Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
CyberArk
Анна Архипова,
Менеджер по работе с партнерами
IT Guard
План
:
Стратегия защиты
CyberArk
Продукты
CyberArk
SIM
О компании
Стратегия
CyberArk
Systems
Integration
Partners
Temporary
Staff
Cloud
Service
Providers
Off Shore
Developers
Contractors
Внутренние
пользователи
Провайдеры
сервисов
Временные
сотрудники
Системные
интеграторы
Подрядчики
Сторонние
разработчики
Systems
Integration
Partners
External
Attacker
Cloud
Services
Off Shore
Developers
Contractors
Internal
Users
You Need to Know!
Кто
нарушитель
?
Кто
авторизован?
Подготовка
атаки
-
несколько месяцев
Н
ачалась с
одного компьютера
Правдоподобное письмо: распорядок дня, круг общения
и список мероприятий
Модуль
сбора информации
: внутренние адреса
серверов, имена пользователей и пароли
Хищение
данных
-
вручную
Присутствие в системе не обнаруживалось
антивирусами в
течении нескольких месяцев
Типичная
атака
* На основе
анализа
Александра
Гостева,
Лаборатория Касперского:
http://www.securitylab.ru/news/
407517
.php
7
Пользователи
Средства защиты
желевые системы
Программно
-
технические средства защиты
Концепция «доверия» администратору
Любая компания, любая система
Мо
IDS/IPS
CS&AV
CASE
,
DLP
,
SIEM
Другие (
IdM
, IAM)
8
аребуется доступ
–
разведка, подготовка, другое обеспечение
Поиск сотрудников, ответственных за администрирование или
обслуживание
Доставка сообщения или эксплойта с целевой атакой,
заражающей
компьютеры
При подключении целевой системы для работы
-
опознание и
действие вируса от имени легитимного пользователя
Атака уже в сети!
Атаки с помощью социальных сетей
9
Привилегированные записи
“
единственный путь к
данным
”
Критичный актив
«Все пути ведут...» к привилегированым записям
Сетевое
устройство
Сервер
База
данных
Цели
атак
Сегодня любая компания является потенциальной целью атак.
Злоумышленники целенаправленны, настойчивы,
скрытны.
*
Source:
Mandiant
-
На
основе анализа около
120
инцидентов
целенаправленных
атак.
12
Source:
Trustwave
2012
Global Security Report
80
%
Слабые административные аккаунты
15
%
Скрытые административные аккаунты (по
умолчанию)
5
%
Кэш средств удаленного доступа
Основные методы проникновения в системы
“
48
%
Из всех случаев несанкционированного доступа к данным были произведены с
использованием привилегированных учетных записей
*
”
Проактивный
контроль привилегированного доступа используется для предотвращения
такого рода атак
Привилегированный аккаунт: что
,
где и почему
Какие
Кем используются
Используются для
Привилегированные
персональные
•
Облачные провайдеры
•
Персональные записи с
широкими привилегиями
•
IT
службы
•
Сотрудники
•
Привилегированные операции
•
Доступ к критичной инф.
•
Веб
-
сайты
Общие
привилегированные
•
Administrator
•
root
•
Cisco Enable
•
Oracle SYS
•
Local Administrators
•
ERP admin
•
IT
службы
•
Системные
администраторы
•
DBA
•
Help desk
•
Разработчики
•
Менеджер соц.медиа
•
Наследуемые прилож.
•
Аварийные
•
Высокий
SLA
•
Катастрофоустойчивость
•
Привилегированные операции
•
Доступ к критичной инф.
Аккаунты
приложений
•
Hard coded/
встроенные
ID
•
Служебные записи
•
Приложения/скрипты
•
Windows Services
•
Scheduled Tasks
•
Batch jobs
и т.д.
•
Разработчики
•
Онлайн доступ к БД
•
Batch processing
•
Взаимодействие
App
-
2
-
App
Все высокие привилегии
Сложно контролировать
,
управлять и отслеживать
Ведут к критическим рискам при неправильном использовании
Но этот факт не понятен...
0%
5%
10%
15%
20%
25%
30%
35%
1-250
251-500
501-1,000
1,001-5,000
5,001+
Don't know
Сколько привилегированных записией в вашей
системе
?
Cyber
-
Privileged Account Security & Compliance Survey, May
2013
(Enterprise
5000
Employees)
Используются вариации разных решений
0%
5%
10%
15%
20%
25%
Как вы отслеживаете активность привилегированных
записей
?
Cyber
-
Privileged Account Security & Compliance Survey, May
2013
72
%
28
%
Вы отслеживаете
привилегированную
активность
?
Факты говорят за себя...
Не существует идеальной защиты
Нарушители профессиональны и меняют тактику все время
.
Компании, уделяющие серьезное внимание ИБ и
инвестирующие в Иа, все равно подвергаются компрометации
.
