СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Группа Астра
Вчера в 12:36
#Статьи #ИБ

Удаленное администрирование под контролем: отдельные шлюзы доступа, запись сессий и разбор действий по журналам

Удаленное администрирование под контролем: отдельные шлюзы доступа, запись сессий и разбор действий по журналам

Изображение: recraft

Во многих организациях сотрудники работают удаленно, и это касается в том числе администраторов информационных систем. Давайте посмотрим, чем они отличаются от остальных пользователей, и какие дополнительные меры защиты стоит применять, открывая им дистанционный доступ.

Ключевое отличие – в наборе приложений, с которыми они работают. Чаще всего это утилиты управления инфраструктурой, системами безопасности и назначения прав. За тем, что происходит в этих приложениях, нужен более строгий контроль, и действия администраторов важно регистрировать, чтобы при необходимости можно было выявить причины проблем и варианты восстановления status quo. Конечно, администраторам нужны и обычные офисные средства, но в соответствии с лучшими практиками, запускать это ПО лучше под учетной записью без привилегий.

Что можно и нужно предложить тем, кто дает администраторам удаленный доступ?

Во-первых, необходимо всегда использовать многофакторную аутентификацию. Идеально – строгую (см. ГОСТ-58833-2020), то есть с применением устройств с аппаратной реализацией криптоалгоритмов.

Во-вторых, для удаленного интернет-подключения часто задействуют протокол RDP, и следует убедиться, что доступ к ресурсу организован не напрямую, а через шлюз Remote Desktop Gateway. Для продуктов, которые используют другие протоколы доступа, применение специализированного шлюза – тоже рекомендованная практика.

Затем настоятельно советуем провести ревизию учетных записей, которым разрешен удаленный доступ, особенно к инструментам управления инфраструктурой. Здесь как минимум надо:

  • сделать «белый список» учетных записей;
  • определить политики, которые применяются при удаленном подключении (чаще всего это политики на уровне службы каталогов);
  • оставить только те права и разрешения, что необходимы для работы.

Следующие шаги, а именно использование решений для управления привилегированными учетными записями (PAM), запись сессий пользователей, продуктов и журналирование активностей, позволяют сделать удаленный доступ еще безопаснее.

Что такое PAM?

Это специализированный продукт, с помощью которого регулируется удаленный доступ для персонала с полномочиями администраторов. Для госорганов, государственных унитарных предприятий, муниципальных учреждений и всех организаций, чьи информационные системы взаимодействуют с ГИС, использование PAM обязательно с 1 марта 2026 года (см. приказ ФСТЭК России от 11 апреля 2025 г. N 117).

В стране около десятка поставщиков PAM, и можно подобрать себе вариант исходя из своих потребностей. В этих системах обычно реализованы несколько возможностей:

  • максимально полный аудит активностей пользователей: их журналирование и видеозапись для последующего разбора ситуаций;
  • поведенческий анализ, чтобы в режиме реального времени оценивать правомочность действий и, если понадобится, их прервать;
  • SSO (Single Sign-On) – реализованный разными способами функционал, позволяющий предоставить доступ, не запрашивая пароль повторно;
  • включение доступа и привилегий по запросу на заданное время и с ограниченными полномочиями.

В продуктах вендоров-лидеров все эти возможности есть. Если же каких-то опций не хватает, это можно исправить за счет интеграции с другими специализированными решениями, которые возьмут на себя запись сессий, регистрацию событий в журналы и их дальнейшую передачу в SIEM-системы. Российский софт сейчас уже достаточно зрелый и, что значимо для наших заказчиков, его можно использовать в импортозамещаемой и импортозамещенной инфраструктуре. Это действительно важно, так как мгновенно перейти на локальные решения невозможно ни технически, ни даже теоретически.

Для кого нужно организовывать удаленный доступ таким образом? Администраторам и специалистам, обслуживающим оборудование, например, в контуре промышленного ИТ. Но не менее существенна безопасность удаленной работы сторонних вендоров, поставщиков, сервис-команд – всех, кто получает доступ в корпоративную ИТ-инфраструктуру, не будучи в штате. Это особенно критично, если вспомнить недавние успешные атаки на цепочку поставщиков: злоумышленники изначально взламывают тех, кто не работает в самой компании, но связан с ней некими информационными потоками. Фактически это поиск и взлом «слабого звена» во всей ИТ-цепи современных организаций с тесными переплетенными связями. Примеры таких прецедентов и предлагаемые методы противодействия можно посмотреть на сайте MITRE: Supply Chain Compromise, External Remote Services и Valid Accounts.

Статью подготовил Сергей Халяпин, директор по развитию новых рынков и технологических партнеров Termidesk (входит в «Группу Астра»).

Группа Астра
Автор: Группа Астра
ГК «Астра» (ООО «РусБИТех-Астра») — один из лидеров российской IT-индустрии, ведущий производитель программного обеспечения, в том числе защищенных операционных систем и платформ виртуализации. Разработка флагманского продукта, ОС семейства Astra Linux, ведется с 2008 года. На сегодня в штате компании более 1000 высококвалифицированных разработчиков и специалистов технической поддержки.
Комментарии: