
integration

Generic
Integration

Strategic Partnership

72

О компании

О компании
CyberArk

Управление привилегиями как
новая безопасность

•
Разрабатывается и создается по реальным потребностям

Доверенный эксперт в безопасности
привилегированных записей

•
Более
1
,
300
крупных корпоративных клиентов

Акцент на решение бизнес
-
задач

•
Безопасность прозрачна для аудита

Единое всесторонее решение

•
Одно решение для всех задач

•
Уровня
Enterprise

Глобальные клиенты

Other Industries

Financial Services

Communications &
Media

Pharmaceuticals

Energy & Utilities

Доверенный эксперт для более чем
1
,
300
компаний мира

Клиенты
CyberArk

в мире

Клиенты в регионе

Financial Services

Retail, Transport,
Telecom


Others

91

Спасибо за внимание…