Privilege Management for Windows and Mac
A preventative approach to Endpoint Security that stops malware & phishing attacks on Windows & Mac. Watch the demo to learn how it works.
Moving from a Reactive to Preventative Endpoint Security Strategy
With 70% of successful breaches starting at the endpoint in 2019 and malware increasing by 30,000% in 2020, traditional Endpoint Security strategies are evolving. Unlike traditional solutions that provide detection, BeyondTrust Endpoint Privilege Management uses prevention to stop security incidents by removing admin rights and enforcing application control—without hindering end-user productivity.
Elevate Applications, Not Users
Maintain security, user productivity, and IT operational efficiency by enforcing least privilege across Windows desktop and servers & macOS environments
Track and Control Applications
Protect endpoints from malware by allow-listing approved applications and catch bad scripts from executing through trusted applications
Stop Malware, Ransomware and Phishing Attacks
Prevent cyberattacks at the surface by removing admin rights, giving users just enough access to do their jobs, and implanting application control
Secure Endpoints while Expanding Remote Work
BeyondTrust Privilege Management prevents malware and ransomware attacks while reducing the burden on the service desk.
«If you are looking for a solution that allows you to quickly and easily eliminate admin rights, I have no hesitation recommending this solution to any organization.»
Highlighted Privilege Management Features
QuickStart Templates
Flexible, out-of-the-box workstyle templates help implement least privilege policies in days, not months—working effectively for every role and across Windows & Mac systems.
Trusted Application Protection
The pre-built templates stop attacks involving trusted applications, catching bad scripts and infected email attachments—immediately stopping trojan horses, fileless attacks, and more.
Pragmatic Application Control
Automated exception handling gives total control over what users can install or run and puts control over applications back into the safe hands of IT.
Open Integrations Framework
Power Rules uses PowerShell scripts to automate workflows, create custom behaviors, or build integrations with ITSM and other tools because your security ecosystem is more than any one product.
Passwordless Administration
Perform administrative functions on an endpoint without the need for privileged or administrator credentials—taking away the biggest and most prized attack vector sought by threat actors.
Enterprise Auditing & Reporting
Provide a single audit trail of all user activity to streamline forensics and simplify compliance, and use graphical dashboards and reports for fast access.
Flexible Deployment Options that Scale with the Business
Deploy On-Premises or in the Cloud
Select from multiple deployment models to best suit the needs of the organization, compliance requirements, and security ecosystem.
Achieve True Least Privilege on Day 1
Removing admin rights doesn’t have to be hard, and doesn’t require a weeks or months long implementation.
BeyondTrust protects your estate right away, allowing you to analyze behavior and refine policies as you go. Achieve true least privilege on day one, without over-restricting users. Here’s how:
Stop Zero Day Threats and Fileless Ransomware Attacks
Many cyber attacks target trusted applications, which remain a threat even if you’ve removed admin rights. Attackers can use script-based malware in Office documents and PowerShell to conduct file-less attacks and evade detection.
The pre-built templates within Trusted Applications Protection stop attacks involving trusted apps, catching bad scripts and infected email attachments immediately.
Use it to protect trusted applications such as Word, PowerPoint, Excel, Adobe Reader, common web browsers, and more by controlling their child processes and DLLs.
Integrate Endpoint Privilege Management with Your Existing Environment
Allow users to request to run an application, installation, script, or task by sending a ticket directly to ServiceNow.
Capture events from Privilege Management and report on them in Splunk Enterprise.
Beyondtrust privilege management что это
Коронавирус заставил многие компании по всему миру перейти на «удаленку». Для некоторых компаний это стало естественным процессом, и они просто масштабировали существующие практики дистанционной работы. В некоторых компаниях это стало серьезным вызовом для ИТ и ИБ, которым потребовалось адаптировать бизнес-процессы компаний под новые условия.
Тенденция ухода на удаленную работу началась не сегодня, и текущий всемирный бизнес-локаут, связанный с пандемией, не породил её, а лишь послужил катализатором. Многие компании, ушедшие от концепции офисной работы, уже не вернутся назад. Вывод работников за периметр офиса и предприятия — это тенденция выгодная как работникам, так и работодателям. А чтобы воспользоваться всеми преимуществами «удаленки», не жертвуя безопасностью, требуется концепция кибербезопасности «Zero Trust».
