Как компаниям любого размера защитить самые ценные ИТ-ресурсы 28.05.2025 08:52Системы управления доступом привилегированных пользователей — привилегия крупных компаний или эффективный инструмент для компаний среднего бизнеса.
Игорь Базелюк 
Операционный директор
Руководитель направления sPACE PAM
Крупные компании, как правило, имеют необходимые ресурсы для решения практически всех вопросов, связанных с обслуживанием ИТ-инфраструктуры и ее защитой. Для среднего и малого бизнеса (СМБ) новые вызовы, новые задачи, увеличение нагрузки на персонал и непредвиденные финансовые расходы могут оказаться критичными. Восстановление работоспособности ИТ-систем, исправление последствий потери и компрометации коммерческих и персональных данных после киберинцидентов — болезненный процесс даже для крупной компании. Для небольших же компаний последствия кибератак могут стать фатальными.
ИТ играет значительную роль в работе современного бизнеса. Поэтому защита от кибератак и определение оптимального набора необходимых для этого инструментов — важная и сложная задача. А для компаний сегмента СМБ эта задача осложняется еще и ограниченностью людских и финансовых ресурсов. Использование подходящего универсального инструмента позволило бы в этой ситуации сэкономить ресурсы. И таким инструментом может стать PAM — система управления привилегированным доступом.
Давайте разберемся, с какими ситуациями обычно сталкиваются СМБ-компании, какие при этом возникают риски и как может помочь использование PAM-системы.
Ситуация 1. Привлечение подрядчиков для обслуживания информационных систем
Рассмотрим типичного представителя среднего/малого бизнеса — сеть розничных магазинов. Ее функционирование обеспечивают различные специализированные системы: бухгалтерские, управление складом, CRM. Обычно они размещены на серверах компании в офисе или в облачном хранилище. Администрированием всей ИТ-инфраструктуры занимается один-два штатных сотрудника, а для обслуживания специализированных систем привлекаются внешние подрядчики, которые имеют неограниченный доступ к важным информационным системам компании.
Основная угроза заключаются в том, что посторонние люди получают доступ к управлению ИТ-инфраструктурой и критическим данным: бухгалтерским проводкам, налоговой отчетности, данным клиентов, персональным данным. А ИТ-администратор компании не может контролировать и ограничивать их действия. В любой момент ИТ-системы могут быть остановлены, а важные данные переданы конкурентам и отследить это нельзя, если нет специализированных систем. При этом нет уверенности, что от имени подрядчика подключается легитимный пользователь, а не хакер, который использует его скомпрометированную учетную запись.
Контролировать и ограничивать действия подрядчиков помогают системы управления привилегированным доступом, PAM-системы. Они также позволяют штатному администратору компании легко отследить действия подрядчика в режиме реального времени. При необходимости он сможет заморозить подключение подрядчика и даже прервать его.
Ситуация 2. Удаленный доступ бизнес-пользователей (сотрудников) компании
Представим себе компанию, состоящую из головного офиса и нескольких филиалов. Информационные системы компании — бухгалтерская, складская, базы данных, CRM — расположены в головном офисе. ИТ-администраторы обслуживают серверы, на которых они размещены, создают учетные записи, предоставляют права доступа к системам и отзывают их. Персонал из филиалов подключается к ним удаленно, часто с использованием собственных устройств (компьютеров, планшетов, смартфонов).
Неконтролируемый удаленный доступ сам по себе несет угрозу ИБ. Когда сотрудники находятся в офисе, их просто идентифицировать. Когда сотрудники работают удаленно, не всегда можно гарантировать, что к системам подключается тот человек, кому дали такое разрешение, а не хакер, завладевший его учетной записью. Использование сотрудниками собственных устройств такую угрозу усиливает. Личные компьютеры, смартфоны часто содержат уязвимости, которые используют злоумышленники для проникновения в сеть компании и кражи личных учетных данных. При этом сотрудникам нередко предоставляется широкий доступ к множеству ресурсов. Это упрощает администраторам задачу по управлению правами доступа сотрудников, но при этом облегчает и хакерам задачу по поиску информации, на которой можно заработать.
С угрозами, связанными с удаленным доступом, также успешно справляются системы управления привилегированным доступом — PAM-системы. Они предназначены для предоставления и контроля доступа к самым важным ИТ-ресурсам компании: серверам, базам данных, сетевому оборудованию, критическим бизнес-системам. В каждой компании свой собственный список таких ресурсов. PAM позволяет управлять доступом к таким ресурсам централизованно: с помощью единой панели согласовывать и отзывать доступ, наблюдать за действиями сотрудников или подрядчиков в реальном времени и прерывать доступ при необходимости. Такая необходимость может возникнуть при подозрительных действиях: доступ к ресурсам во время отпуска сотрудника, например, или при попытке скачать базу данных клиентов или персональных данных.
Чем еще полезна РАМ-система
PAM-системы обеспечивают безопасное подключение пользователей и использование привилегированных учетных данных, контролируют и ограничивают действия подрядчиков. Такие системы позволяют ограничить время подключения, перечень целевых систем, используемые для работы инструменты администрирования. При этом привилегированные учетные данные пользователям не передаются — они хранятся в РАМ-системе и подставляются системой автоматически при подключении. Это позволяет практически исключить риск их компрометации. Доступ предоставляется только к нужным целевым системам (например, одному сотруднику к обслуживанию конкретных серверов, другому к 1С: Бухгалтерия), а в отдельных случаях он может быть гранулирован до уровня задачи в целевой системе.
Использование РАМ систем позволяет минимизировать предоставляемые пользователям права доступа, контролировать их действия и исключить предоставление избыточных разрешений для доступа к ИТ-инфраструктуре компании. В процессе сеанса действия пользователей могут быть заблокированы или сеанс может быть принудительно завершен. Управление РАМ-системой не требует большого количества сотрудников и может осуществляться штатным администратором.
PAM-системы позволяют успешно справляться с угрозами удаленного доступа. Они позволяют идентифицировать пользователей, гранулировать их доступ, а в случае инцидентов предоставить информацию, необходимую для проведения расследований.
Таким образом, PAM-системы предоставляют функционал, который снижает нагрузку на сотрудников, управляющих предоставлением привилегий, повышают эффективность их работы, исключают ошибки и предоставление избыточных прав.
Бытует мнение, что РАМ-системы требуют наличия высококвалифицированного дополнительного персонала: ИБ-специалистов для контроля доступа и ИТ-специалистов для администрирования. Это неверно. Развитие PAM-систем достигло такого уровня, что они имеют интуитивно понятный интерфейс и не требуют специального обучения. Кроме того, в настоящее время на рынке существуют РАМ-системы, которые имеют встроенный и интуитивно понятный интерфейс запроса и предоставления прав доступа, не требующий ИТ-знаний и позволяющий, в зависимости от компании, вынести согласование доступа на уровень владельцев целевых систем или руководителей бизнеса.
В идеале построение информационной безопасности требует использования комплекса различных решений. Однако, использование только продуктов класса PAM позволяет быстро решить самые важные задачи по защите ИТ-инфраструктуры компании. Поэтому они являются продуктами первого выбора в области информационной безопасности и при обеспечении безопасного и контролируемого доступа пользователей к ИТ-системам компании.