Ситуацию прокомментировал операционный директор Web Control Игорь Базелюк:
Пересылка привилегированных учетных данных, содержащих ключи доступа, через
электронную почту — это один из наиболее часто встречающихся примеров того, как не должно быть.
![Базелюк Игорь_фото](/thumb/2/ktW9-orS0y-NbVEtgMfYiw/180r160/d/bazelyuk_igor_foto.jpg)
Знание пользователями привилегированных учетных данных всегда будет нести риск неправильного использования или компрометации привилегий вследствие их неправильного хранения и использования. Инцидент с ESRI показывает, что это может случиться даже в организациям, имеющих отношение к государственной тайне.
Такой инцидент был бы просто невозможен при наличии PAM-системы, основная задача которой — безопасное хранение привилегий и обеспечение их жизненного цикла (включая регулярную ротацию). При этом пользователи не знают привилегированные учетные данные: при запуске сеансов работы с целевыми системами PAM подставляет необходимые привилегии и обеспечивает их недоступность в явном виде на всех этапах работы.
Использование PAM позволяет полностью исключить компрометацию привилегированных учетных данных вследствие непреднамеренных (социальная инженерия, заражение рабочих станций троянами и т.д.) или халатных действий пользователей.
Комментариев пока нет