Модель «Zero Trust» (нулевое доверие) ориентирована на защиту ресурсов и основана на предположении, что в корпоративной сети уже присутствует злоумышленник, следовательно, требуется максимально ограничить доступ к ресурсам компании и предоставить авторизованному пользователю минимально возможный объем привилегий, необходимый для выполнения задачи. Zero Trust – это не новая парадигма кибербезопасности, но до последнего момента она была не особо актуальна в связи с тем что, практическое внедрение практик нулевого доверия приводит к усложнению и удорожанию бизнес-процессов компании. Переход бизнеса на «удаленку» возродил интерес к этой модели. Однако, переход к «Zero Trust» — это масштабное мероприятие, которое, как правило, требует создания правильной ИТ-архитектуры с нулевым доверием в качестве движущего принципа безопасности с самого начала. Без учета существующего в компании стека технологий, инструментов, используемых для удаленного доступа и управления уязвимостями, это всего лишь теоретический подход, а не готовое решение, которое можно купить для модернизации существующих систем.
По словам Моррея Хабера, технического директора компании BeyondTrust, модель Zero Trust выглядит логичной, но для многих нереальной. Она требует микросегментации ресурсов и создания «зон доверия» для управления критическими ресурсами. Ее внедрение также влечет за собой развертывание технологий для мониторинга и управления данными между зонами и, что более важно, взаимодействия с пользователем внутри зоны (зон). При всем этом началом пути к внедрению «Zero Trust» является внедрение Privilege Access Management (PAM) системы. Zero Trust требует строгого контроля ресурсов для реализации модели микропериметров. Удаление административных прав пользователей, управления учетками и паролями, устранение разделенных учеток, интегрированная запись пользовательской активности, и подобные – это основные функции PAM системы. Однако, расширение ее до Zero Trust, то есть всех пользователей и ИТ активов организации, позволяет сделать первый шаг к необходимой защите процессов автоматизации, контроля микропериметров, обнаружения данных и аналитики безопасности. Таким образом, вы можете уже сейчас сделать первый шаг к «Zero Trust» и внедрить принцип «least privilege» (наименее возможных привилегий) на конечных точках, управление привилегиями, удалить излишние административных права, автоматизировать управление учетными записями и паролями, устранить общие привилегированные учетные записи, организовать запись сеансов, и обеспечить мониторинг взаимодействия между изолированным сегментами с помощью BeyondTrust Universal Privilege Management.
BeyondTrust Universal Privilege Management
Наиболее серьезные нарушения кибербезопасности связаны с использованием неправильно управляемых привилегий, которые злоумышленники используют для проникновения и перемещения по сетям. Количество привилегий в информационной среде компании увеличивается лавинообразно.
Как можно защитить свою организацию от этого взрыва количества и разнообразия привилегий? Это потребует выхода за рамки простой защиты паролей к современному подходу, который защищает каждого пользователя, сеанс и актив. Универсальная модель управления привилегиями BeyondTrust защищает и управляет привилегиями по всему ландшафту.
Платформа BeyondTrust предоставляет три интегрированных решения, которые значительно сокращают поверхность атаки и возможности воздействия на компанию, одновременно повышая производительность бизнеса.
Универсальная модель управления привилегиями позволяет создавать собственные сценарии модернизации управления привилегиями, начав с наиболее актуальных вариантов использования предлагаемых BeyondTrust, а затем последовательно и постепенно переходя к дополнительным сценариям использования.
Например организации, которые хотят начать работу с защиты привилегированного доступа от третьих лиц или удаления привилегий с настольных компьютеров, могут сделать это без необходимости сперва внедрить решение для управления паролями.
Наглядно концепция решения хорошо продемонстрирована на официальном видеоролике компании BeyondTrust.
Сейчас в связи с пандемией Компания BeyondTrust дает бесплатный 90-дневный пробный период. Воспользуйтесь бесплатно преимуществами решения.
