PAM против ИБ-угроз изнутри
Возможности PAM
PAM (Privileged Access Management)-системы стали неотъемлемой частью ИБ-периметра многих организаций. В современных условиях, когда количество атак и утечек растет, а ИТ-системы играют все более критичную роль для непрерывной работы бизнеса, контроль доступа становится важнейшим аспектом безопасности цифрового периметра.
Привилегированный доступ к ИТ-системам предполагает возможность оперировать критическими составляющими цифрового ландшафта компании и чувствительными данными.
Одна из главных проблем, с которыми сталкиваются организации сегодня, это возможность утечек данных, источником которых являются внутренние пользователи – сотрудники или контрагенты. PAM-системы помогают предотвратить несанкционированный доступ к конфиденциальной информации и злоупотребление привилегиями. То есть помогают контролировать администраторов, внешних подрядчиков, лиц, которые имеют доступ не только к файлам, но также и к инфраструктуре.
Во всем мире только в первой половине 2022 года «утекли» около 3 млрд записей персональных данных и платежной информации (данные InfoWatch). Количество скомпрометированных записей в России за тот же период составило 187 млн записей, при этом доля утечек, вызванных умышленными нарушениями, превысила 96%. Зафиксирован и существенный рост утечек информации категории «коммерческая тайна» — до 13% от общего объема. Динамика утечек за шесть месяцев этого года показывает, что рост не остановился.
PAM-инструменты предоставляют возможность контролировать и записывать все действия, совершаемые пользователями с привилегированным доступом, а также заблаговременно блокировать нежелательные и противоправные действия. Это позволяет обнаруживать потенциальные нарушения безопасности или злоупотребления.
Наконец, многие отраслевые стандарты и регуляторные требования требуют от организаций обязательной реализации контроля доступа. PAM-системы помогают компаниям соответствовать этим требованиям, предоставляя необходимые механизмы управления доступом и аудита.
Основная идея таких систем заключается в обеспечении полного контроля над сессиями на целевых устройствах, к которым имеет доступ сотрудник, ответственный за их правильную работу или обладающий неограниченным доступом.
Обычно это включает контроль доступа по протоколам RDP и SSH, возможность контроля HTTP(S), клиентских приложений и связанных с ними протоколов.
Поэтому перед предоставлением пользователю доступа к инфраструктуре необходимо дать ему уникальный доступ к самой системе контроля доступа (через список пользователей внутри PAM или с интеграцией с каталогом LDAP, AD и т. д.).
PAM по-русски
Согласно данным исследования по 2021 году, объём сегмента PAM в России оценивался в 1,2 млрд рублей (данные CISO Club). Доля сегмента среди решений для управления доступом и учётными записями составляла 12,8 %.
До 2022 года основными из самых востребованных зарубежных вендоров PAM-решений в России были компании CyberArk, BeyondTrust и Thycotic, а также ARCON, Delinea, One Identity и Wallix.
Они предлагали широкий спектр продуктов и решений для управления привилегированным доступом, таких как управление паролями, контроль доступа и мониторинг привилегированных аккаунтов.
Что касается российских разработчиков PAM-решений, то до определенного момента явных лидеров в этом сегменте не было. Однако несколько компаний, занимающихся разработкой PAM-решений, выделялись. Например, Indeed PAM, СКДПУ-НТ от «АйТи-Бастион», «Ростелеком-Солар SafeInspect».
Ранее сегмент такого класса решений был нишевым и воспринимался как «хороший, но не всегда обязательный инструмент дополнительного укрепления ИБ-периметра». В рамках импортозамещения компании в первую очередь решали задачу замены продуктов в более базовых сегментах. Однако сейчас ситуация меняется: с учетом роста количества кибератак и утечек данных бизнес все больше обращает внимание на этот класс решений и спрос на него активно растет.
Что нужно
Однако движение в сторону перехода на PAM-системы все же есть. Его обуславливают следующие возможности систем, необходимые бизнесу:
-
Защита от угроз безопасности. С увеличением числа кибератак и угроз внутренней безопасности компании осознают важность защиты привилегированных аккаунтов.
-
Соответствие требованиям регулирования. Многие отраслевые стандарты и законодательные нормы (такие как ГОСТы, PCI DSS, GDPR) требуют регулирования доступа к привилегированным аккаунтам. Например, приказ ФСТЭК №239 об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации к 187 федеральному закону.
