Как усложнить жизнь злоумышленнику с помощью PAM?

Во многих компаниях по всему миру контроль привилегированного доступа до сих пор не налажен или осуществляется в ручном режиме*, что приводит к непредсказуемым негативным последствиям. Так, например, из-за отсутствия должного уровня безопасности управляющая одного из отделений «Россельхозбанка» в Краснодарском крае незаконно заключала кредитные договоры, пользуясь персональной информацией ничего не подозревающих граждан. Таким образом женщина успела обмануть 22 человека, выручив 9,8 млн рублей (источник: информационно-аналитический портал «Ясно», статья от 17 июля 2018 года).

_{*по результатам опроса глобального портала Help Net Security, в октябре 2018 года выяснилось, что 31% компаний контролирует действия привилегированных пользователей исключительно вручную.}

Чем усугубляется ситуация?

Проблема утечек конфиденциальных данных с использованием привилегированных учетных записей особенно актуальна для организаций с большим количеством технических сотрудников и подрядчиков (последним в большинстве случаев требуется именно привилегированный доступ). Привилегированные пользователи по сути являются системными администраторами с неограниченным доступом к ресурсам компании: данным, серверам, приложениям, рабочим станциям, оборудованию. Начиная с определенного масштаба, контролировать действия пользователей с привилегированными правами становится невозможно без специальных автоматизированных систем — ручная работа займет слишком много времени.

Угрозу представляют как неумышленные, так и преднамеренные действия владельцев привилегированных аккаунтов, однако доля злоумышленных актов преобладает. По данным InfoWatach за 2018 год, в России 61,5% утечек по вине привилегированных пользователей составляют умышленные случаи.

Сухим из воды не выйти!

Подобных случаев злонамеренного использования привилегированного доступа можно избежать на раннем этапе благодаря так называемым системам PAM (Privileged Access Management). Эти автоматизированные средства позволяют внимательно, а, главное, в автоматическом режиме, следить за действиями пользователей, а именно: управлять паролями общих и привилегированных учетных записей, учитывать их выдачу и своевременный отзыв, анализировать и фильтровать вводимые команды и действия, проводить аудит действий привилегированных пользователей, управлять доступом привилегированных учетных записей по запросу и с ограничением времени доступа, а также изолировать целевые серверы и ресурсы. 

На российском рынке как обычно всё по-особенному…

Несмотря на динамичный рост решений PAM, не все продукты распространены в России. Связано это прежде всего с давлением со стороны регуляторов в области информационной безопасности и необходимости в сертификации таких решений. Среди активно внедряемых средств на отечественном рынке можно назвать CyberArk, One Identity, Wallix Bastion, а также Zecurion от российских разработчиков. Причем зарубежные производители в основном предлагают свои решения частным компаниям, а отечественные с успехом внедряют сертифицированные разработки государственным организациям. 

Локально или в облаке?

С технической стороны системы PAM могут поставляться в виде локальных решений, но это влечет за собой большие расходы на внедрение и высокие операционные затраты. Подавляющее число интеграторов внедряет своим заказчикам облачные или гибридные продукты, работающие по модели SaaS. В последнее время все больше разработчиков отказываются от обязательного присутствия на устройстве заказчика агента, и это предоставляет возможность использовать нужные ресурсы с помощью привычного браузера по защищенному каналу.

Пароли, пароли

Самое трудоемкое в контроле привилегированных учетных записей — обследование всех систем и замена паролей в них, так как в большинстве случаев сотрудники их меняют нечасто. Сначала сканируется вся система и выявляются все информационные системы, а затем меняется пароль. Технически это несложно. Схема выглядит примерно так: пароль находится в хранилище, администратор стучится в систему и, если ему разрешен к ней доступ, система запрашивает из хранилища нужный пароль и предоставляется доступ. Создается некий посредник между администратором и системой. Это несколько меняет бизнес-процесс. ИТ-специалисты привыкли логиниться в приложении напрямую: открываешь консоль и подключаешься. Здесь же нужно заходить в другое место, чтобы открылась та же консоль. Это немного увеличивает затрачиваемое время, зато защищает компанию от действий злоумышленника.

Нужен ли для обслуживания системы квалифицированный инженер?

Нет. PAM довольно прост в использовании. Его можно внедрить и поддерживать силами интегратора. Но, к примеру, некоторыми заказчикам Softline предлагает модель, по которой компания берет на себя консалтинг и полное обслуживание служб ИБ, в том числе PAM. Инженеры Softline не только решают отдельные кейсы, но и предлагают подключать новые системы и применять новые схемы работы, которые позволяют чувствовать себя более защищенными от действий администратора.