Почему современной компании не обойтись без управления привилегированным доступом (PAM)
Коробков
руководитель направления корпоративных продаж ИТ-компании ВИАТ ЛЛС
Если у сторонних пользователей есть доступ к возможностям администратора, они представляют угрозу безопасности всей корпоративной информационной инфраструктуре. Аналогичная степень опасности наблюдается и в случаях, когда у некоторых сотрудников есть избыточные права доступа к администрированию IT-инфраструктуры - они могут нанести ущерб: удалить важные данные или передать информацию третьим лицам. Чтобы минимизировать риски и разграничить права доступа к данным, используются PAM-системы. Что такое PAM-система, в чем ее особенности и возможности, почему решение важно для бизнеса и как его подобрать, рассказал ComNews Владислав Коробков, руководитель направления корпоративных продаж ИТ-компании ВИАТ ЛЛС.
Что такое PAM-система, в чем ее преимущества, как она работает
PAM, или Pluggable Authentication Modules, можно разделить на две логические составляющие - подсистема для аутентификации пользователей и модули PAM.
Благодаря подсистеме приложения могут запрашивать у пользователей аутентификацию, изучать конфигурационные файлы и обращаться к модулям PAM. Сами модули - это библиотеки, содержащие описания обработчиков операций, которые могут быть направлены непосредственно к подсистемам PAM.
Программные решения, которые относятся к PAM, используются для:
Идентификации и входа в аккаунты пользователей с определенными правами доступа;
Анализа работы аккаунтов администраторов, автоматического ведения статистики, журналирования происходящих событий;
Выявления некорректной активности привилегированных пользователей, обнаружения операций, которые несут потенциальную угрозу информационной безопасности компании, блокировки этих операций;
Организации защищенной базы данных аккаунтов и предоставления единой точки доступа к ней при условии наличия нескольких авторизационных факторов и применения прочих механизмов защиты;
Понижения привилегий в адаптивном режиме для определенных групп пользователей до уровня, необходимого для выполнения конкретной операции;
Предотвращения применения неизменяемых логинов/паролей в каких-либо других приложениях ИТ-инфраструктуры;
Исключения бесконтрольного применения разделяемых аккаунтов (admin, root).
Преимущества PAM-систем
Очевидные преимуществ Pluggable Authentication Modules:
Чем больше привилегий имеет конкретный пользователь в рамках своего аккаунта или управления процессами, тем выше шансы ошибок, эксплойта, злоупотребления полномочиями. PAM позволяет свести к минимуму риски нарушения работы системы информационной безопасности, а также ограничивает доступ к определенным операциям и процессам при возникновении угрозы ИБ.
Используя PAM-систему, можно одновременно обрывать сразу несколько точек в цепочке кибератак. Это обеспечивает защиту IT-инфраструктуры от внутренних атак и от внешних вмешательств.
С PAM-системой можно ограничивать доступ для аккаунтов, приложений или процессов, уменьшая площадь атаки, а также обеспечивать дальнейшую защиту от внутренних и внешних киберугроз.
PAM позволяет ограничить распространение вредоносного программного обеспечения в корпоративной сети, так как обычно такому ПО необходимы повышенные привилегии для инсталляции и запуска. В корпоративных масштабах исключение излишних привилегий не позволит вредоносным приложениям закрепиться в сети.
Снижается риск возникновения несовместимости административных приложений и систем. Минимизируется возможность простоя оборудования.
С PAM-системами можно организовать удобное управление доступом привилегированных пользователей к системе и сформировать простую среду для аудита IT-инфраструктуры.
Принципы контроля привилегированных пользователей в рамках PAM
Контроль операций, которые выполняют привилегированные аккаунты в рамках PAM-системы, достигается путем идентификации сессии, требующей более широкого набора прав доступа. Затем все "пропущенные" пользователи будут авторизованы в системе через защищенный шлюз.
