Защита привилегированных пользователей: кто сторожит сторожа?
На рост количества угроз разработчики отвечают созданием новых средств защиты. От бесконечных аббревиатур уже рябит в глазах, и не всегда понятно, предлагают нам что-то действительно полезное или это очередная маркетинговая хитрость.
Речь пойдет о решениях по управлению привилегированными учетными записями: получив полномочия администратора, злоумышленники могут нанести компании существенный вред, потому необходимость в защите сомнений не вызывает. С другой стороны, доступ к привилегированным аккаунтам ограничен встроенными в информационные системы средствами. Необходимы ли специализированные инструменты? Давайте разбираться.
Кому это нужно?
Для небольшой ИТ-инфраструктуры с парой серверов, роутером и единственным системным администратором внедрение специализированных инструментов выглядит избыточным, но вот в крупных компаниях ситуация совершенно иная. Множество подсетей и серверов, огромное количество активного сетевого оборудования и рабочих мест, многочисленные информационные системы — все это требует десятков администраторов. Причем разными частями инфраструктуры могут заниматься разные отделы, и, если клиентская база утечет к конкурентам, будет сложно разобраться, кто из имеющих доступ к аккаунту «Администратор» скопировал ее на флешку.
Дело осложняется и нелюбовью айтишников к соблюдению протоколов: устанавливая зачастую драконовские правила для простых пользователей, они сами могут годами не менять администраторские пароли или устанавливать один пароль для привилегированных пользователей разных информационных систем. Выросла популярность ИТ-аутсорсинга, а в ряде случаев доступ к различным устройствам и информационным системам приходится предоставлять сотрудникам вендора или дистрибьютора. Использование внешних ресурсов снижает издержки, но приводит к дополнительным рискам: в корпоративной инфраструктуре появляются сторонние пользователи с администраторскими полномочиями.
Кроме того, есть риски, связанные с работой внешних аудиторов или проверками со стороны государственных органов, а также с необходимостью выполнять требования регуляторов. Не стоит забывать и о внутреннем саботаже: обидевшийся сисадмин может нанести немалый урон бизнес-процессам компании и ее репутации. Контролировать привилегированных пользователей необходимо, но, поскольку внутри доступной им части корпоративной ИТ-инфраструктуры такие люди практически всемогущи, потребуется внедрение специализированных решений. Стандартные системы управления учетными записями здесь совершенно бесполезны.
PIM, PUM, PAM — какая разница?
Обычно решения для контроля за привилегированными аккаунтами входят в состав систем управления учетными или идентификационными данными — Identity Management (IdM) или Identity and Access Management (IAM). Называться они могут по-разному, здесь нет четко устоявшейся терминологии: Privileged User Management (PUM), Privileged Identity Management (PIM), Privileged Access Management (PAM), Privileged Account Management (PAM), Privileged Password Management (PPM), Privileged Account Security (PAS). В России чаще всего употребляют аббревиатуру PUM.
Как это работает? Система PUM представляет собой некий программный или даже программно-аппаратный комплекс, который встраивается между администраторами и корпоративными ресурсами. Решения этого класса позволяют через единую точку входа организовать управление аутентификацией и авторизацией (включая политику создания и изменения паролей), а также контроль доступа, протоколирование и аудит действий привилегированных пользователей. Агентство Gartner предложило классифицировать их по функциональным возможностям и выполняемым задачам, которые разбиваются на четыре категории:
- контроль доступа к общим аккаунтам и управление паролями (Shared account password management, SAPM);
- управление привилегированными сессиями (Privileged session management, PSM);
- анализ и фильтрация введенных администраторами команд (Superuser privilege management, SUPM);
- контроль служебных учетных записей, встроенных в приложения (Application-to-application password management, AAPM).
Системы класса PUM многофункциональны и решают задачи сразу из нескольких перечисленных категорий. Часто они видимы администраторам и работают на прикладном уровне модели OSI: весь трафик проходит через своеобразный прокси-сервис, на котором осуществляются аутентификация и авторизация пользователя (Single Sign-On), а уже затем с доступными ему привилегированными учетными данными инициируются соединения с целевыми устройствами и информационными системами. Другой вариант предполагает возможность прозрачной работы на различных уровнях модели OSI, когда система PUM не видна администраторам и даже межсетевым экранам (для этого используется так называемый IP-spoofing).
При необходимости действия привилегированных пользователей протоколируются, что позволяет восстанавливать сеансы их работы с целевыми информационными системами. Некоторые продукты, анализируя действия еще до фактического выполнения, могут не только выявлять, но и предотвращать серьезные инциденты. Обнаруживая подозрительную активность, такие решения сразу разрывают сессии, блокируют привилегированных пользователей и уведомляют службу безопасности и/или центр SOC. К тому же наличие основанной на постоянном мониторинге доказательной базы для расследования способно остудить горячие головы — замести следы у потенциального злоумышленника уже не получится.
Что предлагает рынок?
Для организации PUM есть множество локальных, облачных и гибридных решений. В этом направлении работают такие известные компании, как BalaBit, BeyondTrust Software, Centrify, CyberArk Software, Dell, IBM (Lighthouse Security Group), Thycotic Software и Wallix. Из-за роста популярности ИТ-аутсорсинга, усложнения систем и увеличения количества угроз безопасности этот рынок постоянно растет. Полностью локальные решения требуют приобретения дорогостоящего оборудования и программных лицензий, а также довольно высоких затрат на внедрение и сопровождение. Обычно такие продукты используют крупные заказчики со сложной ИТ-инфраструктурой. Малый и средний бизнес старается снизить капитальные и операционные расходы с помощью облачных сервисов — спрос на работающие по модели SaaS (Software as a Service) системы PUM растет значительно быстрее, чем на программные продукты и программно-аппаратные комплексы.
Какой бы вариант вы ни выбрали, задуматься о стороже над сторожами сейчас самое время.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 01.04.2019