Privileged Access Management (PAM): что это такое, как работают РАМ-системы

В компаниях есть сотрудники, обладающие базовыми правами для работы в бизнес-приложениях, и привилегированные пользователи, которые имеют доступ к средствам ИБ и сетевой инфраструктуре. С уровнем доступа привилегированных пользователей сопряжены серьезные риски информационной безопасности, поэтому все действия таких сотрудников должны строго контролироваться. С этой целью организации разных масштабов внедряют системы Privileged Access Management, которые призваны выполнять функции по управлению привилегированным доступом. Разберемся, как работают PAM-решения, какие задачи закрывают, от чего защищают.

Что собой представляют PAM-системы

Это решения для управления привилегированным доступом, выполняющие функции контроля учетных записей с правами высокого ранга и аудита действий сотрудников, которым назначены расширенные полномочия. Привилегированные пользователи имеют доступ к объектам сетевой инфраструктуры, критически важным сведениям, средствам обеспечения безопасности. Отсутствие должного контроля за работой таких сотрудников может привести к серьезным инцидентам с ощутимым ущербом для компании. Технология Privileged Access Management позволяет минимизировать риски, обеспечить соблюдение внутренних политик безопасности, упорядочить использование привилегированных учетных записей.

Внедрение платформ PAM поможет обеспечить:

Предотвращение попыток несанкционированных действий в отношении конфиденциальных сведений.
Снижение риска утечки данных.
Предотвращение сбоев в информационных системах, которые могут произойти по вине привилегированных пользователей.
Запись действий привилегированных пользователей в рамках рабочих сессий, сохранение данных для аудитов и расследований.

Платформы Privileged Access Management позволяют автоматизировать процессы предоставления и использования привилегированного доступа. При этом учетные записи будут полностью защищены.

Привилегированный доступ: что это и у кого он есть

Привилегированный доступ подразумевает наличие у группы сотрудников расширенных прав для работы с сетевой инфраструктурой, виртуальными машинами, средствами защиты информации, базами данных, бизнес-приложениями в качестве администратора. У рядовых пользователей таких полномочий нет, как и доступа к большинству перечисленных объектов.

Какие сотрудники обладают расширенными правами:

Специалисты технической поддержки.
Администраторы информационных систем.
Владельцы информационных систем, то есть бизнес-пользователи.
Разработчики ПО.
Операторы баз данных.
Внешние сотрудники: аудиторы, вендоры программного обеспечения, поставщики ИТ-услуг, аутсорсеры.

Частные случаи расширенных прав у привилегированных пользователей — административные и ролевые полномочия. Административные права позволяют вносить изменения в работу целевых систем и сетевого оборудования, например, устанавливать новые программы или удалять системные файлы. Расширенные ролевые полномочия определяются одноименной моделью разграничения прав, которая подразумевает присвоение сотрудникам компании ролей в зависимости от их должностей и служебных обязанностей.

Решения Privileged Access Management позволяют контролировать действия пользователей со всеми перечисленными полномочиями и проверять их на соответствие политикам безопасности, действующим в компании.

Зачем компаниям нужны PAM-системы

Привилегированные учетные записи могут стать ключевой мишенью для злоумышленников, поскольку открывают доступ к корпоративным системам и критически важным объектам инфраструктуры, позволяют оперировать конфиденциальными данными компании.

Расширенные полномочия дают привилегированным пользователям возможность причинить компании ущерб, например:

Умышленно уничтожить/изменить информацию с целью нанести вред или скрыть следы совершенных противоправных действий.
Отключить средства защиты информации.
Изменить внутренние политики безопасности.
Установить вредоносные скрипты, эксплойты.
Изменить конфигурацию серверов.
Инициировать крупную утечку данных и т. д.

Платформы Privileged Access Management существенно снижают вероятность таких инцидентов благодаря мониторингу действий пользователей с расширенными полномочиями. Действия отслеживаются в реальном времени, автоматически контролируются в соответствии с черными списками команд и приложений. Собранная информация хранится в системе и может использоваться для проведения расследований.