100
%
94%
416
100%
Жертв обновляли
антивирусы
Вторжений были
замечены 3
-
ми
лицами
Дней (в среднем)
атака
в сети не
замечена
Вторжений
использовали
украденные УЗ
Mandiant
,
2013
4
обязательных шага для противодействия
2
. Защищать и управлять привилегированными
аккаунтами
3
. Контролировать
,
изолировать и отслеживать
привилегированный доступ к серверам, БД и
виртуальным платформам
4
. Расследовать использование привилегированных
записей в реальном времени
1
. Обнаруживать все привилегированные записи
Продукты
▪
Решаемые проблемы
-
причины использования
Инсайдеры
Риски и соответствие
Облака
Инсайдер поневоле
Инсайдер имеет то, чего нет у хакера:
доступ
и
доверие
Атака инсайдера требует
42
и более
дней для противодействия
(
Ponemon Institute, July
2010
)
Вопросы соответствия и аудита становятся
шире и сложнее
Отсутствие соответствия обходится в
2.65
раз
дороже соответствия
(Ponemon
Insititute
, The True Cost of Compliance, Jan
2011
)
Безопасность
–
единственный барьер
для применения облаков
Миграция в облака обозначает
потерю контроля над человеческим
фактором
желевые кибер
-
атаки
Спланированые
,
сложные и
целенаправленые атаки
Нацелены на наиболее ценные активы
Используют наиболее мощные
привилегированные аккаунты
бстановить полный контроль доступа и
отчетность
Обеспечить прозрачность активности
привилегированных пользователей
Безопасно мигрируйте, оставаясь
защищеными
Обезопасьте привилегированные аккаунты
и изолируйте сессии
Решение проблем безопасности
привилегированных аккаунтов
▪
Управление привилегиями
Пользователей и отчетность
▪
Мониторинг и запись сессий
▪
Отчетность для соответствия
▪
Контроль удаленного доступа
▪
Аудируемый безопасный
файлообмен
Аудит и
соответствие
▪
Безопасность и мониторинг
общих админ. аккаунтов в АСУ ТП
▪
Контроль и мониторинг
удаленных пользователей
▪
Безопасность
Smart Grid
Промышленные
системы
/
АСУ ТП
▪
Современные атаки
▪
Инсайдеры
▪
Безопасность гибридных облаков
▪
Защита записей приложений
▪
Безопасность общих аккаунтов
▪
Обмен конфиден. информацией
Угрозы
Отличия
CyberArk
Доверие администратору
–
не панацея.
Административные процедуры не могут отменить автоматических политик.
Администратор
CyberArk
не
имеет доступа к информации, которую защищает.
Контролируемые
аккаунты не могут быть использованы злоумышленниками.
IdM
:
бправление доступом вместо идентификации и учета.
DLP:
Контроль действий вместо контроля контента.
IPS
/
WAF/DBF:
Мониторинг злоупотреблений, вместо мониторинга активности
SSO:
еранение паролей в защищенном хранилище вместо клиента
RMS:
Защита файлов на любых платформах вместо смены платформы
CyberArk
не заменяет
другие СЗИ, а эффективно дополняет их.
жифровое хранилище лежит в основе всех решений
CyberArk
,
а не является компонентом решений.
22
Virtual
Servers
Unix/Linux
Servers
iSeries
Mainframes
Windows
Servers
zSeries
Mainframe
Databases
Applications
Network
Devices
Security
Appliances
Websites
& Web Apps
OPM
Workflow
PSM
Workflow
EPV
Workflow
AIM
Workflow
Monitoring &
Reporting Workflow
Unix Admins
Windows Admins
DBAs
VM Admins
External
Vendors
Business
Applications
Auditor/
Security & Risk
Нужен
“root”
для
обновления СУБД
Провайдер
должен
подключиться к
“root”
удаленно.
Мне нужен пароль
на
root
Мой скрипт
использует
“root”
Ок
,
есть право на
“root”,
кто
использует и зачем
?
root
Управление
привилегированными записями
Внешние поставщики
IT
службы
Разработчики и
DBA
Аудиторы
Identity
Management
Systems
Monitoring & SIEM
Applications
Enterprise
Directory
and More
Любое устройство
,
ЦОД
–
Традиционные и облачные
,
хостинг
PIM Portal/Web Access
Master Policy
Secure Digital Vault
™
Enterprise
Password
Vault
®
Privileged
Session
Manager
®
Application
Identity
Manager™
On
-
Demand
Privileges
Manager™
Безопасность привилегированных записей
Корпоративные системы
Vault
Central Policy
Manager
System
User
Pass
Unix
root
Oracle
SYS
Windows
Administrator
z/OS
DB2ADMIN
Cisco
enable
Enterprise Password Vault
(
EPV)
tops
3
cr
3
t
tops
3
cr
3
t
tops
3
cr
3
t
tops
3
cr
3
t
y
7
qeF$
1
lm
7
yT
5
w
X
5
$aq+p
gviNa
9
%
tops
3
cr
3
t
Password Vault
Web Access
Политика
1.
жентральное определение политик
2.
Первичная загрузка и замена
Automatic Detection, Bulk upload, Manual
3.
Процесс запроса
Dual control,
One
-
time Passwords, exclusivity, groups
4.
Прямое подключение
к устройствам
5.