После этого PAM-система будет анализировать и фиксировать все, что делают авторизованные привилегированные пользователи, и изучать их поведение по определенным параметрам. Сегодня для решения этой задачи применяется ИИ и прогрессивные способы машинного обучения.
Если PAM выявит некорректные действия со стороны пользователя, то ответственному лицу будет отправлено соответствующее уведомление, пользователь будет ограничен в правах, его уровень доступа будет понижен, а в определенных ситуациях доступ к системе для "нарушителя" будет закрыт.
Не так давно PAM-решения представляли собой подсистемы комплексных продуктов для управления идентификацией пользователей в системе IAM - Identity and Access Management. Такой подход использовали многие крупные компании, которые хотели удовлетворить большинство потребностей своих клиентов. Но сегодня можно наблюдать и другой процесс - продукты, которые раньше в рамках контроля привилегированных пользователей разрабатывались для решения узких задач, расширяют свой функционал. Так, многие PAM-решения обеспечивают анализ пользовательского поведения, защиту паролей и криптографических ключей, интеграцию с SIEM-решениями. А также имеют фильтры безопасности и поставляются клиенту в виде собственной CRM-системы. Многие современные разработки в этой сфере могут играть роль надстроек над другими решениями и обеспечивать многофакторную аутентификацию, управление средами DevOps.
Доступные сегодня на рынке PAM могут включать следующие подсистемы, расширяющие их возможности:
PSM (Privileged Session Manager) - диспетчер сеансов, выполняющий анализ активности пользователей с определенными правами в разрезе ресурсов, которые используются этими пользователями.
Анализатор действий аккаунта - сводит к минимуму риски некорректной активности.
AAPM (Application to Application Password Manager) - диспетчер паролей для используемого ПО, который определяет "вшитые" пароли и подменяет их своей системой авторизации.
SSO (Single Sign On) - подсистема единого входа, используемая для минимизации риска поверхностных атак и обеспечивающая доступ к возможностям технологии SSO.
Если рассматривать PAM с технической стороны, то такие системы могут предоставляться конечному пользователю как локальное решение. Такой формат сопряжен с повышенными финансовыми затратами на внедрение и прочими смежными расходами. Поэтому обычно решение предлагается поставщиками в виде облачного или гибридного продукта, который распространяется по схеме SaaS.
Почему бизнесу нужны PAM-системы
Контроль действий администраторских аккаунтов, которые имеют повышенный доступ к корпоративным системам, а также защита данных и самой IT-инфраструктуры от несанкционированного доступа к ней - важнейшие задачи, которые решают PAM-системы.
Если не принимать меры по защите инфраструктуры компании, это приведет к негативным последствиям. Сотрудник, имеющий чрезмерный доступ к ресурсам, может нарушить ход налаженных процессов бизнеса, а удаленная работа только повышает эту возможность. Кроме того, значительно увеличиваются риски несанкционированного доступа злоумышленников к IT-инфраструктуре.
Если использовать PAM, третьим лицам будет сложно проникнуть в корпоративную сеть. Подключаемые модули аутентификации обеспечивают защиту привилегированных пользователей, которые могут изменять настройки доступа к системе. PAM усиливает защиту учетных записей администраторов, благодаря чему компания всегда будет в курсе, кто заходит под логином/паролем админа и что именно происходит.
Без PAM современный бизнес становится более уязвимым перед третьими лицами, взломами, кражей и дальнейшим "сливом" корпоративной информации.
Как пострадали компании без PAM
Один из ярких случаев злоупотребления правами доступа произошел в компании Siemens. Подрядчик предоставлял услуги по созданию и обработке электронных таблиц. В течение некоторого времени после работы контрагента, таблицы давали сбой, и компании вновь требовалась помощь настройщика. Причинами сбоя были внедряемые горе-работником ловушки - скрипты или подпрограммы, которые запускались по продуманной схеме. Обман случайно обнаружили через несколько лет. Специалист находился в отпуске и не смог оперативно уладить очередной "сбой". Он передал пароли сотрудникам Siemens, это и рассекретило мошенника.
