Защита привилегированных пользователей: кто сторожит сторожа?

Логотип компании
Защита привилегированных пользователей: кто сторожит сторожа?
Речь пойдет о решениях по управлению привилегированными учетными записями – получив полномочия администратора, злоумышленники могут нанести компании вред.

На рост количества угроз разработчики отвечают созданием новых средств защиты. От бесконечных аббревиатур уже рябит в глазах, и не всегда понятно, предлагают нам что-то действительно полезное или это очередная маркетинговая хитрость.

Речь пойдет о решениях по управлению привилегированными учетными записями: получив полномочия администратора, злоумышленники могут нанести компании существенный вред, потому необходимость в защите сомнений не вызывает. С другой стороны, доступ к привилегированным аккаунтам ограничен встроенными в информационные системы средствами. Необходимы ли специализированные инструменты? Давайте разбираться.

Кому это нужно?

Для небольшой ИТ-инфраструктуры с парой серверов, роутером и единственным системным администратором внедрение специализированных инструментов выглядит избыточным, но вот в крупных компаниях ситуация совершенно иная. Множество подсетей и серверов, огромное количество активного сетевого оборудования и рабочих мест, многочисленные информационные системы — все это требует десятков администраторов. Причем разными частями инфраструктуры могут заниматься разные отделы, и, если клиентская база утечет к конкурентам, будет сложно разобраться, кто из имеющих доступ к аккаунту «Администратор» скопировал ее на флешку.

Дело осложняется и нелюбовью айтишников к соблюдению протоколов: устанавливая зачастую драконовские правила для простых пользователей, они сами могут годами не менять администраторские пароли или устанавливать один пароль для привилегированных пользователей разных информационных систем. Выросла популярность ИТ-аутсорсинга, а в ряде случаев доступ к различным устройствам и информационным системам приходится предоставлять сотрудникам вендора или дистрибьютора. Использование внешних ресурсов снижает издержки, но приводит к дополнительным рискам: в корпоративной инфраструктуре появляются сторонние пользователи с администраторскими полномочиями.

Кроме того, есть риски, связанные с работой внешних аудиторов или проверками со стороны государственных органов, а также с необходимостью выполнять требования регуляторов. Не стоит забывать и о внутреннем саботаже: обидевшийся сисадмин может нанести немалый урон бизнес-процессам компании и ее репутации. Контролировать привилегированных пользователей необходимо, но, поскольку внутри доступной им части корпоративной ИТ-инфраструктуры такие люди практически всемогущи, потребуется внедрение специализированных решений. Стандартные системы управления учетными записями здесь совершенно бесполезны.

Защита привилегированных пользователей: кто сторожит сторожа?. Рис. 1

PIM, PUM, PAM — какая разница?

Обычно решения для контроля за привилегированными аккаунтами входят в состав систем управления учетными или идентификационными данными — Identity Management (IdM) или Identity and Access Management (IAM). Называться они могут по-разному, здесь нет четко устоявшейся терминологии: Privileged User Management (PUM), Privileged Identity Management (PIM), Privileged Access Management (PAM), Privileged Account Management (PAM), Privileged Password Management (PPM), Privileged Account Security (PAS). В России чаще всего употребляют аббревиатуру PUM.

Как это работает? Система PUM представляет собой некий программный или даже программно-аппаратный комплекс, который встраивается между администраторами и корпоративными ресурсами. Решения этого класса позволяют через единую точку входа организовать управление аутентификацией и авторизацией (включая политику создания и изменения паролей), а также контроль доступа, протоколирование и аудит действий привилегированных пользователей. Агентство Gartner предложило классифицировать их по функциональным возможностям и выполняемым задачам, которые разбиваются на четыре категории:

-      контроль доступа к общим аккаунтам и управление паролями (Shared account password management, SAPM);

-      управление привилегированными сессиями (Privileged session management, PSM);

-      анализ и фильтрация введенных администраторами команд (Superuser privilege management, SUPM);

-      контроль служебных учетных записей, встроенных в приложения (Application-to-application password management, AAPM).

Системы класса PUM многофункциональны и решают задачи сразу из нескольких перечисленных категорий. Часто они видимы администраторам и работают на прикладном уровне модели OSI: весь трафик проходит через своеобразный прокси-сервис, на котором осуществляются аутентификация и авторизация пользователя (Single Sign-On), а уже затем с доступными ему привилегированными учетными данными инициируются соединения с целевыми устройствами и информационными системами. Другой вариант предполагает возможность прозрачной работы на различных уровнях модели OSI, когда система PUM не видна администраторам и даже межсетевым экранам (для этого используется так называемый IP-spoofing).

При необходимости действия привилегированных пользователей протоколируются, что позволяет восстанавливать сеансы их работы с целевыми информационными системами. Некоторые продукты, анализируя действия еще до фактического выполнения, могут не только выявлять, но и предотвращать серьезные инциденты. Обнаруживая подозрительную активность, такие решения сразу разрывают сессии, блокируют привилегированных пользователей и уведомляют службу безопасности и/или центр SOC. К тому же наличие основанной на постоянном мониторинге доказательной базы для расследования способно остудить горячие головы — замести следы у потенциального злоумышленника уже не получится.

Что предлагает рынок?

Для организации PUM есть множество локальных, облачных и гибридных решений. В этом направлении работают такие известные компании, как BalaBit, BeyondTrust Software, Centrify, CyberArk Software, Dell, IBM (Lighthouse Security Group), Thycotic Software и Wallix. Из-за роста популярности ИТ-аутсорсинга, усложнения систем и увеличения количества угроз безопасности этот рынок постоянно растет. Полностью локальные решения требуют приобретения дорогостоящего оборудования и программных лицензий, а также довольно высоких затрат на внедрение и сопровождение. Обычно такие продукты используют крупные заказчики со сложной ИТ-инфраструктурой. Малый и средний бизнес старается снизить капитальные и операционные расходы с помощью облачных сервисов — спрос на работающие по модели SaaS (Software as a Service) системы PUM растет значительно быстрее, чем на программные продукты и программно-аппаратные комплексы.

Какой бы вариант вы ни выбрали, задуматься о стороже над сторожами сейчас самое время.

Смотреть все статьи по теме "Информационная безопасность"

Читайте также
Как российский рынок инфраструктурных решений для ИИ пережил уход западных вендоров, какие ресурсы для развертывания технологии имеются сегодня, не грозит ли нам зима ИИ, и как мы будем жить при «Экономике данных» - все это представители ведущих технологических компаний обсудили в рамках прошедшего сегодня круглого стола IT-World.

Опубликовано 01.04.2019

Похожие статьи