Как работают анализ и блокировка опасных команд

После компрометации привилегированной учетной записи может произойти инцидент ИБ с серьезными последствиями для компании. Традиционный аудит логов его не предотвратит, а только зафиксирует ущерб. Нужно мониторить все действия привилегированных пользователей в рамках сессий, выполнять поиск несанкционированных действий и блокировку опасных команд. Это возможно благодаря PAM-системе (Privileged Access Management).

Что такое выявление несанкционированных действий и блокировка команд

Анализ аномалий — мониторинг команд, которые вводит привилегированный пользователь и которые в режиме реального времени сверяются с политиками безопасности. Если выявляются отклонения, PAM-система для контроля привилегированных пользователей фиксирует в журнале нарушение.

Блокировка команд — автоматическое прерывание сессии при нарушениях со стороны пользователей с расширенными правами. Таким образом PAM-система пресекает выполнение подозрительных действий и предотвращает возможные инциденты ИБ.

Система будет автоматически выполнять блокировку команд при соответствующих настройках. PAM также может просто мониторить действия пользователей, записывать сессии и при нарушениях прерывать их и/или уведомлять ответственных лиц.

PAM-система применяется для контроля штатных сотрудников с привилегированными правами, удаленных специалистов и подрядчиков. Она позволяет пресекать намеренные вредоносные действия и случайные нарушения, а также атаки с помощью скомпрометированных привилегированных аккаунтов.

Этапы контроля действий привилегированных пользователей

Контроль привилегированного доступа требует комплексного подхода. Как он реализован в PAM-системе Solar SafeInspect:

• Настройка политик привилегированного доступа. В PAM-системе настраиваются правила доступа к целевым системам, перечень разрешенных и запрещенных действий, условия мониторинга и сценарии реагирования. Опираясь на эти настройки, Solar SafeInspect сможет выполнять анализ аномалий и блокировку опасных команд.
• Проксирование сессий в режиме «Бастион». Изоляция привилегированных сеансов исключает прямой доступ к критически важным системам: пользователь осознанно подключается через Solar SafeInspect, проходит явную авторизацию и получает доступ только к разрешенным ресурсам и операциям. Проксирование может работать в L2- или L3-режиме, что позволяет встроить «бастион» в существующую сетевую архитектуру без ее перестройки и сохранить единые правила контроля для всех подключений.
• Непрерывный контроль и запись действий. PAM-система отслеживает работу привилегированных пользователей и проверяет их действия на соответствие политикам доступа. Она записывает сеансы и хранит записи для дальнейшего аудита или расследования.
• Реакция на обнаруженные угрозы. При выявлении подозрительных или запрещенных действий Solar SafeInspect может автоматически обрывать сеанс либо оповещать администратора об опасных командах. Параллельно система формирует отчеты и отправляет уведомления службе безопасности.

Такой подход позволяет всесторонне контролировать работу специалистов с широкими правами и предотвращать развитие инцидентов ИБ, связанных с кражей привилегированных аккаунтов. РАМ-система будет не просто выполнять блокировку команд, но и фиксировать все действия привилегированных пользователей. Сотрудники службы безопасности смогут отследить, кто и что нарушил. На основании собранных данных можно быстро провести расследование и принять меры по устранению «узких» мест в защите привилегированного доступа.

Политика PAM-системы как основа анализа

Политика — «мозг» системы. Это набор правил, по которым оцениваются действия привилегированных пользователей. Типы политик в Solar SafeInspect:

• Разрешающие (whitelist). Разрешены только команды из утвержденного списка. Все остальные действия будут расцениваться как аномалии и блокироваться. Так обеспечивается максимальная безопасность для критичных систем компании.
• Запрещающие (blacklist). Запрещаются конкретные опасные команды или шаблоны. Операции, не попавшие в этот список, разрешаются. Этот подход значительно повышает гибкость действий администраторов.

Политики можно комбинировать и настраивать под разные уровни критичности систем и роли пользователей. Это позволяет администраторам соблюдать необходимый баланс между безопасностью и удобством работы. Политики также помогают формировать модель нормального и аномального поведения сотрудников для последующего анализа и реагирования.

Политика привилегированного доступа

Это надстройка над базовыми политиками PAM, которая фокусируется на управлении правами привилегированных пользователей. В Solar SafeInspect действуют два ключевых принципа. Первый — Just-In-Time (JIT). При этом расширенные права предоставляются только для выполнения конкретной задачи, затем сразу отзываются. Можно установить срок, в течение которого полномочия будут активны. Это позволит автоматизировать работу с широкими правами и подстраховаться на случай, если администратор забудет их отозвать.

Второй принцип — назначение наименьших привилегий. В результате пользователи получают тот уровень доступа, который нужен для работы. Неограниченные права доступа не назначаются.

Для большей безопасности можно сочетать оба подхода. Принцип наименьших привилегий будет действовать всегда, Just-In-Time — для отдельных пользователей.

Настройка привилегированных доступов и правил блокировки команд

Чтобы система Solar SafeInspect выполняла свои задачи, нужно ее настроить. Порядок действий:

Грамотная настройка политик привилегированного доступа позволяет не только блокировать опасные действия, но и служит основой для последующего анализа. Она помогает выявлять отклонения от нормального поведения сотрудников, расследовать инциденты и повышать зрелость ИБ-процессов. Таким образом, политика PAM-системы — не просто механизм контроля, а ключевой инструмент управления рисками и работой привилегированных пользователей.

Ваши администраторы под контролем?

Проверьте это с помощью Solar SafeInspect

Запросить демоверсию системы

Кейс из практики использования Solar SafeInspect

Ситуация — злоумышленник получил доступ к учетной записи администратора базы данных. Без PAM-системы могла произойти кража персональной информации сотрудников и клиентов. Как Solar SafeInspect помогла предотвратить инцидент ИБ:

• Система в режиме реального времени мониторила привилегированный сеанс и анализировала команды.
• Сработала политика «Запрет экспорта». PAM-система распознала команду из черного списка — выгрузку базы данных.
• Система мгновенно заблокировала привилегированную сессию до выполнения запрещенной команды.

Одновременно с мониторингом Solar SafeInspect записывала сессию. После ее прерывания она отправила алерт в SOC с полной записью сессии для расследования. Это позволило восстановить картину нарушения и выявить слабые места в управлении привилегированными учетными данными.

Solar SafeInspect — активная защита от инцидентов ИБ

Современная PAM-система способна активно противодействовать угрозам, а не просто о них сообщать. С помощью Solar SafeInspect можно выполнять анализ аномалий и блокировку команд, обеспечивая защиту в режиме реального времени. Преимущества системы:

• Гибкость политик PAM. Можно создать правила под любую, даже специфичную бизнес-логику.
• Скорость реакции. Блокировка опасных команд происходит до нанесения ущерба.
• Независимость от учетных данных. Если пароль администратора будет скомпрометирован, политики Solar SafeInspect останутся последним, непреодолимым барьером.

Хотите полностью взять под контроль привилегированный доступ?

Начните использовать Solar SafeInspect.

Протестировать систему бесплатно