BalaBit Shell Control Box
ShellControlBox(SCB) — это устройство мониторинга активности, которое контролирует доступ к удаленным серверам, виртуальным рабочим столам или сетевым устройствам и записывает активность пользователей, которые получают доступ к этим системам. Например, оно записывает операции настройки серверов баз данных, которые выполняются системными администраторами. Записанные аудит-трейлы можно воспроизвести как фильм, чтобы просмотреть события в хронологическом порядке. Содержимое аудит-трейлов проиндексировано, что позволяет искать события и автоматически создавать отчеты. SCB особенно хорошо подходит для наблюдения за доступом привилегированных пользователей согласно требованиям регуляторов, например PCI DSS. Это внешнее устройство, которое полностью прозрачно и независимо от клиентов и серверов. Нет необходимости изменять серверные и клиентские приложения; SCB легко интегрируется в существующую инфраструктуру.

SCB протоколирует весь административный трафик (в том числе изменения конфигурации, выполненные команды и т. д.) в аудит-трейлы. Все данные хранятся в зашифрованных, подписанных файлах с меткой времени, что защищает их от любых модификаций и манипуляций. При возникновении каких-либо проблем (неправильная настройка сервера, манипуляции с базой данных, непредвиденное завершение работы) информация о них сразу же становится доступной в аудит-трейлах, что позволяет легко выяснить причину инцидента. Чтобы защитить конфиденциальную информацию при обмене данными, можно разграничить два направления трафика (от клиента к серверу и от сервера к клиенту) и зашифровать их разными ключами. Таким образом, конфиденциальная информация (например, пароли) отображается только при необходимости.

Области применения:
  • Внешние или внутренние аудиты
Некоторые регуляторные акты (например, PCI DSS, ISO27000, COBIT и т. д.) обязывают компании вести логи доступа к определенным данным. В последнее время такая необходимость возникла в связи с тем, что большие объемы данных бизнеса существуют исключительно в электронной форме, что дает возможность их противоправного использования. Законы и стандарты предписывают внедрение такой системы, которая не позволяет изменять финансовую информацию без записи логов и таким образом защищает интересы инвесторов, кредиторов, клиентов и государства. Кроме того, имеются сложности с соблюдением установленных внутренних политик в отделе ИТ: технически подкованные системные администраторы могут обойти их. Независимое устройство мониторинга активности обеспечивает более высокий уровень контроля в компании, что позволяет не допустить обход политики компании со стороны системных администраторов.

  • Мониторинг привилегированных пользователей
В компании множество неизвестных привилегированных пользователей, например системные администраторы и пользователи с доступом к конфиденциальному содержимому. В особенности это относится к тем компаниям, в которых используются устаревшие ИТ-системы. Системные администраторы — наиболее осведомленные пользователи в среде ИТ, поэтому чтобы отследить их активность, необходимо точно знать, для чего они используют свои права доступа. Устройство мониторинга активности делает их работу полностью прозрачной и повышает доверие к ним. При этом повышается степень их ответственности, и, что более важно, с них снимаются подозрения в критических ситуациях. Для администраторов это преимущество является наиболее существенным мотивирующим фактором внедрения этого решения в их организациях.

  • Контроль сторонних партнеров, которые предоставляют ИТ-услуги
С одной стороны, предоставление ИТ-услуг сторонними подрядчиками — один из наиболее динамичных трендов ИТ-отрасли. Однако с передачей сторонним подрядчикам процессов, имеющих решающее значение для бизнеса, возникают насущные проблемы с конфиденциальностью и безопасностью. В настоящее время у компаний нет возможности иметь надежный источник логов, из которого можно узнать, какие именно операции на их серверах выполнял системный администратор, работающий по договору подряда. С одной стороны, сохранение записей выполненной работы затруднено, а с другой стороны это позволит снять с субподрядчиков ответственность за ошибки или нарушения. Во многих компаниях численность внешних подрядчиков, оказывающих ИТ-услуги, превышает численность штатного персонала. Их активность практически невозможно проконтролировать при помощи стандартных политик, при этом обязательно нужно отслеживать их действия и контролировать их.

  • Мониторинг услуг хостинга/ «облачных» услуг
От поставщиков услуг хостинга/«облачных» услуг (Cloud & hosting Service Providers, MSP), как от партнеров, ожидается предоставление решений по безопасности и мониторингу, специализированных экспертных знаний и ресурсов для организаций всех размеров. Какое бы действие ни выполнял поставщик услуг на серверах клиента, оно может стать поводом для подозрений. Более того, деятельность поставщиков «облачных» услуг все в большей степени регулируется нормами защиты данных, которые устанавливаются различными организациями и стандартами. SCB контролирует привилегированный доступ к «облачным» центрам обработки данных и записывает действия в защищенные от несанкционированных изменений журналы, обеспечивая достоверные доказательства, которые можно использовать для поиска ответственных лиц и соблюдения требований регулирования.

  • Поиск и устранение неисправностей и расследование инцидентов в области ИТ
При возникновении инцидента все хотят знать реальную картину произошедшего. Анализ логов, в которых информация записана в текстовом виде, может быть чрезвычайно трудоемким и потребовать привлечения сторонних экспертов. Возможность легко воссоздать действия, выполненные в определенный интервал времени, позволяет компаниям сократить время расследования и избежать непредвиденных расходов.

  • Контроль в крупной ИТ-инфраструктуре
На крупных предприятиях со сложной сегментацией сетей могут работать сотни системных администраторов. Зачастую первоначальные попытки установить, кто имел доступ к той или иной информации, бывают трудновыполнимыми. Через какое-то время руководители понимают, что все системные администраторы имеют или могут иметь неограниченные права доступа ко всем серверам в компании. Такая ситуация, наряду с полным отсутствием ответственности, может стать существенной проблемой для руководства даже в том случае, если на предприятии работает ведущий системный администратор или два ведущих системных администратора.

  • Защита конфиденциальных данных
Многие компании хранят личные данные, например информацию о выставленных счетах, данные о проведенных платежах и персональную финансовую информацию, и управляют ей. Доступ пользователей к этим данным должен быть записан в логи и храниться в архивированном виде на протяжении нескольких лет. В случае любого несанкционированного доступа и утечки данных репутации компании может быть нанесен существенный урон.

  • Управление пользователями VDI
Предприятия все больше реализуют инфраструктуры виртуализированных рабочих столов. При этом пользователи работают на локальном компьютере, а все приложения, процессы и данные централизованно используются и хранятся на сервере. Однако множество бизнес-приложений, которые выполняются на этих серверах терминалов, не могут обеспечить достаточную запись логов. Это означает, что проконтролировать активность нескольких сотен или тысяч пользователей «тонких» клиентов практически невозможно. SCB может выполнить аудит протоколов, которые используются в популярных приложениях VDI (например, CITRIX XenDesktop, VMware View), позволяя отследить и записать все действия пользователей независимо от используемого приложения.
Оформить заявку
Вернуться
к описанию