Indeed PAM (Privileged Access Manager) — решение российской компании по контролю действий привилегированных пользователей.

Модель безопасности Zero Trust — подразумевает отсутствие доверия кому-либо внутри и за пределами сети. Используется визуализация, аналитика и автоматизация для контроля текущих политик.

Соответствие политике Zero Trust с помощью Indeed PAM:

  1. Все пользователи и приложения проходят обязательную аутентификацию перед получением доступа к ресурсам;
  2. Для получения доступа к ресурсам требуется не только пароль, но и дополнительные факторы аутентификации;
  3. Сеть может быть разделена на отдельные микросегменты, где доступ к ресурсам и приложениям строго контролируется;
  4. Действия пользователя непрерывно записываются, а события безопасности фиксируются. В случае нештатных ситуаций администраторы PAM получают соответствующие оповещения;
  5. Возможность тонкой настройки прав доступа к ресурсам. Возможность ограничений на ввод команд и передачу данных;
  6. Все межсетевое взаимодействие компонентов PAM происходит по зашифрованным каналам связи для обеспечения безопасности данных от перехвата злоумышленниками.

Распространение паролей в открытом виде

Indeed Privileged Access Manager позволяет максимально обезопасить себя от компрометации пароля и “угона” учетной записи.

  • Пароли учетных записей хранятся в Indeed PAM в зашифрованном виде и неизвестны пользователю.
  • Есть возможность настроить смену паролей по расписанию.
  • Есть возможность настройки 2FA.
  • Пароли привилегированных учетных записей могут безопасно использоваться приложениями и скриптами (модуль ААРМ).

Расследование инцидентов

Основные проблемы:

  • Есть ситуации, когда компания узнает об инциденте только столкнувшись с его последствиями.
  • Расследование инцидента может занять много времени. В некоторых случаях на время расследования инцидента потребуется ограничить доступ сотрудников к ресурсам во избежание продолжения использования эксплойта.
  • Не всегда возможно установить, ЧТО конкретно сделал злоумышленник и КТО конкретно это был.
  • В случае большой инфраструктуры достаточно сложно следить за всеми событиями.

Решение:

  • Интеграция с SIEM-системами.
  • Информирование в случае несоответствия пароля учетной записи в РАМ и на целевом ресурсе.
  • Нотификация о попытке brute-force.
  • Возможность блокировки конкретного пользователя.
  • Ограничение действий пользователя:
    • Черные/белые списки команд.
    • Запрет передачи файлов.
    • Запрет запуска скриптов.
    • Запрет действий от имени суперпользователя.
  • Видео
  • Текстовый лог
  • Снимки экрана
  • Переданные файлы на ресурсы
  • Общая информация о сессии
  • Просмотр стрима активной сессии
  • Информация о конкретном пользователе, который работает с целевым ресурсом.

Indeed PAM — полностью отечественное решение:

  • Продукт внесен в реестр отечественного ПО.
  • Есть возможность установки Indeed PAM на Linux-системы, в том числе отечественные Red OS, Astra.
  • Есть поддержка отечественного каталога пользователей ALD Pro .
  • Версия продукта Indeed PAM 2.7 сертифицирована ФСТЭК России по 4 уровню доверия.
  • На текущий момент идет процесс досертификации версии Indeed PAM 2.10.

Лицензирование

Для продукта доступны две схемы лицензирования:

  • По пользователям и ресурсам
  • По одновременным подключениям (сессиям)

Для работы может применяться только одна схема лицензирования. Для смены схемы необходимо удалить текущие лицензии и только после этого можно будет загрузить лицензии другой схемы.

Лицензирование по пользователям и ресурсам

Пользовательские лицензии (user license, UL)

Пользовательская лицензия определяет количество сотрудников, которые могут получить доступ к ресурсам с помощью привилегированных учетных записей.

Лицензия выдается (захватывается) автоматически, в момент добавления первого разрешения пользователю. Аналогично, пользовательская лицензия освобождается в момент отзыва или истечения срока действия последнего разрешения у пользователя. Приостановка всех разрешений пользователя также высвободит лицензию до момента возобновления действия одного из разрешений.

Если все пользовательские лицензии исчерпаны, выдать разрешения новому пользователю нельзя.

Ресурсные лицензии (resource license, RL)

Ресурсная лицензия определят количество серверов, рабочих станций и оборудования, на которых будут открываться сессии от имени привилегированных учетных записей.

Ресурсная лицензия захватывается в момент создания ресурса в PAM. Освобождение ресурсной лицензии происходит при удалении ресурса.

Если все ресурсные лицензии исчерпаны, создать новый ресурс нельзя.

Срок действия лицензий

Лицензии могут быть как не ограничены по времени действия (“вечные” лицензии), так и ограничены конкретной календарной датой (trial лицензии, подписка на лицензии). После истечения срока действия лицензии операции добавления ресурсов и новых пользователей, или открытия сессий, станут недоступны.

Для работы подключений требуется хотя бы одна не просроченная лицензия. Если нет активной лицензии, подключения будут недоступны.

Сессионные лицензии (session license, SL)

Данная схема использует только один тип лицензий: лицензия на одновременные подключения.

Такая лицензия ограничивает число сессий (подключений), которые можно открыть одновременно. Учитываются все активные сессии. При этом число пользователей РАМ и число зарегистрированных ресурсов в системе не ограничено.

Лицензия на сессию захватывается в момент открытия сессии и освобождается в момент завершения сессии, причина завершения не важна.

Срок действия лицензий

Лицензии могут быть как не ограничены по времени действия (“вечные” лицензии), так и ограничены конкретной календарной датой (trial лицензии, подписка на лицензии). После истечения срока действия лицензии открывать сессии нельзя, создание разрешений и ресурсов останется доступным.

Для работы подключения требуется хотя бы одна не просроченная лицензия. Если нет активной лицензии, подключения будут недоступны.

Лицензии AAPM

Кроме схем лицензирования, есть лицензия на отдельный функциональный модуль AAPM (application-to-application password management). Такая лицензия не влияет на возможность пользователей установить сессию через PAM или выдать разрешение на пользователя и ограничивают только возможность использования AAPM.

Лицензия на AAPM дает возможность использования сценариев получения секретов учетных записей из PAM сторонними приложениями.

Лицензионным ограничением в AAPM является число привилегированных учетных записей, к которым можно получить доступ при помощи механизма AAPM. Число приложений, пользователей приложений и разрешений не ограничиваются, т.е. несколько разрешений, выданных для одной и той же учетной записи захватят только одну лицензию AAPM.

Лицензия на AAPM не зависит от схем лицензирования по пользователям/ресурсам или сессиям и может быть добавлена в любой момент.

Лицензия на AAPM захватывается в момент выдачи разрешения для приложения и освобождается в момент отзыва либо приостановки последнего разрешения для учетной записи.

Срок действия лицензий

Лицензии AAPM могут быть как не ограничены по времени действия (“вечные” лицензии), так и ограничены конкретной календарной датой (trial лицензии, подписка на лицензии). После истечения срока действия лицензии операции выдачи новых разрешений на приложения и получения секретов учетной записи приложениями станут недоступны.