Ведущее европейское независимое аналитическое агентство KuppingerCole, специализирующееся на исследованиях в области информационной безопасности, IAM, IAG, управления рисками и цифровой трансформации, выпустило 113-страничный аналитический отчет KuppingerCole's Leadership Compass PAM 2020.
В последние годы рынок решений для управления привилегированным доступом стал одним из наиболее быстро растущих рынков. По оценке экспертов KuppingerCole рынок PAM-решений, на котором на май 2020 года представлено около 40 основных вендоров, вырастет с 2,2 миллиарда долларов в 2020 году до 4,5 миллиардов долларов к 2025 году. Среди причин такого роста называют цифровую трансформацию, DevOps, распределенные вычисления и рост киберпреступлений.
В отчете представлен сравнительный анализ 24 вендоров рынка решений управления привилегированного доступа (Privileged Access Management, PAM). По мнению аналитиков агентства, лидирует на рынке компания CyberArk, за ней с небольшим отрывом следуют Thycotic и обновленная компания BeyondTrust, которая лишь в 2019 году полностью закончила процедуру слияния с Bomgar, Lieberman Software и Avecto.
Лидеры рынка PAM. Отчет KuppingerCole's Leadership Compass PAM 2020.
Решения класса Privileged Access Management предназначены для снижения рисков, связанных с несанкционированным использованием привилегированных учетных записей. При этом к привилегированным записям относятся не только учетные записи администраторов (серверов, сетевого оборудования, рабочих станций), имеющих доступ к управлению элементами ИТ-инфраструктуры, но и бизнес-пользователей, которые имеют доступ к конфиденциальным данным компании, а также пользователей, которым требуется непостоянный привилегированный доступ, на время проекта, например.
В последние годы рынок решений для управления привилегированным доступом стал одним из наиболее быстро растущих рынков. По оценке экспертов KuppingerCole рынок PAM-решений, на котором на май 2020 года представлено около 40 основных вендоров, вырастет с 2,2 миллиарда долларов в 2020 году до 4,5 миллиардов долларов к 2025 году. Среди причин такого роста называют цифровую трансформацию, DevOps, распределенные вычисления и рост киберпреступлений.
Сравнение решений в этом отчете производилось на основе оценки следующего функционала:
- управление жизненным циклом привилегированных учетных записей (PADLM),
- контроль совместно используемых паролей (Shared Account Management),
- управление служебными учетными записями (AAPM),
- контролируемая эскалация привилегий (CPEDM),
- управление привилегиями на конечных точках (EPM),
- запись и мониторинг сеансов в реальном времени,
- реализация принципа «just in time»,
- реализация SSO,
- мониторинг и анализ действий с привилегированными учетными записями.
Из 32 вендоров аналитики KuppingerCole выделили лидеров, претендентов на лидерство и вендоров, на которых стоит обратить внимание из-за наличия, возможно, уникального функционала и/или предложения, перспективности подхода или каких-иных факторов.
Лидерство определялось по трем характеристикам – качество продукта, присутствие на рынке и партнерская сеть и инновации.
В категорию «Product Leaders» попали компании, предлагающие зрелые продукты с наиболее полным функционалом. К «Market Leaders» отнесли вендоров с большим количеством клиентов по всему миру и крепкой партнерской сетью для поддержки продуктов. В категорию «Innovation Leaders» включили компании, которые определяют направление развития продуктов на рынке. Они предлагают наиболее инновационный и перспективный функционал.
На основе качества продукта, присутствия на рынке и инновационной политики эксперты составили список лидеров «Overall Leaders», куда попали 9 компаний: BeyondTrust (США), Broadcom (США), Centrify (США), CyberArk (США), Hitachi ID (Канада), One Identity (США), SSH (Финляндия), Thycotic (США), Wallix (Франция).
По каждой компании, вошедшей в число лидеров и претендентов на лидерство, эксперты составляют краткий отчет, в котором отдельно выделяются преимущества и недостатки, а также дается оценка по реализации основного функционала.
