Сценарии использования PAM-системы

Эффективный подход к организации контроля привилегированного доступа входит в пул задач многих организаций. Привилегированный доступ подразумевает более широкие права на чтение, внесение изменений в файлы и настройки информационных систем, сетевого оборудования, баз данных. Отсутствие контроля за использованием таких полномочий приводит к росту рисков ИБ и снижению уровня информационной безопасности компании. Упорядочить ситуацию в части привилегированного доступа поможет платформа Privileged Access Management (сокращенно — PAM). В портфеле ГК «Солар» есть такое решение — Solar SafeInspect. Для более гибкого его встраивания в ИБ-ландшафт существует несколько режимов (сценариев работы) РАМ-системы. В этой статье рассказываем о них.

Защита критически важных объектов информационной инфраструктуры с помощью PAM-системы

Какие задачи закрывает продукт Solar SafeInspect в части ИБ:

Контроль привилегированного доступа в удаленных и облачных средах. Решение класса PAM обеспечивает защищенное подключение к ресурсам и прозрачную работу внешних подрядчиков за счет контроля привилегированных сессий.
Организация работы с привилегированным доступом в крупных компаниях. Применение Solar SafeInspect позволяет автоматизировать процессы выдачи расширенных полномочий, контролировать соблюдение регламентов.
Обеспечение соответствия общим и отраслевым нормативным требованиям. Для некоторых отраслей использование РАМ-систем — обязательное условие.
Защита конфиденциальной информации от утечки. PAM-решение фиксирует действия привилегированных пользователей, контролирует передачу информации благодаря управлению буфером обмена, дает возможность анализировать рабочие сессии.

Приведем два примера работы PAM-системы в разных сценариях. Одной организации нужно было обеспечить безопасное подключение удаленных подрядчиков к внутренним ресурсам. С помощью Solar SafeInspect был определен уровень доступа для каждого пользователя, предусмотрены сроки действия привилегий и автоматический отзыв прав. Второй компании требовалось установить контроль за работой привилегированных пользователей, поскольку из-за нарушения конфигурации ключевой системы к ним пропало доверие. Внедрение Solar SafeInspect позволило реализовать принцип наименьших привилегий и оставить расширенные права только тем сотрудникам, которые действительно в них нуждаются. Также безболезненно для рабочих процессов был организован мониторинг действий пользователей.

Устранение внутренних угроз ИБ с помощью PAM-системы

Риски ИБ связаны не только с внешними злоумышленниками, которые пытаются получить доступ к используемым компанией системам и ресурсам. Иногда виновниками инцидентов становятся сотрудники организации и подрядчики на аутсорсе, то есть те лица, у которых уже есть доступ к объектам инфраструктуры. Высокие риски сопряжены с пользователями, наделенными расширенными полномочиями для работы с целевыми системами (ЦС), средствами защиты, базами данных (БД), оборудованием. Эффективный контроль за действиями таких сотрудников можно осуществлять с помощью PAM-системы. Какие проблемы решаются благодаря ее внедрению:

Небрежное отношение к вопросам безопасности паролей от привилегированных учетных записей, из-за чего возможна компрометация УЗ. PAM-система обеспечивает надлежащее хранение учетных данных, автоматическую подстановку паролей при подключении привилегированных пользователей.
Нарушение правил работы с чувствительными данными. Платформа PAM мониторит и записывает привилегированные сессии, хранит собранную информацию. В случае подозрительных действий возможно прерывание подключения.
Назначение избыточных полномочий. PAM-решение позволяет реализовать принцип наименьших привилегий и отслеживать соблюдение регламентов.

Сценарии работы PAM-системы

Solar SafeInspect функционирует в разных режимах: сетевой мост, маршрутизатор, «Бастион». Рассказываем об особенностях каждого.

Сетевой мост

Это прозрачный режим работы, то есть пользователи не знают о наличии решения класса РАМ в цепочке подключения, что дает возможность скрыть факт контроля и отследить действия в целевых системах.

Этот сценарий работы PAM-системы возможен, если пользователи находятся в одной сети с серверами. Solar SafeInspect пропускает через себя соединения с серверами благодаря установке «в разрыв». Находясь в сети между пользователем и целевыми ресурсами, система воспроизводит сценарий атаки Man-in-the-Middle («человек посередине»): для пользователя она представляется целевым сервером, для сервера — пользователем.

Маршрутизатор

Еще один прозрачный сценарий работы PAM-платформы, который соответствует уровню L3 модели OSI и используется, если пользователи и серверы находятся в разных сетях. Solar SafeInspect устанавливается «в разрыв» и также имитирует сценарий атаки Man-in-the-Middle, как и в режиме сетевого моста.

«Бастион»

При таком сценарии работы PAM-системы пользователям необходимо указывать IP-адрес компонента SafeInspect помимо IP-адреса целевого хоста.

Сценарий работы PAM-системы «Бастион» предполагает установку SafeInspect в стороне от основной сети. Трафик принудительно маршрутизируется на РАМ-решение, которое выполняет роль прокси-сервера и работает на уровне L7 модели OSI.

Интеграция PAM-системы с другими решениями для контроля доступа и обеспечения ИБ

Для более эффективного управления привилегированным доступом система интегрируется со следующими продуктами:

IdM-системой Solar inRights для контроля доступа и управления УЗ. Тандем двух продуктов позволяет минимизировать риски превышения полномочий и предоставлять офицерам службы ИБ полные отчеты о доступе к объектам инфраструктуры.
DLP-решением Solar Dozor, предоставляющим инструменты для предотвращения утечек чувствительных сведений и анализа поведения сотрудников. Оно обогащает функциональность PAM-системы в части контроля действий привилегированных пользователей.
SIEM-решениями, главная задача которых — сбор информации о событиях в инфраструктуре. Совместная работа с Solar SafeInspect позволяет получать более детальное представление о действиях с целевыми системами и конфиденциальной информацией.
IPS-системами, обнаруживающими и предотвращающими вторжения в информационный периметр компании. Такие решения в тандеме с Solar SafeInspect помогают минимизировать риски нелегитимного использования привилегированных УЗ.

Преимущества использования PAM-системы Solar SafeInspect

Плюсы внедрения с точки зрения безопасности:

Защита от внутренних и внешних угроз, сопряженных с привилегированным доступом.
Снижение рисков утечки чувствительных сведений и нелегитимного использования ресурсов, данных.
Автоматизация рутинных процессов выдачи расширенных прав.
Контроль за действиями пользователей, которым открыт привилегированный доступ.
Формирование детализированных отчетов для проведения аудита и расследований.
Защита привилегированных учетных данных.

Преимущества с точки зрения удобства использования:

Легкая интеграция в инфраструктуру распределенного типа без необходимости установки агентов.
Выбор оптимального сценария работы PAM-системы под требования компании.
Оперативная выдача расширенных прав на регулярной основе, по расписанию, для разового доступа.
Возможность оперативного развертывания и запуска в эксплуатацию уже через 2 часа с учетом первичных настроек.

ЗАКЛЮЧЕНИЕ

Использование решения для управления привилегированным доступом позволяет взять под контроль работу привилегированных пользователей, избежать превышения прав, повысить уровень ИБ компании. Чтобы платформа эффективно функционировала, следует определить необходимые ресурсы, выделить мощности и сотрудников на проект, выбрать сценарий работы PAM-системы. Наша опытная команда может помочь в реализации пилотного проекта по введению в эксплуатацию продукта Solar SafeInspect. Оставляйте заявку на сайте, и мы оперативно с вами свяжемся.