Контроль привилегированных пользователей. Что такое PAM-система?
Защита конфиденциальной информации в компаниях становится все более острым вопросом по мере увеличения спектра ИТ-угроз и давления со стороны регуляторов. На сегодня все большую роль в решении задач информационной безопасности играют системы Privileged Access Management (PAM). В материале расскажем, что это за класс решений и рассмотрим основных игроков российского рынка PAM.
Как показывает статистика, возможности привилегированных учетных записей очень часто используют при взломах и кражах информации. По данным Balabit, в 2017 году 44% утечек в мире произошло с применением привилегированных учетных записей. Более того, Gartner называет внедрение PAM «приоритетом № 1» в проектах безопасности на ближайшие годы, при том, что вопросы контроля приложений (Application Control) и защиты конечных точек (Endpoint Protection) занимают только 4-е и 6-е места в десятке самых актуальных проблем. При этом в категорию привилегированных пользователей попадают топ-менеджеры компаний, которые могут получать данные из самых разных источников, ИТ-администраторы, напрямую работающие с информационными системами, и подрядчики, имеющие расширенный доступ в корпоративную сеть.
Среди громких инцидентов прошлого года можно найти множество примеров злонамеренных действий с привилегированными «учетками» как сотрудников компании, так и подрядчиков. Например, один из топ-менеджеров индийской авиакомпании GoAir перед уходом в другую организацию скопировал данные клиентов и сотрудников, а в результате увел на новое место работы сразу несколько специалистов и часть клиентов. Громким случаем злоупотребления доступом стало использование в американских политических кампаниях данных пользователей Facebook, незаконно собранных подрядчиком Cambridge Analytica, выполнявшим работы для социальной сети на протяжении нескольких лет. Конечно, у них был привилегированный доступ к различным подсистемам Facebook.
Если бы компаниям удалось обнаружить подобные нарушения своевременно, в большинстве случаев финансового и репутационного урона удалось бы избежать. Но недостаточно развитая практика распространения систем PAM в мире приводит к тому, что многие собственники бизнеса понятия не имеют, что и зачем делают привилегированные пользователи.
Какие задачи решает PAM-система?
Отсутствие автоматизированных инструментов контроля приводит к тому, что сотрудники ИТ- и ИБ-департаментов крупных и средних компаний тратят значительное количество времени на контроль действий персонала с привилегированным доступом к ИТ-системам. Так, по данным Zecurion Analytics, со злоупотреблениями со стороны привилегированного персонала сталкивалось 72% российских компаний крупного бизнеса. По статистике Help Net Security, в 44% организаций по всему миру администраторы успевают удалить доступ уволенных сотрудников ко всем системам только спустя несколько дней или даже недель. Оптимизировать действия по обработке и мониторингу сессий в системах и предотвращать несанкционированную активность администраторов этих систем призвано решение класса PAM. В числе необходимых функций PAM можно выделить четыре направления:
Мониторинг действий
Системы PAM позволяют следить за каждым шагом и протоколировать действия администраторов, топ-менеджеров, подрядчиков, вовремя обнаруживая подозрительные действия, такие как выгрузка данных или доступ из нестандартных локаций (например, из интернет-кафе).
Управление доступом
Хранение данных привилегированных учетных записей в специальной зоне, а также четкое управление правами помогает избежать неавторизованного входа или использования устаревших учетных данных злоумышленниками.
Запись и архивирование
Все сессии записываются в специальное хранилище. В некоторых PAM-системах реализована функция записи видео с экранов пользователей. Такой актив предоставляет дополнительный инструмент для анализа опасных или злонамеренных действий. И именно архивные записи часто становятся основным доказательством при дисциплинарных и судебных разбирательствах.
Аналитика и отчетность
Наиболее продвинутые системы PAM позволяют получить доступ к детализированной информации о действиях администраторов систем. Офицеры ИБ могут изучить подробную информацию, а именно какой пользователь, когда вошел в систему, сколько времени провел в ней и какие действия совершал. Системы отчетов помогают выявлять нарушения политик безопасности на ранних стадиях и предотвращать возможные утечки информации.
Коротко о рынке PAM
Рынок решений PAM продолжает расти, однако далеко не все продукты мировых лидеров по разработке, например, IBM или Centrify, активно используют в России. Причиной тому – необходимость в локализации, а также требования сертификации средств защиты. Ниже рассмотрены наиболее распространенные среди российских заказчиков решения с возможностями Privileged Access Management.
CyberArk
Одним из распространенных решений на российском рынке можно считать продукт израильской компании CyberArk, которая в первую очередь известна как поставщик для управления учетными записями Identity Management (idM). Стоит отметить, что данное решение сфокусировано на управлении паролями. Функционал CyberArk Privileged Account Security Solution дополняет средства работы с учетными записями, позволяя реализовать PAM без дополнительных программных агентов. Плюсом является модульная платформа, которая позволяет выстраивать комплексное решение, управляя как отдельными компонентами, так и всей системой. Что касается явных недостатков, к ним можно отнести отсутствие русскоязычной поддержки и технической документации на русском языке, что может существенно затруднить работу с системой – наличие полноценной поддержки критично для корпоративных заказчиков.