Управление привилегиями на конечных точках Endpoint Privilege Management
В системе реализованы механизмы эскалации конкретных привилегий в данное время в минимально необходимом объеме, достаточном для решения конкретной бизнес задачи и учитывающие в динамике изменение окружения.
Состоит из трех основных компонентов: Privilege Management for Windows and Mac – агентское решение позволяющее гибко управлять административными правами на рабочих станциях. Пользователю больше не нужно давать никаких полномочий администратора.
Privilege Management for Unix, Linux, and Networked Devices – Платформа управления привилегиями серверов Unix и Linux является решением контроля использования привилегий. Ядром платформы является один или несколько серверов авторизации. Эти серверы обрабатывают все запросы на использование привилегий на серверах Unix и Linux на основе проверенных политики идентификации и использования привилегий. Платформа позволяет применение гранулярных политик, поэтому каждый человек может получить только необходимые привилегии только на необходимые серверы.
Active Directory (AD) Bridge – включает в Active Directory аутентификацию для сред Unix, Linux и Mac, позволяет проводить аутентификацию Kerberos Active Directory и возможности единого входа (SSO) на этих платформах.
Управление привилегиями для рабочих станций Windows и Mac- Privilege Management for Windows and Mac
Одно из преимуществ этого решения – быстрота развертывания, а внедрение систем гибкого автоматизированного управления правами конечного пользователя может снижать нагрузку на службу поддержки до 40%.
Набор предустановленных шаблонов и инструментов QuickStart позволяет ускорить автоматизацию развертывания, сократить ресурсы и начать использовать систему сразу после разворачивания.
Кроме того, система контролирует безопасность рабочей станции на наличие обновлений, уязвимости привилегий, ведет журнал доступа.
Если пользователю нужно поставить новое приложение, ему не обязательно звать администратора. Система позволяет пользователю самостоятельно установить приложения из белого списка из корпоративного репозитория доверенных приложений. Белые, серые и чёрные списки приложений позволяют значительно уменьшить риск установки подозрительных программ при сохранении самостоятельности и гибкости формирования рабочего окружения пользователя на его рабочей станции.
Давать или не давать sudo больше не дилемма. Система позволяет исключать root доступ и с высокой детализацией управлять командами и скриптами. Реализовано разделение привилегий и разделение обязанностей, чтобы ограничить широту привилегий, доступных конкретной учетной записи, и тем самым исключить постоянный доступ, предоставляя привилегии «just-in-time». Другими словами, люди не имеют прямого доступа к использованию привилегий на каждом Unix и Linux сервере; они не знают пароли или другие учетные данные, которые позволят получить привилегированный доступ. Привилегированный доступ может быть получен только через серверы платформы авторизации.
Архитектура платформы управления привилегиями сервера Unix и Linux обеспечивает безопасную централизацию управления и мониторинга всего привилегированного доступа к серверам Unix и Linux. Это резко контрастирует с традиционным sudo, который требует локального управления и ведения журнала на каждом сервере, предлагая ограниченные возможности для контроля, мониторинга и расследования использования привилегий. Главной целью платформы управления привилегиями сервера Unix и Linux является ограничение доступа к привилегированным учетным записям для достижения соответствия и снижения риска компрометации без негативного влияния на производительность. Таким образом решение преследует и реализует четыре основные цели:
Active Directory Bridge
Де-факто Microsoft Active Directory является стандартом для управления инфраструктурой предприятий. Для многих компаний IDM функционал Active Directory вполне достаточен для решения базовых задач идентификации пользователей и управления доступом. Это работает для Windows устройств. Однако, многие важные ИТ системы часто расположены на машинах под управлением Linux/Unix. Расширяя групповые политики Active Directory на не-Windows платформы, BeyondTrust обеспечивает централизованное управление конфигурациями, снижает риск и сложность управления неоднородной средой, разрешает пользователям использовать свои учетные данные AD для доступа к системам Unix, Linux или Mac и позволяет переходить с настольных компьютеров на удаленные компьютеры или между системами не требуя от них повторного ввода учетных данных.
BeyondTrust AD Bridge является единственным решением, которое не изменяет схему Active Directory при добавлении Linux, Unix и Mac OS X.
