
Контроль действий пользователей
Узнать больше11.07.2025
По данным исследования ГК «Солар», в компаниях из разных отраслей до 58 раз в течение года возникают проблемы, связанные с привилегированным доступом к ИТ-ресурсам. Их источником в первую очередь становится использование ненадежных паролей от учетных записей (УЗ), отсутствие контроля действий привилегированных пользователей, сложные схемы назначения полномочий для удаленных сотрудников и подрядчиков, что в результате повышает риски информационной безопасности. Чтобы усилить защиту, необходимо выстроить четкую стратегию управления привилегированным доступом. В статье расскажем, какие аспекты при этом нужно учитывать.
Что такое управление привилегированным доступом (PAM)
Управление привилегированным доступом PAM (Privileged Access Management) — одно из приоритетных направлений общей стратегии управления доступом, основная цель которого заключается в контроле использования привилегированных учетных записей. На самом же деле задач, которые можно решить с помощью специализированных PAM-систем, гораздо больше. Они позволяют отслеживать и фиксировать действия пользователей с расширенными полномочиями, обнаруживать нарушения внутренних политик ИБ и инциденты с использованием привилегированных УЗ для атак на компанию. В целом стратегия управления привилегированным доступом определяет, какие сотрудники и службы могут получить доступ к привилегированным учетным записям, что разрешено делать после входа в корпоративные системы.
PAM-система — важный инструмент в ИБ-контуре. Помимо управления привилегированными учетными записями и детального контроля действий привилегированных пользователей она помогает соблюдать требования парольных политик. Это одна из ключевых задач по обеспечению информационной безопасности, поскольку, по данным исследования ГК «Солар», более 70% уязвимостей в ИТ-инфраструктуре компаний возникают именно из-за слабых паролей. PAM-система хранит пароли, выполняет ротацию по заданному расписанию, автоматически подставляет учетные данные при входе в системы.
Различия между стандартными и привилегированными учетными записями
Стандартные учетные записи в корпоративной ИТ-инфраструктуре, как правило, принадлежат рядовым сотрудникам. Для таких УЗ права доступа назначаются по принципу минимальных привилегий — полномочий должно быть ровно столько, сколько необходимо для выполнения служебных обязанностей в рамках занимаемых должностей. Чтобы защитить конфиденциальную информацию от несанкционированного использования компании ограничивают круг прав доступа к ней, наделяя отдельных сотрудников особыми «привилегиями».
Привилегированные учетные записи могут быть связаны не только с людьми, но и с определенными процессами, техническими службами. Такие УЗ позволяют получать особый или административный доступ к корпоративным системам, конфиденциальным данным, СЗИ, бизнес-приложениям и другим важным объектам ИТ-инфраструктуры.
Отличаются привилегированные учетные записи от типовых еще и тем, что с ними связаны высокие и критические риски ИБ. Если к УЗ получат доступ посторонние лица или сотрудники воспользуются расширенными полномочиями в злоумышленных целях, для компании это может иметь серьезные негативные последствия. Чтобы отслеживать нарушения политик ИБ и предотвращать инциденты, целесообразно внедрить систему управления привилегированным доступом.
Какими бывают привилегированные учетные записи
Основные типы привилегированных УЗ, использование которых контролируется системой управления привилегированным доступом:
При выстраивании стратегии управления привилегированным доступом важно учитывать, что привилегированные учетные записи могут быть закреплены не только за штатными сотрудниками и корпоративными службами, но и за внештатными работниками (поставщиками ИТ-услуг, подрядчиками, удаленным персоналом и др.), действия которых тоже необходимо контролировать.
Технические учетные записи и связанные с ними риски ИБ
В отдельную категорию можно выделить привилегированные УЗ технических служб. Такие учетные записи необходимы для выполнения различных задач в бизнес-приложениях, файловых системах и сетях баз данных. Также они используются некоторыми службами для запуска важных ИТ-процессов. Техническим привилегированным учетным записям назначается высокий уровень доступа, с чем связаны критические риски ИБ — они возникают из-за того, что УЗ не привязаны к конкретным владельцам, поэтому их использование слабо контролируется или не контролируется совсем, а их пароли не меняются. Зачастую про такие учетные записи просто забывают и после выполнения отдельных задач не выводят из эксплуатации. Этим упущением могут воспользоваться злоумышленники.
Управление привилегированным доступом предполагает поиск всех технических УЗ в ИТ-инфраструктуре компании и контроль их использования. Если учетные записи уже неактуальны, их деактивируют.
Система управления привилегированным доступом Solar SafeInspect, ее задачи и польза для компаний
Solar SafeInspect — решение, которое можно кастомизировать под актуальные нужды компании, для того чтобы они смогли в полном объеме выполнять задачи в части управления привилегированным доступом.
Ключевые функции PAM-системы:
Внедрение Solar SafeInspect для управления привилегированным доступом позволяет взять под контроль действия пользователей с расширенными полномочиями, защитить учетные данные, снизить риски неправомерного доступа в ИТ-инфраструктуру и утечек чувствительной информации.
Практическое применение Solar SafeInspect для управления привилегированным доступом
Перед внедрением PAM-системы следует позаботиться о подготовке ИТ-инфраструктуры: изучить существующие процессы назначения полномочий, проанализировать эффективность используемых инструментов управления доступом, выявить уязвимости, связанные с паролями. Также необходимо сформировать требования к решению, выделить первоочередные задачи и определиться с форматом использования. Для Solar SafeInspect возможны три сценария работы: прозрачные режимы «Сетевой мост» и «Маршрутизатор», а также «Бастион» с явной авторизацией пользователей. Вне зависимости от выбранного сценария все подключения привилегированных пользователей будут происходить через PAM-систему. Такой подход позволяет контролировать действия как штатных, так и удаленных сотрудников, снижать риски утечки данных.
Чтобы решение для управления привилегированным доступом корректно работало, важно правильно его настроить с учетом особенностей ИТ-инфраструктуры и актуальных задач компании. Перед полноценным развертыванием можно запустить пилотный проект по внедрению при поддержке экспертов «Солара».
Выводы
Любые пользователи — рядовые и привилегированные — должны проходить в корпоративных системах и сервисах идентификацию/аутентификацию, получать минимально достаточные для работы полномочия. Но с привилегированным доступом связаны высокие риски ИБ, поэтому управление таким доступом необходимо выделить в отдельный пул задач. Качественно их решать поможет PAM-система Solar SafeInspect. Оставьте заявку, чтобы протестировать демоверсию продукта или получить подробную консультацию.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.