Доступ аудиторов
Политика
tops
3
cr
3
t
tops
3
cr
3
t
tops
3
cr
3
t
tops
3
cr
3
t
tops
3
cr
3
t
Tojsd$
5
fh
Oiue^$fgW
IT
Системный
администратор
Аудитор
J
2
EE Application Servers
IIS for Windows
®
Server
Конф.файлы Веба
INI/
текстовые файлы
БД приложений
В реестрах
, FTP
и т.д.
▪
Windows service
▪
Scheduled tasks
▪
IIS application pool
▪
IIS Directory Security
▪
COM+
▪
Registry
Устранение запрограммированных паролей
Configuration Files
& Databases
Application Servers
Service
Accounts
Hard
-
Coded,
Embedded
Credentials
Конфигурационные
файлы,базы данных
Сервера приложений
Служебные аккаунты
Запрограммируемые
,
встроенные аккаунты
Сторонние
приложения
Снижает
TCO
обслуживания
Windows
и затраты ИТ
Минимум привилегий снижает количество заявок и звонков в ИТ
,
ниже
“
непреднамеренный ущерб
”
Gartner: “
С минимальными привилегяими
TCO
минимум на
20
%
ниже
”
Снижает риск инфицирования
90
%
уязвимостей
Windows
не используются без привилегий
admin
Исключая права
admin
снижаем риск от
malware.
OPM for Windows
Privilege
Guard
Admin User
Standard User
Standard Applications
Problem Applications
Basic Admin Tasks
Software Installation
36
Routers and Switches
Vault
Windows/UNIX
Servers
Web Sites
1.
Аутентификация на портале
PVWA
2.
Соединение
3.
Получение записи из хранилища
4.
Соединение нативным протоколом
5.
Сохранение записи сессии
6.
Отправка логов в
SIEM/Syslog
4
5
Databases
6
SIEM/
Syslog
ESX
\
vCenters
1
HTTPS
2
RDP over HTTPS
PSM
3
Privileged Session Manager
(
PSM
)
Безопасность виртуальных сред с единого центра управления
53
Автоопределение
ESX
серверов
и всех имиджей
Контроль доступа к
гипервизорам
,
vCenter
и
готевым машинам
Персонализованный доступ и
отслеживание использования
Применение политик
безопасности по управлению
учетными записями
бправление изменениями
процедурами утверждения
PIM
Не остаются следы на
гипервизоре
Мониторинг
VM admin
и
гостевых машин посредством
DVR
записи
Контроль доступа к сессиям и
процессы утверждения
Строгая аутентификация к
гипервизору
Привилегированный
SSO
PSM
Единые политики и аудит привиегированных аккаунтов в
виртуальных средах
PSM
поддерживает многие платформы
PSM Multi
-
Platform
Support
OS/
390
AS/
400
54
Интеграция
PIM
с системами контроля уязвимостей
Системы
контроля
уязвимостей
PIM
useuse;r00;rpasspas;s10w;ord0;word
55
Интеграция
PIM/PSM
с
SIEM
-
системами
Системы
SIEM
PIM/PSM
Events, commands
56
SIM
SIM
–
администратору нет доступа к данным
SIM
-
безопасность данных и их доставки
Существующие решения для безопасного обмена
файлами
Loss of control &
3
rd
Party trust . No
integration with legacy systems
No traceability
Unsecure
No central management
High maintenance costs
Need to evolve with
compliancy
Unsecure
Volume limitations
No automatic processes
Expensive
Delayed delivery
Problems upon arrival
Manual process
No digital backup
Expensive
68
SIM
–
готовая интеграция
SIM: Enterprise Ready
–
готовая интеграция
Redundancy
High Availability modules
Disaster Recovery modules
External Storage support
Encrypted Backup integration
Content Filter
and Encryption
WebSense
McAfee
TrendMicro
Authentications
Username /
Password
RSA SecurID
Radius
PKI
Oracle SSO
LDAP
LDAP integration
Active
Directory
Sun One
Novell
Oracle
Any LDAP
server
SIEM and Monitor
ArcSight
RSA Envision
CA Unicenter
IBM Tivoli
HP OpenView
Backend Integration
As
400
Main Frame
BizTalk
Oracle Apps
MQ Series
Enterprise
Service Bus
Generic
Integration
Protocols
Vault Protocol
FTP
FTP over
SSL/TLS
SFTP / SSH
HTTP/S
SCP
PGP
integration
Generic
Integration
Strategic Partnership
72
О компании
О компании
CyberArk
Управление привилегиями как
новая безопасность
•
Разрабатывается и создается по реальным потребностям
Доверенный эксперт в безопасности
привилегированных записей
•
Более
1
,
300
крупных корпоративных клиентов
Акцент на решение бизнес
-
задач
•
Безопасность прозрачна для аудита
Единое всесторонее решение
•
Одно решение для всех задач
•
Уровня
Enterprise
Глобальные клиенты
Other Industries
Financial Services
Communications &
Media
Pharmaceuticals
Energy & Utilities
Доверенный эксперт для более чем
1
,
300
компаний мира
Клиенты
CyberArk
в мире
Клиенты в регионе
Financial Services
Retail, Transport,
Telecom
Others
91
Спасибо за внимание…