Безопасный удаленный доступ Secure Remote Access
Использование удаленного доступа BeyondTrust Secure Remote Access позволяет расширить на поставщиков и удаленных работников лучшие практики управления доступом. Лишив удаленных пользователей возможности пробрасывать VPN, с полным доступом к сети, становится возможно применять управление привилегиями, контролировать количество сессий и продолжительность доступа наряду с высокой грануляцией разрешений на то, куда и когда пользователь может получить доступ. Отсутствие VPN в архитектуре избавляет от необходимости открывать порты в файрволлах, создавая ненужные уязвимости.
Решение позволяет удаленным поставщикам и работникам инжектировать одноразовые учетные данные для запуска сеансов, не раскрывая им пароли, чтобы их нельзя было скомпрометировать, создает журналы и отчеты, а также отслеживает все сеансы поставщиков и удаленных работников в режиме реального времени.
Все более важное значение приобретает управление привилегиями для Интернета вещей в сетях с медицинским или промышленным оборудованием в недоверенных средах. BeyondTrust Secure Remote Access позволяет обнаруживать и подключать все устройства, а затем применяет лучшие методы управления паролями, например устраняет встроенные или жестко заданные учетные данные, поддерживает уникальность паролей и хранит учетные данные в защищенном от несанкционированного доступа хранилище. Детальный контроль выданных на время привилегий для позволяет управлять тем, какие команды могут быть запущены пользователями.
И, конечно, ведется запись сеансов, чтобы обеспечить полный аудит действий пользователя и анализировать поведение для обнаружения подозрительных действий.
Например, сравним подключение через VPN и BeyondTrust Secure Remote Access.
Группа решений BeyondTrust Secure Remote Access была изначально разработана с учетом требований к безопасности в крупных компаниях. Решения можно развернуть on-premise или в выделенном облаке в безопасном ЦОД BeyondTrust.
Встроенные средства интеграции позволяют органично вписать новое решение в существующие процессы.
BeyondTrust Secure Remote Access включает в себя 2 решения:
Privilege Remote Support – поддержка удаленных рабочих мест сотрудниками службы поддержки,
Privilege Remote Access – организация доступа к серверам компании со стороны внешних подрядчиков или удаленных администраторов.
Привилегированная удаленная поддержка Privilege Remote Support
Решение позволяет осуществлять техническую поддержку на любой платформе находящихся в любой точке мира сотрудников и устройств. Для разрешения технических проблем пользователей инженер может просматривать экран удаленного компьютера, писать сообщения, вносить изменения в реестр, отправлять на него файлы и даже просматривать камеру мобильного телефона удаленного сотрудника для получения представления о внешнем состоянии устройства (периферии, например, или сетевых подключений).
Техническая поддержка должна предоставляться быстро и качественно. В решении реализована командная работа, повышение привилегий, возможность передачи сеанса поддержки другому специалисту с нужными навыками. Организована очередь поддержки и автоматизирована балансировка между инженерами. BeyondTrust интегрирован со службами каталогов (LDAP, AD), что позволяет легко управлять доступом к сотням и даже тысячам устройствам, устанавливая нужное ПО. А гранулированные настройки прав и политик сеансов позволяют предоставлять инженерам привилегии в соответствии с принципом least privilege.
Решение автоматически фиксирует в журнале все действия инженера в сеансе, осуществляет мониторинг его действий в реальном времени. Журнал действий в сеансе можно использовать не только для аудита, что требуют регуляторы, но и для анализа действий и даже организации презентации и обучения персонала.
Брендирование технической поддержки способствует повышению уровня доверия клиента. В решении BeyondTrust вы можете настроить вид веб-портала, загрузить логотип компании, организовать опросы после окончания сеанса поддержки и даже загрузить фотографии инженеров из службы каталогов.
Решение легко интегрируется в существующую инфраструктуру компании благодаря встроенным инструментам поддержки службы каталогов, ITSM систем, сторонних инструментов аутентификации, SIEM систем, менеджеров паролей.
При интеграции BeyondTrust Remote Support с BeyondTrust Password Safe система автоматически подставляет учетные данные целевых систем, не показывая их инженерам. Это повышает скорость их работы и минимизирует риск компрометации учетной записи. Кроме того, в решение встроена поддержка двухфакторной аутентификации.
