Блок управления оболочкой

Shell Control Box (SCB) — это устройство сетевой безопасности , которое контролирует привилегированный доступ к удаленным ИТ-системам, записывает действия в воспроизводимые журналы аудита и предотвращает вредоносные действия. Например, он записывает, как системный администратор обновляет файловый сервер или сторонний оператор сети настраивает маршрутизатор. Записанные контрольные журналы можно воспроизводить, как кинофильм, чтобы просмотреть события по мере их возникновения. Содержимое журналов аудита индексируется, чтобы сделать возможным поиск событий и автоматическое составление отчетов.

SCB — это устройство на базе Linux, разработанное Balabit. Это прокси-шлюз уровня приложения. В 2017 году Balabit изменила название продукта на Privileged Session Management (PSM) и позиционировала его как основной модуль своего решения Privileged Access Management.

Shell Control Box (SCB) компании Balabit для управления привилегированными сеансами (PSM) — это устройство, которое контролирует, отслеживает и проверяет удаленный административный доступ к серверам и сетевым устройствам . Это инструмент для наблюдения за системными администраторами путем контроля зашифрованных соединений, используемых для администрирования. PSM (SCB) имеет полный контроль над соединениями SSH , RDP , Telnet , TN3270 , TN5250 , Citrix ICA и VNC , обеспечивая основу (с четкими границами) для работы администраторов.

PSM (SCB) действует как шлюз аутентификации , обеспечивая строгую аутентификацию до того, как пользователи получат доступ к ИТ-ресурсам. PSM также может интегрироваться с каталогами пользователей (например, Microsoft Active Directory ) для определения членства в группах пользователей, имеющих доступ к защищенным серверам. Учетные данные для доступа к серверу извлекаются прозрачно из хранилища учетных данных PSM или сторонней системы управления паролями , при этом PSM выдает себя за аутентифицированного пользователя. Такое автоматическое получение паролей защищает конфиденциальность паролей, поскольку пользователи никогда не смогут получить к ним доступ.

PSM контролирует и проверяет привилегированный доступ по наиболее распространенным протоколам , таким как SSH, RDP или HTTP(s). Детальное управление доступом помогает контролировать, кто и когда может получить доступ к серверам. Также можно управлять расширенными функциями протоколов, например типом разрешенных каналов. Например, можно отключить ненужные каналы, такие как передача файлов или общий доступ к файлам, что снижает риск безопасности на сервере. Политики PSM для привилегированного доступа могут быть реализованы в одной системе.

Чтобы избежать случайной неправильной настройки и других человеческих ошибок, PSM поддерживает принцип авторизации «четырьмя глазами» . Это достигается за счет требования, чтобы авторизатор разрешил администраторам доступ к серверу. Авторизатор также имеет возможность отслеживать и прекращать сеанс администратора в режиме реального времени, как если бы они смотрели один и тот же экран.

PSM может отслеживать сетевой трафик в режиме реального времени и выполнять различные действия, если на экране появляется определенный шаблон (например, подозрительная команда, заголовок окна или текст). PSM также может обнаруживать определенные шаблоны, такие как номера кредитных карт. В случае обнаружения подозрительного действия пользователя PSM может отправить оповещение по электронной почте или немедленно разорвать соединение. Например, PSM может заблокировать соединение до того, как вступит в силу деструктивная команда администратора, такая как «rm».

PSM позволяет отслеживать действия пользователей, записывая их в защищенные от несанкционированного доступа и конфиденциальные журналы аудита. Он записывает выбранные сеансы в зашифрованные журналы аудита с отметками времени и цифровой подписью. Журналы аудита можно просматривать в Интернете или отслеживать в режиме реального времени, чтобы отслеживать действия пользователей. PSM воспроизводит записанные сеансы, как кинофильм: действия пользователей можно увидеть точно так, как они отображались на мониторе. Balabit Desktop Player обеспечивает быструю перемотку вперед во время повторов, поиск событий (например, введенных команд или нажатия Enter) и текстов, которые видит пользователь. В случае возникновения каких-либо проблем (манипулирование базой данных, неожиданное завершение работы и т. д.) обстоятельства события легко доступны в следах, что позволяет определить причину инцидента. Помимо записи контрольных журналов, переданные файлы также могут быть записаны и извлечены для дальнейшего анализа.

1. https://www.ssi.gouv.fr/entreprise/certification_cspn/balabit-shell-control-box-version-4-0-6-sec3/
2. https://channel9.msdn.com/Blogs/PartnerApps/Balabits-Shell-Control-Box-Isolates-Azure-Systems-from-Intruders
3. https://www.ovum.com/research/swot-assessment-balabit-shell-control-box-version-4-f1/
4. https://www.kuppingercole.com/report/ev71570
5. https://www.techvalidate.com/product-research/balabit-privileged-access-management
6. https://cybersecurity-excellence-awards.com/candidates/shell-control-box/
7. https://finance.yahoo.com/news/balabit-introduces-shell-control-box-163711081.html
8. http://www.computerworlduk.com/security/how-balabit-adapted-machine-learning-secure-privileged-account-blind-spot-3642389/
9. https://citrixready.citrix.com/balabit-s-a/privileged-session-management.html
10. https://azuremarketplace.microsoft.com/en-us/marketplace/apps/balabit.balabit-shell-control-box?tab=Overview
11. https://marketplace.microfocus.com/arcsight/content/balabit-shell-control-box
12. https://liebsoft.com/partners/technology-integrations/balabit/https://channel9.msdn.com/Blogs/PartnerApps/Balabits-Shell-Control-Box-Isolates-Azure-Systems-from-Intruders