Balabit
Венгерская компания Balabit, предназначенная для управления учетными данными пользователей, содержит программно-аппаратный комплекс. С одной стороны, такой подход является более удобным, так как не требует дополнительной настройки аппаратной составляющей и позволяет переложить на производителя ответственность за работу всей системы. С другой – ограниченные возможности, в частности, отсутствие функции видеозаписи HTTP/S-сессий исключает возможность полноценного контроля одного из важнейших каналов, через который происходит управление более 70% устройств и сервисов. К тому же аппаратное решение не позволяет достичь гибкости и масштабируемости, характерных для программно-определяемых систем.
«АйТи БАСТИОН»
Более локализованной можно считать систему СКДПУ, разработанную компанией «АйТи БАСТИОН» на базе зарубежного программного кода Wallix и являющуюся почти точной копией последнего. Благодаря локализации продукт не имеет экспортных ограничений в Россию, и даже тестировался на совместимость с определенной версией Astra Linux. Однако динамика развития крайне низкая – последнее крупное обновление продукта было еще в 2015 году. Это удобно с точки зрения поддержки продукта российским партнером, но может быть неудовлетворительно в условиях постоянно меняющегося ландшафта угроз и развития технологий.
Zecurion
ОТечественная разработка Zecurion PAM, пожалуй, единственное PAM-решение, полностью удовлетворяющее требованиям российских клиентов и законодательства по импортозамещению. Система создана компанией, значительно преуспевшей на рынке систем защиты данных от утечек (DLP). Zecurion PAM обладает всем необходимым функционалом для полного контроля привилегированных пользователей – это контроль доступа, протоколирование, мониторинг и запись действий, в том числе видеозапись. Система также является агентонезависимой, а значит, нет необходимости в установке модулей, плагинов и приложений. При совместном использовании с другими продуктами Zecurion, DLP и SWG создается комплексная система для полноценной защиты корпоративной сети от всех типов внутренних угроз с управлением из единой консоли.
Заключение
Утечки данных ежегодно наносят компаниям ощутимый финансовый и репутационный урон. Аккаунты привилегированных пользователей вызывают особый интерес злоумышленников, так как далеко не в каждой организации за работой администраторов действительно следят. По результатам опроса глобального портала Help Net Security, в октябре 2018 года выяснилось, что 31% компаний контролирует действия привилегированных пользователей исключительно вручную, а 75% уверены, что администраторы и ИТ-специалисты периодически делятся с другими людьми учетными записями с расширенными правами доступа, оставляя лазейки для проникновения в сеть. В таких условиях компании сталкиваются с растущими рисками взлома, кражи данных и другой вредоносной активностью именно через учетные записи администраторов, подрядчиков и топ-менеджеров.
Решить проблемы неограниченного доступа оказывается крайне сложно без автоматизированных средств PAM, особенно если речь идет об организациях, где количество привилегированных пользователей исчисляется не единицами, а десятками и сотнями, включая внутренних сотрудников и внешних подрядчиков – в этом случае у сотрудников ИБ просто не хватит времени вручную контролировать работу каждого из них. Своевременно внедренная PAM-система позволяет обезопасить компанию от возможных инсайдерских действий со стороны администраторов и высшего руководства, а также контролировать деятельность аутсорсинговых компаний и обеспечить соответствие многочисленным требованиям законов и стандартов для различных отраслей, включая PCI, ISO 27002, EU GDPR, Cyber Essentials, NIST Framework или российского 152-ФЗ.
Автор: Сергей Кораблев, независимый эксперт по информационной безопасности
Комментарий "АйТи БАСТИОН"
Система СКДПУ разработана российской компанией "АйТи БАСТИОН" на базе зарубежного программного кода Wallix, однако код продукта был глубоко переработан, и на текущий момент иностранный код составляет не более 10% по условиям ОЕМ лицензии. Сертифицированный отечественный продукт СКДПУ работает на сертифицированной ОС AstraLinux, что позволяет использовать его на таких площадках, которые требуют тщательной проверки вплоть до НДВ-2 МО. Сейчас на сертификации находится обновленная версия СКДПУ. Новая разработка "АйТи БАСТИОНа" СКДПУ НТ представляет собой комплексное решение, включает в себя расширенный модуль поведенческого анализа и ведения инцидентов ИБ в рамках предоставления доступа привилегированным пользователям. СКДПУ НТ включено в реестр отечественного ПО Минкомсвязи РФ.
Опубликовано 01.08.2019