-
Управление рисками. Компании осознают риски, связанные с неадекватным управлением привилегированными аккаунтами. Утечки данных, нарушения безопасности и недостаточная прозрачность действий пользователей могут нанести серьезный ущерб репутации и финансам компании.
-
Автоматизация и эффективность. С увеличением масштаба и сложности информационных систем компаний, управление привилегированным доступом становится всё более непростой задачей.
В основном эти функция относятся к idM и iGA-решениям, они работают с учетными записями, а PAM-системы контролируют действия привилегированных учетных записей.
Чек-лист по выбору PAM-решений
Поскольку выбор PAM-решения является важным шагом для обеспечения безопасности и защиты привилегированного доступа в организации, важно уделить внимание функциональности ПО. Набор базовых функций должен включать в себя:
-
Управление и администрирование привилегированными учетными записями: создание, удаление, изменение привилегий и паролей;
-
Учет и аудит привилегированного доступа: возможность отслеживать, кто, когда и с какими привилегиями получал доступ к системе;
-
Мониторинг и запись сессий: возможность записывать и анализировать сеансы привилегированного доступа для обеспечения ответственности и обнаружения несанкционированной деятельности;
-
Управление паролями: генерация, хранение, обновление и автоматическая смена паролей для привилегированных учетных записей;
-
Мультифакторная аутентификация (MFA): поддержка различных методов аутентификации, таких как аппаратные и программные маркеры, биометрические данные и одноразовые пароли;
-
Разграничение доступа: возможность настраивать гранулярные права доступа к ресурсам в соответствии с ролями и обязанностями пользователей;
-
Интеграция с другими системами безопасности: интеграция PAM-решения с системами идентификации, контроля доступа и SIEM (система управления информационной безопасностью) для более эффективного мониторинга и управления безопасностью.
Критические ошибки
При подборе программного обеспечения для PAM существует несколько главных ошибок, которые могут привести к серьезным последствиям и дорого стоить компании в будущем.
Самая главная ошибка — это, ожидаемо, неправильный выбор ПО. Если компания внедряет неподходящий PAM- инструмент, который не удовлетворяет ее требованиям или не обеспечивает должную безопасность, это может привести к уязвимостям и потере контроля над привилегированным доступом.
Кроме того, можно ошибиться с конфигурацией PAM-инструмента. Это может стать критической ошибкой даже при условии выбора правильного инструмента. Неправильные настройки создадут слабые места в системе, не смогут обеспечить достаточную защиту и даже откроют дверь в ИТ-системы компании злоумышленникам.
Частая ошибка — недостаточное обучение и обновление. PAM требует хорошего понимания его функциональности и возможностей. Ошибка заключается в недостатке обучения и подготовки персонала, который будет использовать и администрировать систему PAM, что напрямую скажется на эффективности ее работы.
Сложность могут возникнуть с внедрением и миграцией. Неудачное внедрение PAM или неправильная миграция существующих систем могут иметь серьезные последствия в виде потери данных, перерывов в работе и даже системных сбоев. Компания должна тщательно планировать пошаговое внедрение ПО, проводить тестирование и оценку рисков, а также иметь план резервного копирования и восстановления для минимизации потенциальных проблем.
***
Как будет проходит дальнейшее развитие и адаптация PAM-инструментов?
В свете растущих угроз и утечек данных, многие страны усиливают свое законодательство в области защиты данных. Это требует от компаний внедрения эффективных мер безопасности, включая использование PAM-инструментов для контроля и аудита привилегированного доступа. Ожидается, что законодательство и регулирование в России и в мире будет стимулировать спрос на PAM-инструменты.
Облачные технологии и гибридные среды становятся все более популярны в бизнес-секторе. Это создает потребность компаний в PAM-инструментах, которые могут эффективно управлять привилегированным доступом к облачным и гибридным окружениям.
Современная безопасность требует комплексного подхода, включающего не только PAM, но и другие инструменты и системы безопасности, такие как SIEM (Security Information and Event Management), IAM (Identity and Access Management) и другие. Поэтому развитие и адаптация PAM-инструментов будет направлено на обеспечение интеграции с такими системами.
В течение следующих лет можно ожидать развитие инновационных решений, таких как аналитика поведения пользователей (User Behavior Analytics), автоматизация процессов и использование искусственного интеллекта для более точного определения и контроля привилегированного доступа.
Все эти факторы создают благоприятную среду для адаптации PAM-инструментов и обеспечения безопасности привилегированного доступа в организациях.
Опубликовано 29.08.2023