Компасt. KuppingerCole's Leadership Compass PAM 2020
Большинство компаний из группы лидеров хорошо известно на российском рынке и не нуждаются в представлении. Они предлагают зрелые продукты с полным функционалом. Здесь хочется упомянуть несколько менее известных в России компаний, предлагающих нестандартный функционал. Компания SSH, например, ушла от традиционного подхода на основе управления паролями и обеспечивает привилегированный доступ на основе выпуска разового сертификата для SHH и RDP. В решении Hitachi ID HiPAm эксперты отметили мощные инструменты восстановления системы, репликацию данных в режиме реального времени и распределенные данные. Особенной чертой этого решения, по мнению аналитиков, является кнопка «Recent», которая позволяет быстро открыть предыдущие запросы и сеансы. Отметим, что для российского рынка такая функция не является уникальной, потому что быстрый переход в последние сеансы привилегированного доступа предлагает российской решение. В группу лидеров эксперты отнесли компанию Broadcom, которая хотя до этого года не фигурировала в независимых аналитических отчетах как PAM-вендор, но не является новичком этого рынка после приобретения CA Technologies с решением CA Privileged Access Management Suite и Symantec, под брендом которого будет продаваться новое PAM-решение.
В число претендентов в лидеры (Chellengers) вошли Kron (Турция), Micro Focus (Великобритания), Arcon (Индия), ManageEngine (США), Systancia (Франция) и Stealthbits (США), слегка не дотянувшие до лидерства, и Onion ID (офисы в США и Индии), EmpowerID (США), Senhasegura (Бразилия), Osirium (Великобритания), Xton Technologies (США), Sectona (Индия), Devolutions (Канада), Fudo Security (офисы в США и Польше) и Remediant (США). Эти компании не вошли в число лидеров из-за отсутствия полного PAM-функционала, но решения этих компаний могут закрыть какие-то специфические потребности. Xton Technologies, например, предоставляет еженедельные обновления, в том числе с новым функционалом. Kron и Osirium, например, предлагают автоматизацию управления привилегированных задач посредством делегирования не привилегий, а задач, и автоматизируя рутинные привилегированные операции. Автоматизацию некоторых задач предлагает и Sectona, в частности отзыв привилегированных учетных записей без участия администратора и автоматизацию управления привилегированными задачами. По прогнозу экспертов KuppingerCole, высока вероятность того, что автоматизация станет важным функционалом PAM решений в ближайшие годы.
В число вендоров, к которым стоит присмотреться, вошли Deep Identity (Сингапур), HashiCorp Vault (США), Identity Automation (США), IRaje (Индия), NRI Secure Technologies (Япония), ObserveIT (США), Saviynt (США), Venafi (США). В этих решениях присутствует не полный PAM-функционал, что подойдет для компаний из малого и среднего бизнеса. Следует отметить, что недостающий функционал часто восполняется интеграцией. NRI Secure Technologies, например, использует BeyondTrust Powerbroker Password Safe для управления паролями, а Saviynt для хранения секретов использует хранилище HashiCorp. Партнерство Venafi с HashiCorp, в котором Venafi обеспечивает централизованный контроль политик, прозрачность и автоматизацию жизненного цикла служебных учетных записей машин, включая публичные и частные SSL/TLS сертификаты, а HashiCorp предоставляет свое хранилище, ориентировано на DevOps команды.
Бытует ошибочное мнение, что PAM-решения предназначены только для крупных компаний. Это не так. Хакеры не выбирают свои цели по размеру компании, они просто ищут точки доступа, и небольшие компании также могут столкнуться с вирусами-вымогателями или, скажем, удалением базы данных клиентов недовольным привилегированным пользователем. Зачастую небольшие компании являются подрядчиками крупных компаний и выполняют для них какие-то работы. Такие компании не обладают большим бюджетом на ИБ, но, по мнению экспертов Gartner, управление привилегированными учетными данными относится к списку топ-10 проектов, реализация которых окажет наибольшее влияние на бизнес и кибербезопасность.
Из числа компаний, включенных в отчет KuppingerCole, только 3 вендора, IRaje, Kron и Devolutions, ориентированы на компании малого и среднего бизнеса, поэтому некрупным российским компаниям целесообразно ориентироваться на российские решения.
Хотя в отчет KuppingerCole's Leadership Compass PAM 2020 не вошла ни одна российская компания, среди российских вендоров есть как полноценные PAM решения, так и базовые, ориентированные на малый и средний бизнес.