Другой инцидент произошел в фармацевтической компании Shionogi. С треском уволенный ИТ-администратор с помощью старого аккаунта получил доступ к сети компании и нанес значительный вред IT -инфраструктуре. Преступник был найден и наказан, но в результате диверсии операции Shionogi были приостановлены на несколько дней, а потери составили $800 тысяч.
Модель JIT (привилегированный доступ "точно в срок")
PAM базируется на администрировании JIT (just in time - "точно в срок") и тесно связан с JEA (just enough - "сколько нужно"). JEA представляет собой набор программных решений, определяющий список команд для выполнения тех или иных операций привилегированными аккаунтами. По сути, это некая "конечная точка", в рамках которой администраторы системы могут получать разрешения на выполнение определенных операций.
В JEA лишь администратор может решать, какие конкретно действия разрешены привилегированным пользователям. Каждый раз, когда одному из таких пользователей будет необходимо выполнить определенную операцию, он будет получать разрешение на конкретные действия. При этом такие разрешения имеют срок действия, по истечении которого доступ закрывается, и его не сможет получить третье лицо.
Советы по выбору PAM
Рынок предлагает массу различных PAM-систем, которые, по сути, решают одни и те же задачи, но только разными способами. И здесь каждый бизнес волен выбирать именно то, что ему подходит: одним корпорациям достаточно простой идентификационной платформы, другие нуждаются в брокере привилегий с аналитическими системами, третьим необходимо решение с детальным журналированием действий.
Есть также компании, для которых полная потеря IT-инфраструктуры не принесет серьезных убытков, а есть корпорации, где каждая минута простоя будет стоить огромных денег. Поэтому в основе выбора PAM-системы должна лежать модель привилегий. При ее формировании важно учитывать потенциальные угрозы для отдельной корпоративной IT-инфраструктуры. Такой подход поможет понять, что конкретно нужно бизнесу.
Также важно помнить и про организацию работы администратора системы: необходимо создать такие условия работы, в которых для согласования и получения доступа к IT-системам не нужно выполнять много действий. Идеально - избавиться от согласований получения доступа через мессенджеры, привычек хранить логины с паролями под клавиатурой и подобных вещей.
PAM-система должна быть выбрана таким образом, чтобы реально повысить эффективность ИБ и оправдывать затраты на содержание IT-инфраструктуры:
Стать вспомогательным инструментом для администраторов - упростить процессы предоставления прав на доступ в нужный момент.
Не требовать от администратора выполнения множества переходов по вкладкам.
Снизить до минимума необходимость ручного ввода данных в электронные формы при работе со смежными системами (SIEM, IDM, Inventory).
Для специалистов, которые будут иметь привилегированный доступ к системе, нужно обеспечить удобный рабочий интерфейс, в рамках которого они смогут решать свои задачи с минимальными трудозатратами.
Еще один ключевой фактор при выборе PAM - нагрузочная способность или максимальное число параллельных подключений, которое может контролировать система. Если речь идет о крупной компании, часто возникает опасение, что система будет создавать преграды и провоцировать задержки. Поэтому для таких предприятий PAM-системы должны поддерживать быструю интеграцию в IT-инфраструктуру с уже налаженными процессами.
Отдельного внимания заслуживает импортозамещение программного обеспечения в РФ. В этом сегменте лидирует рынок антивирусов от российских программистов. Также спросом пользуются операционные системы отечественного производства. Все эти продукты поддерживают интеграцию с современными PAM-системами и часто используются как ответ на санкции в отношении РФ.
Выводы
PAM-системы необходимы бизнесу любого масштаба и отрасли - от небольших компаний до крупных корпораций. Кроме внедрения PAM следует обеспечить администраторам сети комфортную работу в рамках внедренного решения. Также важно помнить и про дополнительные подсистемы, которые входят в PAM, - выбирать продукт с действительно необходимым функционалом.