Privilege Remote Support позволяет поддерживать все системы через Интернет, даже если они защищены брандмауэром, который вы не контролируете. Полный функционал безопасной удаленной поддержки в одном решении снижает время разрешения проблемы. Поддерживаются удаленные компьютеры под управлением Windows, Mac, Linux, мобильные устройства под управлением Android и iOS, а также сетевые устройства. Технические специалисты могут оказывать поддержку, используя любимое устройство, даже планшет под управлением Android или iPad. Веб консоль позволяет удаленным сотрудникам запускать сеанс, не требуя предварительной установки каких-либо клиентов, и быстро получить техническую поддержку.
При развертывании решения on-premise в демилитаризованной зоне устанавливается Appliance, который позволяет снаружи устанавливать защищённое HTTPS соединение без использования VPN, а внутри устанавливает соединение, присущее текущей задаче. Таким образом технологические, часто легко уязвимые, сессии управления серверами и сетевыми устройствами находятся в защищенной, изолированной от внешних атак среде, а внешнее соединение защищено SSL\TLS шифрованием.
Привилегированный удаленный доступ Privilege Remote Access
С помощью решения Privilege Remote Access удаленные сотрудники могут получать доступ к своим офисным компьютерам, вендоры и подрядчики могут продолжать удаленно осуществлять поддержку корпоративных ресурсов, используя собственные устройства надежно, контролируемо и безопасно.
Предусмотрена возможность подключать сегменты сети за счет быстрой установки в них несложного Jump сервера
Как и при развертывании Privilege Remote Support, для развертывания Privilege Remote Access on-premise в демилитаризованной зоне устанавливается Appliance, который позволяет снаружи устанавливать защищённое HTTPS соединение без использования VPN, а внутри устанавливает соединение, присущее текущей задаче.
BeyondTrust не требует изменений в вашем брандмауэре, поскольку конечные точки и привилегированные пользователи подключаются к устройству через исходящие соединения. Это значит, что если удаленный компьютер или сервер могут подключаться к Интернету, пользователи, не подключенные к сети, могут подключаться к нему через BeyondTrust без использования VPN.
Если удаленные компьютеры или сетевые устройства не подключены к Интернету, к ним можно получить доступ через узел BeyondTrust, подключенный к Интернету.
В большинстве случаев подключение к удаленному компьютеру устанавливается без развертывания удаленных агентов или индивидуальной настройки удаленных компьютеров.
BeyondTrust поддерживает несколько удаленных протоколов: RDP, SSH, Telnet и собственный проприетарный протокол с большими, чем у стандартных соединений, возможностями. Как консоль доступа привилегированных пользователей, так и приложение для конечных точек работает в системах Windows, Mac, Linux, на сетевых устройствах, а также на планшетах под управлением Android и iOS. Все действия во время удаленных сеансов фиксируются в подробном журнале и в виде видеофайлов. Все данные сеанса защищены TLS/SSL шифрованием.
Эта часть BeyondTrust автоматически обнаруживает и берет под контроль все типы используемых привилегированных учетных записей.
Взяв привилегированные учетные записи под контроль, система сменяет пароли и ключи, которые защищают учетные записи сотрудников, поставщиков приложений, машины, сервисы, службы и, более того, исключает жестко зашитые в код учетные записи, заменяя их вызовами API, усиливает сегментацию за счет реализации разделения привилегий и разделения ответственности, а также ведет мониторинг и управление каждым привилегированным сеансом, чтобы можно было анализировать признаки потенциальных угроз и собирать полный журнал аудита привилегированных действий
Privileged Password Management включает в себя 3 компонента:
Password Safe – единое управление привилегированными паролями и сеансами привилегированного доступа, обнаружение, управление, аудит и мониторинг привилегированных учетных данных.
Cloud Vault – облачное хранилище для хранения и инъектирования привилегированных учетных записей.
DevOps Secrets Safe – предназначен для централизованного управления секретами в контейнерных средах CI/CD.