Платформы Privileged Access Management помогут предотвратить риски, связанные с использованием привилегированных учетных записей и их обслуживанием. Типичные угрозы привилегированного доступа:

Забытые учетные записи с правами высокого ранга, которые остаются активными, но никак не контролируются. Чаще всего речь об учетках, сохранившихся после увольнения работников или завершения больших проектов. Их могут обнаружить злоумышленники и применить полномочия для доступа к критически важной информации. Также опасность исходит от сотрудников компании, желающих из любопытства проверить возможности обнаруженной учетной записи или намеренно навредить компании.
Слабые пароли, которые хакеры при желании могут легко подобрать методом Brute force или с помощью специальных инструментов.
Отсутствие периодической смены паролей, из-за чего возрастает вероятность, что пароль, который ранее был скомпрометирован, может быть использован повторно.
Использование одной и той же привилегированной незащищенной учетной записи для нескольких служб. Если она будет скомпрометирована, хакеры получат доступ ко всем системам и смогут серьезно навредить компании.
Ненадлежащее хранение паролей (на стикерах, в общедоступных папках, блокнотах), что может стать причиной утечки.

Продукты класса PAM позволяют обнаруживать и организованно хранить все учетные данные с расширенными правами. Также системы решают проблему несовершенной парольной политики путем смены паролей согласно расписанию, автоматической подстановки атрибутов учетных данных и их надежного хранения.

Принцип работы платформы PAM

Разберем схему работы РАМ-решения Solar SafeInspect:

Сотрудник подключается к системе, используя учетную запись с расширенными полномочиями.
Проводится идентификация, суть которой — представление пользователя системе.
Запускается дополнительное средство защиты — процедура многофакторной аутентификации с целью проверить подлинность инициатора сессии. Она предполагает не только ввод пароля, но и предъявление дополнительного персонального фактора, например кода из электронного письма или биометрической характеристики.
Если аутентификация прошла успешно, следует этап авторизации, то есть проверки полномочий пользователя в целевой системе.
После авторизации запускается защищенная сессия, события в которой отслеживаются в реальном времени и записываются.

После начала сессии PAM-решение мониторит действия пользователей. При обнаружении расхождений с правилами подключения к сессии (например, в случае попытки выполнить команду из черного списка) система может прервать сессию пользователя, таким образом предотвращая инцидент.

Как PAM-решение встраивается в контур информационной безопасности компании

Платформы PAM применяются во многих организациях, где управление привилегированным доступом продиктовано регуляторами отрасли и высокими требованиями к безопасности данных, целевых систем. В первую очередь это следующие сферы: финансы и страхование, государственный сектор, ретейл.

Системы класса PAM гибко встраиваются в распределенную инфраструктуру и могут устанавливаться в любых местах ИТ-среды предприятия. Они выполняют важные задачи в контуре информационной безопасности компании, а именно:

Обеспечивают надежную аутентификацию и авторизацию.
Позволяют управлять парольной политикой и обеспечивать надлежащее хранение логинов и паролей.
Защищают удаленные подключения.
Разрывают сессии с участием привилегированных пользователей при подозрении на несанкционированные действия.
Контролируют рабочие сессии привилегированных пользователей, реализуемые через различные протоколы администрирования.
Автоматически подставляют атрибуты учетных записей при подключении (если эта функция настроена).
Пресекают бесконтрольное использование привилегированных учетных записей.
Собирают информацию для расследований, формируют детализированные отчеты в удобном формате.

В контуре информационной безопасности РАМ-системы интегрируются с другими СЗИ. Например, из IdM-решений Privileged Access Management получают данные о ролях, назначенных привилегированным пользователям. В интеграции с платформами SIEM для отслеживания событий PAM-системы могут помочь дополнить собранные сведения и точнее настроить реагирование на потенциальные инциденты. Совместная работа с решениями класса DLP позволяет формировать перечень файловых операций и благодаря этому эффективно предотвращать утечки.

рам-системы в контуре информационной безопасности

ЗАКЛЮЧЕНИЕ

Контроль привилегированных пользователей — важное направление кибербезопасности, которое может реализовываться с помощью Solar SafeInspect. Наша система класса Privileged Access Management быстро разворачивается в информационной инфраструктуре, легко настраивается под конкретные задачи, может работать в интеграции с другими средствами для управления доступом и защиты информации. Solar SafeInspect позволяет упорядочить процедуры контроля за действиями сотрудников с правами высокого ранга и обеспечить исполнение утвержденных компанией регламентов.