Работа PAM-системы: отслеживание попыток несанкционированного доступа, аудит действий привилегированных пользователей

Риски несанкционированного доступа к корпоративной информации всегда есть, и они довольно высоки. Угрозы безопасности данных могут исходить как от внешних злоумышленников, так и от сотрудников организации, которые намеренно пытаются навредить или совершают неправомерные действия по ошибке. Иногда нарушителями становятся привилегированные пользователи, наделенные расширенными полномочиями в информационных системах (ИС). Инциденты с участием таких сотрудников или использование их учетных записей могут привести компанию к колоссальному ущербу.

Чтобы предотвратить попытки несанкционированного доступа любого характера, необходимо внедрить в контур информационной безопасности специализированные решения, функциональность которых позволяет мониторить действия персонала и контролировать привилегированные учетки. К таким инструментам относятся системы Privileged Access Management (далее — PAM). Рассказываем, как они работают, какими образом защищают от несанкционированного доступа и помогают навести порядок в процессах, касающихся действий привилегированных пользователей.

Работа PAM-системы

PAM-система — комплекс инструментов, позволяющих осуществлять эффективный контроль доступа сотрудников с расширенными полномочиями и аудит пользовательских действий, обеспечивать соблюдение корпоративных регламентов и отраслевых требований.

На что ориентирована работа PAM-системы:

Обнаружение в ИС всех учетных записей с расширенными полномочиями.
Разграничение действий привилегированных пользователей согласно их полномочиям в рамках выполнения рабочих задач.
Предупреждение попыток несанкционированного доступа к критически важным системам, инфраструктуре, средствам защиты.
Предотвращение сбоев в ИС, вызванных нарушениями и ошибками со стороны привилегированных пользователей.
Поддержание высокого уровня информационной безопасности компании.
Недопущение утечек засекреченных корпоративных сведений.
Усиление парольной политики путем подбора надежных комбинаций, их смены согласно расписанию, автоматической подстановки учетных данных при инициации сеансов подключения, организованного и безопасного хранения паролей.
Адаптивное понижение полномочий сотрудников до достаточных для выполнения рабочих задач.
Предотвращение попыток бесконтрольной эксплуатации учетных записей администраторов и суперпользователей.
Проведение аудита действий пользователей с расширенными полномочиями, контроль рабочих сессий с их участием.
Использование дополнительных средств аутентификации для безопасного подключения.

PAM-решения играют важную роль в поддержании информационной безопасности компаний. Они интегрируются с другими системами защиты информации от несанкционированного доступа, в частности: IdM/IGA для управления пользовательскими учетными записями и полномочиями, SIEM для контроля событий внутри информационной инфраструктуры организации, DLP для защиты от утечек корпоративных данных. Симбиоз нескольких решений позволяет достичь полного контроля за пользовательскими действиями, минимизировать риски информационной безопасности.

Как отслеживать попытки несанкционированного доступа

PAM-решение контролирует привилегированный доступ на всех этапах идентификации, аутентификации и авторизации, в ходе которых удостоверяется личность пользователей и проверяется актуальность полномочий. Вся рабочая сессия пользователя контролируется системой в реальном времени. Если сотрудник нарушает внутренние политики безопасности, средство защиты автоматически прерывает текущую сессию (если эта функция включена и настроена) и оповещает ответственных лиц. Таким образом, удается предотвратить серьезные инциденты с негативными последствиями для предприятия.

PAM-система не только контролирует действия привилегированных пользователей, но и записывает все события в сессиях с их участием. Также решение предоставляет инструменты для детального анализа собранных данных. Благодаря этой функции можно установить, на каком именно этапе было нарушение и принять меры для усиления защиты внутренних информационных систем и корпоративных данных.

отслеживание попыток несанкционированного доступа к данным с помощью PAM-системы

Аудит с помощью PAM-системы

Аудит действий привилегированных пользователей проводится с целью формирования полноценной картины прав сотрудников в используемых компанией информационных системах. Процедура позволяет понять, все ли привилегированные учетные записи контролируются и актуальны ли предоставленные полномочия. На основании данных аудита можно при необходимости усилить парольную политику и понять причины ранее произошедших инцидентов с участием привилегированных пользователей (если такие инциденты были).

Стандартные этапы аудита:

Анализ данных, предоставленных PAM-системой.
Изучение записей в журналах файловой системы.
Анализ процессов авторизации, оценка их безопасности.
Подготовка рекомендаций по ликвидации обнаруженных проблем, предотвращению несанкционированного доступа к ИС и данным.

Аудит с помощью PAM-системы позволяет оценить уровень безопасности, выявить уязвимые участки в информационной инфраструктуре, определить пользователей, злоупотребляющих своими полномочиями.

ЗАКЛЮЧЕНИЕ

Для предотвращения попыток несанкционированных действий с данными внедряются различные средства защиты информации и решения PAM для координации привилегированного доступа, с которым сопряжены критические риски. Для отечественных предприятий подойдет платформа Solar SafeInspect, гибко встраиваемая в инфраструктуру любого типа. Решение может работать в рамках трех сценариев (в режимах сетевого моста, маршрутизатора и прокси-сервера), легко масштабируется, не требует установки агентов, помогает соблюдать требования регуляторов, позволяет контролировать действия привилегированных пользователей и оперативно проводить расследования инцидентов.