PasswordSafe
Обнаруживает и профилирует все известные и неизвестные активы, общие учетные записи, учетные записи пользователей и учетные записи служб, быстро идентифицирует активы с общими чертами и автоматически группирует их с помощью Smart Rules. Автоматически обнаруживает все SSH ключи на хост-системах. Рандомизирует пароли по расписанию или по использованию, чтобы исключить риск утечки. Применяет парольные политики в соответствии с любыми требованиями сложности и возрастом. Автоматически ротирует SSH ключи в соответствии с заданным расписанием и обеспечивает детальный контроль доступа и рабочих процессов.
Оптимизирует рабочие процессы: использует настоящие средства управления доступом на основе ролей (RBAC) с интеграцией Active Directory и LDAP для назначения ролей и прав пользователям.
Управляет рабочим процессом оформления допуска с помощью бесшовного подключения к RDP и SSH с помощью встроенных инструментов рабочего стола, таких как puTTY и Microsoft MSTSC.
Предоставляет дополнительный контекст, учитывая день, дату, время и местоположение, когда пользователь обращается к ресурсам, чтобы определить, имеет ли он доступ к этим системам.
Cloud Vault
Виртуальные и облачные среды, будь то публичное или частное облако, создают новые проблемы с доверенным доступом. Универсальный подход к управлению привилегиями позволяет применять рекомендации PAM к облачным средам, включая временную аренду привилегий.
Система может автоматически обнаруживать как встроенные, так и автономные инстансы для управления всеми их паролями и ключами, в том числе теми, которые являются уникальными для облачной среды; такие как API-интерфейсы гипервизора и консолей управления, реализовать мониторинг сеансов для всего административного или root доступа к провайдерам облачных услуг, даже в случае программной платформы IAC (инфраструктура как сервис). И, наконец, система позволяет осуществлять полный мониторинг и управление сеансами и удаление всех повышенных прав доступа в облаке
DevOps SecretSafe
Все больше организаций переходят на DevOps. Все более важным становится уход от практики встроенных и жестко закодированных учетных данных. Для сохранения доверенной среды нужна автоматизация обнаружения и передачи в защищенное хранилище всех учетных данных и секретов, используемых в DevOps и рабочих процессах автоматизации. Секреты должны храниться в одном месте и, что более важно, управляться. Наше решение устраняет жестко закодированные учетные данные в конвейерах CI CD и инструментах DevOps и заменяет их вызовами API. Вы можете применять аренду ключей для инструментов и ресурсов DevOps, обеспечить безопасность и производительность, успешную защиту и автоматизацию, и внедрить другие средства управления безопасностью без ухудшения производительности для поддержки гибкости DevOps.
BeyondInsight
Все элементы BeyondTrust Universal Privilege Management интегрируются и управляются из общей консоли BeyondInsight. Созданная на базе технологии HTML5 консоль позволяет комбинировать виджеты и создавать из них свои собственные динамические информационные панели, с помощью которых можно управлять всеми доступными модулями.
Кликнув на виджете, можно получить детальную информацию по каждому модулю, или получить отчет в нужном разрезе.
Интеграция с существующими инструментами безопасности помогает сохранить инвестиции, увеличить прозрачность процессов защиты, проводить анализ угроз, связанных с использованием привилегированного доступа, предоставлять консолидированные данные для внешнего и внутреннего аудита, составлять отчётность и начать внедрять принципы наименее возможных привилегий сразу после запуска системы в промышленную эксплуатацию.
Заключение
Глобализация и цифровая трансформация стирает границы офисов, удаленная работа становится новой реалией, и выиграют те компании, которые смогут быстро и безболезненно адаптироваться к новым условиям ведения бизнеса. Как известно, выигрывает самый быстрый. Использование удобных и безопасных инструментов, таких как BeyondTrust Universal Privilege Management, поможет вам выиграть в этой гонке.
Единственным дистрибьютором BeyondTrust в России является компания Web Control. Специалисты компании имеют многолетний успешный опыт внедрения решения в крупнейших компаниях класса «enterprise». Контактная информация info@web-control.ru, web-control.ru
Где можно получить дополнительную информацию
Если необходимо узнать больше, можно связаться с дистрибьютором, компанией Web Control. Часто публикуются переводы интересных статей вендора на сайте и в Facebook.
Также могут оказаться интересными следующие материалы вендора:
