Главная / О компании / Новости / Privileged Access Management, PAM Решения для управления привилегированным доступом (мировой рынок)

Privileged Access Management, PAM Решения для управления привилегированным доступом (мировой рынок)

« Назад

Privileged Access Management, PAM Решения для управления привилегированным доступом (мировой рынок)  21.11.2022 10:00

2022: Главные тренды в развитии технологий управления привилегированным доступом. Отчет Gartner
 
По мнению аналитиков Gartner, в 2022 году PAM-решения с основным функционалом по-прежнему остаются важными инструментами безопасности, при этом изменение спроса на рынке привнесло новый акцент на облако, от SaaS-доставки инструментов PAM до поддержки обеспечения безопасности облака, включая управление секретами и CIEM (Cloud infrastructure entitlement management). Аналитические документы Gartner позволяют быть в курсе актуальных трендов отрасли. И даже несмотря на отсутствие на отечественном рынке большинства решений, исследуемых Gartner, выявленные тенденции актуальны и для РоссииИТ носит глобальный характер, и требования к обеспечению безопасности также едины. Знание тенденций развития дает возможность пользователям отбирать решения, соответствующие современным вызовам, а отечественным производителям - создавать и выводить на мировой рынок конкурентоспособные российские решения. Компания Web Control специально для TAdviser подготовила обзор Gartner Magic Quadrant for Privileged Access Management 2022, который предлагает описание класса решений, ситуации на рынке и тенденций его развития.
 
 
Что такое PAM (управление привилегированным доступом)
 
Инструмент управления привилегированным доступом (PAM) используется для снижения рисков привилегированного доступа пользователей. Однако в последние годы остро встал вопрос обеспечения безопасности и неинтерактивных сеансов привилегированного доступа - API, компонентов микросервисной архитектуры. Решение PAM может быть развернуто в виде локального программного обеспечения, SaaS или аппаратного устройства.
 
Основными возможностями PAM принято считать:
  • обнаружение привилегированных учетных записей в различных системах, инфраструктуре и приложениях;
  • управление учетными данными привилегированных учетных записей;
  • хранение учетных данных и контроль доступа к привилегированным учетным записям;
  • установка, управление, мониторинг и запись сеансов интерактивного привилегированного доступа.
Помимо базового функционала разработчики подобных систем предлагают различные опциональные возможности, такие как, например:
  • делегирование доступа к привилегированным учетным записям;
  • контролируемое повышение прав при исполнении системных команд;
  • управление секретами приложений, служб и устройств;
  • автоматизация привилегированных задач (PTA);
  • удаленный привилегированный доступ для сотрудников и внешних пользователей;
  • управление правами доступа в облачной инфраструктуре (Cloud infrastructure entitlement management, CIEM).
Категории PAM-решений
 
В зависимости от выбора вендором опционального функционала Gartner выделяет четыре категории инструментов PAM:
 
1. Управление привилегированными учетными записями и сеансами привилегированного доступа (PASM)
 
Привилегированные учетные записи защищаются с помощью хранилища учетных данных. Доступ к этим учетным записям затем разграничивается для пользователей, служб и приложений с помощью инструмента PAM. Инструментарий управления сеансами привилегированного доступа (PSM) устанавливает сеансы, обычно с подстановкой учетных данных и полной записью сеанса. Пароли и другие учетные данные, такие как сертификаты и токены для привилегированных учетных записей, активно управляются (например, сменяются через определенные промежутки времени или при наступлении определенных событий). Решения PASM могут также обеспечивать управление паролями приложений (AAPM) и/или организовывать безагенский удаленный привилегированный доступ, не требующий VPN, для внешнего ИТ-персонала и третьих лиц.
 
2. Управление повышением и делегированием привилегий (PEDM)
 
Централизованные агенты в управляемой системе предоставляют определенные привилегии авторизованным в системе пользователям. Инструменты PEDM обеспечивают контроль (фильтрацию) команд на хосте, контроль разрешения/запрета/изоляции приложений и/или повышение привилегий, что позволяет запускать определенные процессы с более высоким уровнем привилегий. Инструменты PEDM должны выполняться в реальной операционной системе (на уровне ядра или процесса). Инструменты PEDM могут также предоставлять функции контроля приложений и мониторинга целостности файлов. Наличие функционала именно из этой категории часто являются обязательным требованием для регулируемых отраслей и там, где требуется соответствие PCI DSS, SOX и другим нормативным и финансовым требованиям. Часто требуют удаления привилегий локального администратора оборонные и правительственные учреждения.
 
3. Управление секретами
 
Учетные данные (такие как пароли, токены OAuth, ключи SSH), секреты ПО и устройств управляются, хранятся и извлекаются с помощью API и SDK на программном уровне. Основная задачи решений управления секретами - установить доверие путем обмена секретами и управления авторизацией и связанными с ней функциями при взаимодействии устройств, контейнеров, приложений, сервисов, скриптов, процессов и конвейеров DevSecOps. Управление секретами часто используется в динамичных и agile-средах, таких как IaaSPaaS и платформы управления контейнерами. Продукты для управления секретами также могут предоставлять функционал AAPM.
 
4. CIEM
 
Предложения CIEM — это специализированные SaaS-решения, ориентированные на идентификацию, которые управляют рисками облачного доступа с помощью административного контроля прав доступа в гибридных и мультиоблачных IaaS. Они обычно используют аналитику, машинное обучение (ML) или другие методы для обнаружения аномалий в правах учетных записей, таких как накопление привилегий или неактивные и ненужные права. В идеале CIEM обеспечивает устранение чрезмерных разрешений и внедрение подходов предоставления наименьших привилегий в облачных инфраструктурах.
 
Кто вошел к Магический квадрант 2022
 
В магический квадрант 2022 года вошли 11 игроков. В число лидеров аналитики Gartner включили ARCONBeyondTrustCyberArk, Delinea, One Identity и Wallix. Нишевыми игроками стали Broadcom (Symantec), Hitachi ID, ManageEngine и Netwrix. К визионерами эксперты отнесли Saviynt.
 
В сравнении с предыдущими отчетами в магический квадрант этого года добавились Delinea, возникшая в результате слияния двух лидеров прошлого года Thycotic и Centrify, Hitachi ID, «challenger» 2020 года и отсутствующая в прошлогоднем отчете, ManageEngine, нишевой вендор 2020 года, Netwrix и Saviynt, отсутствующие в предыдущих 3 квадрантах 2018-2021 годов. Krontech и senhasegura не попали в отчет этого года, так как не прошли критерий по объему выручки.
 
Рисунок 1. Магический квадрант PAM-решений Источник: Gartner (июль 2022)
Image:2_кто_вошел_к_Магический_квадрант_2022.png
Для включения в отчет компании должны соответствовать ряду строгих условий, куда входят и технические требования, и требования к функционалу, выручке, географии присутствия, позиционированию, структуре продаж и наличию ИС. Кроме того, компании оцениваются еще и с точки зрения жизнеспособности, под которой понимается, главным образом, возможность инвестирования в продукт, реагирование на потребности заказчиков и поддержка клиентов.
 
Каким функционалом должны обладать решения для управления привилегированным доступом
 
При сравнении вендоров Gartner предъявлял строгие требования к наличию определенного функционала. Этот перечень функциональный требований и их описание может быть также полезен при определении заказчиками списка требований к решению управления привилегированным доступом. Следует отметить, что нецелесообразно ориентироваться исключительно на функционал, существующий на данный момент. Для динамично развивающихся компаний важным критерием является поддержка решения производителем и добавление нового функционала в ответ на требования рынка.
 
Административное управление привилегированным доступом (Privileged access governance). Эта возможность предоставляет возможности и инструменты для управления назначением привилегий на основе политик и нормативных документов компании, периодической проверки и сертификации привилегированного доступа, а также разделения обязанностей на основе набора политик.
 
Обнаружение и добавление учетных записей (Account discovery and onboarding). Эта возможность позволяет обнаруживать, идентифицировать и добавлять привилегированные учетные записи, включая возможность поддержки периодического, по запросу или непрерывного их сканирования. Сюда также входит возможность автоматического обнаружения целевых служб и систем (включая виртуальные машины) для дальнейшего обнаружения привилегированных учетных записей, содержащихся в них.
 
Управление привилегированными учетными данными (Privileged credential management). Эта возможность предоставляет основной функционал для управления и защиты определенных системой и предприятием учетных данных привилегированных учетных записей или секретов (включая ключи SSH). Она включает генерирование, хранение, ротацию и извлечение учетных данных для интерактивного доступа к ним определенных пользователей. Здесь также предполагается ротация учетных данных для служебных и программных учетных записей (например, встроенных учетных записей) на целевых системах. Эти функции требуют возможности доступа к инструменту PAM как минимум через веб-консоль или API.
 
Управление сеансами привилегированного доступа (Privileged session management). Эта возможность обеспечивает создание, управление, запись и воспроизведение сеансов, мониторинг в реальном времени, фильтрацию команд на основе протокола и разделение сеансов привилегированного доступа. Она включает функционал для управления интерактивным сеансом с помощью PAM, от получения учетных данных до авторизации с их помощью, хотя в обычных случаях эти данные не раскрываются пользователю. Эта возможность также может включать ограничения, такие как разрешение/запрет определенных типов команд и функций при входе в целевую систему.
 
Управление секретами. Эта возможность обеспечивает управление доступом к учетным данным (таким как пароли, токены OAuth и ключи SSH) для машинных сценариев использования, таких как устройства, приложения, сервисы, скрипты, процессы и конвейеры DevSecOps. Этот функционал дает возможность генерировать, хранить, осуществлять ротацию и предоставлять учетные данные машинным сущностям (например, через API). Он также предполагает посредничество в установлении доверия между различными машинными сущностями с целью обмена секретами, а также управления авторизациями и связанными с ними функциями. В совокупности эта возможность поддерживает управление секретами в динамических средах и обеспечивает поддержку платформ RPA.
 
Журналирование и отчетность. Эта возможность обеспечивает запись всех единичных событий, включая изменения и операции, в рамках работы PAM. Единичное событие основывается на пользователе, времени, дате и местоположении и обрабатывается с другими событиями посредством корреляции в логическом порядке. Это необходимо для мониторинга и определения первопричины рискованных событий и выявления несанкционированного доступа. Эта возможность также предоставляет функционал, необходимый для аудита и генерирования отчетности базы данных событий, включая готовые отчеты и отчеты по запросу. Данные о событиях должны также включать информацию о сеансах привилегированного доступа. Она же предоставляет аналитику (часто с использованием машинного обучения) действий привилегированных учетных записей для обнаружения и маркировки аномалий, включая базовую оценку, оценку рисков и оповещение. Цель состоит в том, чтобы лучше определять как текущие, так и прогнозируемые показатели, которые выявляют аномалии привилегированного доступа для запуска в ответ автоматизированных контрмер.
 
Автоматизация привилегированных задач. Эта возможность предоставляет функционал для автоматизации многошаговых, повторяющихся задач, связанных с привилегированными операциями, которые оркестрируются и/или выполняются в ряде систем. Для этого используются расширяемые библиотеки предварительно сконфигурированных операций, требующих привилегированного доступа, для распространенных ИТ-систем и устройств. Такая автоматизация позволяет выполнять различные действия и запрашивать дополнительную информацию по мере необходимости, обеспечивая при этом защиту путем проверки вводимых данных на соответствие политикам и настройкам.
 
Повышение и делегирование привилегий для Unix/Linux. Эта возможность предоставляет функционал на базе хоста, который обеспечивает соблюдение политик на системах UNIX/Linux и macOS для разрешения запуска авторизованных команд или приложений под повышенными привилегиями. Администраторы авторизуются в системе, используя непривилегированную учетную запись, и повышают привилегии по мере необходимости. Любая команда, требующая дополнительных привилегий, должна будет пройти через эти инструменты, что, по сути, не позволит администраторам выполнять небезопасные действия. Эти функции должны выполняться в реальной операционной системе (на уровне ядра или процесса).
 
Повышение и делегирование привилегий для Windows. Эта возможность предоставляет функционал на базе хоста для реализации политик на системах Windows, которые реализуют контроль разрешения/запрета/изоляции приложений, а также для разрешения запуска авторизованных команд или приложений под повышенными привилегиями. Администраторы авторизуются в системе с помощью простой учетной записи, и повышают привилегии по мере необходимости. Любая команда, требующая дополнительных привилегий, должна будет пройти через эти инструменты, фактически не позволяя администраторам выполнять небезопасные действия. Эти функции должны выполняться в реальной операционной системе (на уровне ядра или процесса). Инструменты Windows PEDM могут также предоставлять функции контроля целостности файлов.
 
Интеграция со смежными системами. Эта возможность требует способности предоставлять функционал для интеграции и взаимодействия со смежными системами безопасности и управления услугами. Сюда входят IGA, SSO, MFA, корпоративные каталоги, поддержка гибких коннекторов и интеграционных фреймворков, общий доступ к API, интеграцию с системами ITSM, системами SIEM и системами управления уязвимостями.
 
Простота развертывания, производительность. Эта возможность предоставляет функционал для упрощения развертывания решения PAM, одновременно обеспечивая доступность, восстанавливаемость, производительность и масштабируемость. Реализация подхода «на определенное время» (just in time). Эта возможность обеспечивает привилегированный доступ по требованию без необходимости в общих учетных записях с постоянными привилегиями. Как правило, для этого непривилегированным учетным записям предоставляются соответствующие привилегии на временной основе. Общепринятыми методами для достижения этой цели могут быть использование подходов PEDM, использование временного членства в группах по требованию или использование эфемерных учетных записей или токенов безопасности. Эта возможность ориентирована на соблюдение принципа наименьших привилегий и последующее достижение нулевых постоянных привилегий (ZSP) для доступа к PAM. Реализация подхода JIT предполагает:
  • возможность динамического добавления и удаления пользователей из групп AD;
  • динамическое предоставление ограниченного по времени доступа к привилегированным учетным записям;
  • функциональность PEDM посредством повышения привилегий по требованию;
  • возможность создания и удаления привилегированных учетных записей по требованию;
  • возможность создания и использования эфемерных токенов;
  • возможность доступа по требованию к панелям управления SaaS, таким как AWS.
 
Текущая ситуация
 
Говоря о текущей ситуации, Gartner отмечает тенденцию к сближению рынков IAM, формулирует лучшие практики внедрения PAM, которые можно брать за основу при внедрении решения, и идентифицируют причины, побуждающие компании внедрять PAM-решения.
 
Сближение рынков IGA, IDM и PAM
 
Gartner в своем отчете отмечает заимствование PAM-решениями функционала смежных рынков, когда инструменты управления доступом, например, предлагают некоторый функционал IGA или в PAM-системе реализованы возможности управления доступом. Это он называет макроконвергенцией, или сближением различных рынков. CyberArk, в частности, предлагает функционал IAM (Identity and Access Management), One Identity и Broadcom предлагают возможности IGA и IAM. Эксперты предупреждает, что такой функционал реализован посредством отдельных решений, часто не интегрированных между собой с точки зрения политик, управления и развертывания.
 
Другим примером сближения, на этот раз микроконвергенции, когда производитель «проникает» в смежную по функционалу категорию инструментов, является возросший интерес производителей PAM к управлению секретами и CIEM. Семь поставщиков PAM, представленных в этом отчете, в настоящее время предлагают продукты для управления секретами, еще три поставщика планируют их добавить, и только один не планирует этого делать. Пять компаний из отчета предлагают функциональность CIEM, шесть компаний планируют внедрение этой функциональности, а четыре включили ее в дорожную карту. Только одна компания не планирует использовать ни CIEM, ни средства управления секретами в составе своих PAM-инструментов.
 
Пользователи не всегда видят разницу между инструментами управления привилегированным доступом и управления паролями. Эксперты Gartner разъясняют, что PAM-системы направлены на снижение рисков, связанных с привилегированным доступом.
 
Эти решения управляют привилегированными учетными записями — учетными записями, которые могут выполнять операции создания, получения, обновления, удаления (CRUD) в ИТ-инфраструктуре. Инструменты управления паролями предназначены для того, чтобы помочь обычным пользователям с обычными правами (бухгалтерам, продавцам или инженерам, например) справиться с широким набором паролей, которые они должны помнить для своей повседневной работы. Они не занимаются ротацией учетных данных, управлением сеансами, записью сеансов, управлением идентификацией или повышением привилегий. Многие организации считают их критически важными для помощи пользователям, но их не следует путать с PAM-инструментами. Они могут хранить пароли в хранилищах, требовать пароля для доступа к хранилищу, а некоторые из них могут генерировать уникальные и сложные пароли. Однако ни одна из этих функций не делает их инструментами PAM.
 
Лучшие практики внедрения PAM
 
Изучение лучших практик позволяет оптимизировать ресурсы при внедрении инструментов. Эксперты выяснили, что правильное развертывание инструмента PAM требует двух основных моментов:
  1. Четкое понимание того, где находятся привилегированные учетные записи (с планом действий по их защите).
  2. Изменение организационных процессов с целью максимизации эффективности контроля привилегированного доступа.
Для этого организациям следует внедрить комплексную практику обнаружения привилегированных учетных записей, чтобы понять, какой привилегированный доступ существует в их среде в настоящее время, а затем определить, как привилегированный доступ будет происходить в будущем.
 
С точки зрения процесса и практики, при развертывании инструмента PAM руководители подразделений управления информационными рисками должны следовать четырем принципам PAM, предложенным Gartner:
  1. Отслеживайте и защищайте каждую привилегированную учетную запись.
  2. Осуществляйте комплексное управление и контроль доступа.
  3. Ведите журнал и проводите аудит действий с использованием привилегированных учетных записей.
  4. Используйте автоматизацию задач, реализуемых с использованием привилегированного доступа.
Есть еще один принцип, фундаментальный, без учета которого успешное внедрение инструментов и практик PAM будет намного сложнее — культура.
 
Культура управления привилегиями
 
Невнимание к культуре или недооценка ее влияния - одна из самых больших причин неудач в проектах PAM. Без учета культурных особенностей компании сталкиваются с сопротивлением проекту внедрения PAM со всех сторон, включая отдельных сотрудников, руководителей IAM и бизнес-лидеров. Поскольку внедрение PAM - это изменение подхода людей к административной работе, недостаточное объяснение того, почему требуются изменения, вызовет сопротивление этим изменениям.
 
Основные практики для внедрения культуры управления привилегиями
  • Создать видение (vision) PAM, с одностраничным манифестом, ориентированным на всех заинтересованных лиц. На этой странице должно быть изложено видение, указано, какова их роль в проекте, и четко сказано, что от них ожидается.
  • Создайте руководящую группу и пригласите все заинтересованные стороны. Работа руководящей группы заключается в определении ожиданий в отношении обязанностей, а также в создании положительного импульса и канала связи для всех групп на протяжении всего проекта.
  • Добейтесь поддержки руководства. Иногда, когда проект упирается в стену, требуется более высокая инстанция, которой поручено поддерживать проект на должном уровне. Наличие поддержки со стороны руководства, возможно с включением его в руководящую команду, позволяет проекту преодолевать сложные проблемы во время кризиса.
 
Какие причины побуждают компании внедрять PAM
 
Аналитики Gartner выделили 3 основных причины внедрения инструмента управления привилегированным доступом.
 
Защита бизнеса. Это основная причина. Эффективный PAM уменьшает поверхность атаки для привилегированных учетных записей и снижает риски, чтобы уменьшить или устранить воздействие на бизнес от действий злоумышленников. Правильное управление PAM, возможно, не устранит компрометацию сети и учетных записей, но оно может снизить риск значительного воздействия на бизнес за счет предотвращения эскалации атаки.
 
Поддержка бизнес-процессов. Помимо безопасности, наличие хороших и эффективных процессов управления привилегированным доступом помогает оптимизировать изменения и тем самым способствует гибкости бизнеса (business agility). Цель состоит в том, чтобы управлять рисками PAM настолько успешно, чтобы бизнес мог быстро переходить к новым возможностям, не будучи обремененным унаследованными проблемами безопасности, такими как PAM. Просто приобретение PAM-инструмента без изменения порядка предоставления и использования привилегированного доступа оставляет организации незащищенными — существует множество историй о взломах компаний несмотря на использование PAM-систем. Обычно таких инцидентов можно избежать при правильном использовании инструментов.
 
Соответствие нормативным требованиям. Соблюдение аудиторских и нормативных требований всегда было движущей силой для PAM. Gartner отмечает, что из-за недавнего распространения атак ransomwareстраховщики киберрисков сегодня требуют от многих своих клиентов подтверждения наличия средств контроля PAM и эффективной практики PAM.
 
Обзор рынка
 
Размер рынка и движущие силы
 
Gartner отметил 20% рост объема продаж PAM-решений, представленных в текущем отчете, и прогнозирует дальнейший рост. Причинами роста аналитики называют повышение осведомленности о важности управления привилегированным доступом, громкие инциденты, связанные с компрометацией привилегированных учетных записей, размывание периметров безопасности, миграцию в облако и увеличение кибератак. Увеличение доли удаленных сотрудников также простимулировало интерес к системам управления привилегированным доступом — использование PAM для организации удаленного доступа администраторов к ресурсам компании является признанной практикой. Это привело к росту продаж решений, поддерживающих эту возможность, и повышению ее приоритета в дорожных картах остальных поставщиков.
 
Считается, что PAM-решения — это исключительно для крупных компаний, однако малый и средний бизнес сталкивается с теми же проблемами, хотя и в меньших масштабах. Полнофункциональные системы для небольших компаний могут оказаться сложными в обслуживании, и производители отвечают на это созданием SaaS-функционала. Крупные компании со зрелыми процессами организации привилегированного доступа начинают выходить за рамки базовых сценариев использования PAM, поэтому разработчики удвоили своим усилия по развитию таких возможностей, как управление секретами, JIT PAM, автоматизация привилегированных задач и управление привилегиями в мультиоблачных средах. Проникая на смежный рынок, они сталкиваются с конкуренцией со стороны поставщиков, не входящих в основной рынок PAM, например, тех, кто предлагает отдельные продукты для управления секретами или CIEM.
 
Динамика рынка
 
Исследование показало, что поставщики делают акцент либо на переводе своих решений на SaaS, либо на предложении SaaS как варианта. В этом году из 11 поставщиков, включенных в отчет Gartner, только один не имеет SaaS в своей дорожной карте. Остальные 10 в настоящее время предлагают или разрабатывают инструмент PAM на базе SaaS.
 
Другим направлением развития рынка является управление секретами. Пять поставщиков из отчета этого года предлагают инструменты управления секретами для разработчиков, а остальные разработали некоторые функции управления секретами в своих продуктах. Кроме того, пять поставщиков предлагают инструменты CIEM, несколько компаний внесли разработку таких возможностей в дорожную карту.
 
С вертикальной точки зрения возникает потребность в специальных функциях для организаций, использующих IoT и OT. В качестве примера можно привести компании коммунального и энергетического секторов, а также больницы. Эти организации нуждаются в защите привилегированного доступа к своим устройствам диспетчерского контроля и сбора данных (SCADA) и ОТ, а также в предварительно настроенных коннекторах для подключения к популярным ОТ-системам.
 
Конкуренция на рынке PAM остается острой благодаря присутствию большого количества игроков. В последние несколько лет рынок постоянно движется в сторону консолидации. Слияние в 2021 году компаний Thycotic и Centrify с образованием компании Delinea продолжает эту тенденцию.
 
Географические и вертикальные тенденции
 
Основными отраслями-пользователями PAM являются компании из финансовой сферы, СМИ, услуг и государственного управления, что связано с большими нормативными требованиями. В последнее время растет спрос со стороны здравоохранения, производства и обрабатывающей отрасли.
 
Северная Америка и Европа по-прежнему остаются основными рынками для PAM-продуктов на мировом уровне. Однако в более широком Азиатско-Тихоокеанском регионе также наблюдается рост интереса и продаж. Крупные производители, такие как Broadcom (Symantec), CyberArk, BeyondTrust и Delinea, все чаще пытаются расширить свою географию. Однако в регионах есть свои сильные поставщики: ARCON на Ближнем Востоке и в Азиатско-Тихоокеанском регионе, Senhasegura в Латинской Америке, а также WALLIX и Krontech в Европе. Несмотря на меньшие размеры, эти компании обладают знанием местных особенностей, связей, языка и близости к потребителю.
 
Большинство решений из отчета Gartner отсутствует на отечественном рынке, однако потребности в управлении привилегированным доступом в российских компаниях в той или иной мере удовлетворяются решениями отечественных производителей: Indeed PAM (Индид)SafeInspect (НТБ), sPACE (Вэб Контрол), СКДПУ НТ (АйТи Бастион). Динамика, которую показывают отечественные производители в этом году, дает уверенность что уже в ближайшее время российские потребители PAM продуктов смогут получить адекватную замену продуктам иностранных компаний.
 
2020
 
К 2024 году 50% организаций внедрят привилегированный доступ на основе модели justintime
 
Аналитическое агентство Gartner выпустило очередной сравнительный анализ Magic Quadrant for Privileged Access Management 2020 (Управление привилегированным доступом). Об этом стало известно 28 сентября 2020 года. Отчеты агентства Gartner формулируют основной функционал решений конкретного класса, дают максимальный охват рынка и называют особенности и узкие места продуктов отобранных вендоров, позволяя соотнести свои ключевые потребности с предложениями на рынке и подойти к выбору продукта с позиции разумной достаточности.
 
В магическом квадранте основные игроки рынка традиционно делятся на 4 категории:
  • Лидеры – компании с хорошим функционалом и хорошим заделом на будущее.
  • Визионеры – компании, понимающие направление развитие рынка или имеющие потенциал к изменению правил рынка
  • Нишевые игроки – компании, которые функционируют на маленьком сегменте
  • Претенденты выпускают хороший продукт или могут лидировать в большом сегменте, но не всегда демонстрируют понимание направления рынка.
Согласно прогнозу, к 2024 году 50% организаций внедрят привилегированный доступ на основе модели «just in time», что предполагает предоставление привилегий в нужное время и в нужном объеме и устраняет избыточные привилегии. Такой шаг, по мнению экспертов, приведет к снижению компрометации привилегированный учетных записей на 80%. Кроме того, автоматизация задач, связанных с привилегированным доступом, сократит затраты на обслуживание IaaS и PaaS на 40% и снизит число инцидентов на 70% к этому же сроку.
 
Эксперты Gartner сформулировали функционал решений управления привилегированным доступом, на который можно ориентироваться при выборе вендора. Следует отметить, что он практически не изменился по сравнению с предыдущим отчетом 2018 года:
  • обнаружение, управление и оркестрация привилегированных учетных записей различных систем и приложений;
  • контроль доступа к привилегированным учетным записям, включая совместно используемые и аварийные учетные записи;
  • рандомизация, управление и безопасное хранение привилегированных учетных данных (паролей, ключей);
  • обеспечение единого входа (SSO), чтобы не допустить раскрытие учетных данных;
  • контроль, фильтрация и оркестрация привилегированных команд, действий и задач;
  • управление и передача учетных данных в приложения, сервисы и устройства без их раскрытия;
  • мониторинг привилегированного доступа, сеансов и действий, ведение журнала и анализ.
Большой класс решений Privileged Access Management аналитики Gartner подразделяют на 3 категории:
  • PASM (Privilege account and session management)
  • PEDM (Privilege account and delegation management)
  • Secrets Management
Решения PASM (Privilege account and session management) защищают учетные записи посредством хранения учетных данных в защищенном хранилище и организации доступа к ним. Управление сеансами привилегированного доступа предполагает инжектирование учетных данных без их раскрытия пользователю. PASM-решения могут обеспечивать управление служебными паролями (AAPM – Application-to-application password management).
Решения PEDM раздают привилегии авторизованным пользователям. Такие решения обеспечивают фильтрацию команд, контроль приложений и эскалацию привилегий, т.е. выполнение команд с более высоким уровнем привилегий.
 
Решения Secrets management обеспечивают управление, хранение и извлечение секретов посредством API или SDK. Управление секретами часто используется в динамических и agile-средах, таких как IaaS, PaaS и контейнерах, говорится в обзоре Magic Quadrant for Privileged Access Management 2020, подготовленном компанией Web Control.
 
Обязательным условием включения в отчет «Magic Quadrant PAM 2020» является наличие PASM-функционала. В число других критериев для включения в отчет входит наличие определенных возможностей, таких как защищенное хранилище, средства обнаружения привилегированных учетных записей и автоматической ротации секретов, запуск сеанса привилегированного доступа по протоколам SSH, RDP, HTTPS, запись и просмотр сеансов, ролевая модель доступа, интеграция с существующей средой заказчика. Gartner также предъявляет серьезные требования к уровню, росту и географии продаж, числу клиентов и позиционированию. Местоположение компании в квадранте определяется не только качеством продукта, но и уровнем удовлетворенности клиентов, политикой продаж и ценообразования, маркетингом, стратегией, инновационностью и другими факторами.
 
Из 12 отобранных для анализа вендоров в число лидеров попали следующие компании:
По сравнению с 2019 годом в команде лидеров произошли изменения – BeyondTrust, Centrify и CyberArk остались лидерами, к ним добавилась компания Thycotic, перешедшая из команды визионеров, а CA Technologies, бывшая лидером в отчете 2018 года, после поглощения ее компанией Broadcom (Symantec) перешла в число нишевых игроков. В отчет 2020 года не вошли Fudo Security, Micro Focus и Osirium, что связано не с качеством их продуктов, а с невыполнением требований к росту и числу клиентов.
 
В решении BeyondTrust представлен функционал как управления сеансами привилегированного доступа, так и эскалации доступа. Эксперты отметили наличие у решений компании особого функционала - мониторинга целостности файлов для Unix/Linux и Windows, возможности генерирования отчетности с использованием большого количества предварительно настроенных шаблонов и балансировку нагрузки при кластерном размещении. При выборе PAM-решения следует учесть, что в реализации BeyondTrust Password Safe управление паролем в сторонних решениях реализуется через CLI интерфейс, использующий SSH или Telnet, но не через инструменты SDK. Так же отсутствует SaaS-версия решения. В 2018 году BeyondTrust прошел через процедуру слияния и поглощения, объединив на одной платформе такие признанные решения как BeyondTrust, Liebermann, Bomgar и Avecto. В результате объединения нескольких решений на одной общей платформе управления всеми привилегиями компании претерпела изменение техническая поддержка, на сентябрь 2020 года нет данных, чтобы оценить, вернулась ли поддержка к прежнему высокому уровню. Объединение нескольких решений на одной платформе – серьезный и достаточно сложный шаг, однако компания BeyondTrust справилась с ним, предложив рынку подход универсального управления всеми привилегиями. Этот подход дает возможность подбирать актуальный на сентябрь 2020 года функционал и дополнять его дополнительным по мере необходимости.
 
Решение Centrify объединяет возможности PASM и PEDM. Centrify предлагает полноценное SaaS PAM-решение. В отчете отмечен бесплатный сервис Centrify Health Check – однодневная консалтинговая программа оценки зрелости PAM-программы компании и определения следующих шагов. При выборе решения следует учесть, что стоимость решения этого вендора выше среднерыночного, PEDM-функционал не реализован для macOS. Centrify нацелен на использование MS AD, поэтому обнаружение учетных записей эксперты называют слабым и сфокусированным на AD, главным образом.
 
CyberArk известен в качестве трендсеттера отрасли. В его решениях реализован как PASM функционал, так PEDM и Secrets management. В мае 2020 CyberArk приобрел Idaptive для управления доступом. CyberArk – это полноценное решение, охватывающее различные сценарии использования. Эксперты Gartner обращают внимание потенциальных клиентов на его высокие требования к оборудованию и трудность в установке некоторых его компонентов. При выборе решения следует учесть, что в решении не предусмотрена поддержка Kerberos и групповой политики MS AD для UNIX/Linux.
 
Решение Thycotic обладает функционалом PASM, PEDM и Secrets management. Эксперты отмечают легкость установки и настройки решения. В 2020 году компания приобрела Onion ID для расширения контроля привилегированного доступа на платформах IaaS, SaaS и для баз данных.
 
Отчеты аналитиков Gartner – это не призыв к приобретению того или иного решения, это возможность выбрать то, что отвечает потребностям конкретной компании. Для этого не всегда следует ориентироваться на лидеров рынка. Менее крупные вендоры или вендоры, не вошедшие в квадрат лидеров, часто предлагают особенные возможности. Hitachi, например, реализует подход «just in time» для инжектирования учетных данных в AWS, OneIdentity использует машинное обучения для анализа действий в сеансе, биометрию для анализа клавиатурного почерка и обнаружения несанкционированного доступа. Senhasegure сфокусирована на расширении интеграции с DevOps инструментами и быстро выводит на рынок функционал, связанный с управлением Kubernetes и контейнерами.
 
KuppingerCole: рынок PAM-решений вырастет до 4,5 миллиардов долларов к 2025 году
 
Ведущее европейское независимое аналитическое агентство KuppingerCole, специализирующееся на исследованиях в области информационной безопасности, IAM, IAG, управления рисками и цифровой трансформации, выпустило 113-страничный аналитический отчет KuppingerCole's Leadership Compass PAM 2020, которым в конце мая 2020 года с TAdviser поделилась компания Web Control (Вэб Контрол ДК).
 
В отчете представлен сравнительный анализ 24 вендоров рынка решений управления привилегированного доступа (Privileged Access Management, PAM) и краткий обзор еще 8 вендоров, к которым, по словам аналитиков агентства, «стоит присмотреться». Для проведения анализа эксперты агентства исследовали сегменты рынка, технические возможности решений и вендоров, относительную долю рынка и инновационность решений.
По мнению аналитиков агентства, лидирует на рынке компания CyberArk, за ней с небольшим отрывом следуют Thycotic и обновленная компания BeyondTrust, которая лишь в 2019 году полностью закончила процедуру слияния с Bomgar, Lieberman Software и Avecto.
 
Лидеры рынка PAM. Отчет KuppingerCole's Leadership Compass PAM 2020
Решения класса Privileged Access Management предназначены для снижения рисков, связанных с несанкционированным использованием привилегированных учетных записей. При этом к привилегированным записям относятся не только учетные записи администраторов (серверов, сетевого оборудования, рабочих станций), имеющих доступ к управлению элементами ИТ-инфраструктуры, но и бизнес-пользователей, которые имеют доступ к конфиденциальным данным компании, а также пользователей, которым требуется непостоянный привилегированный доступ, на время проекта, например.
 
В последние годы рынок решений для управления привилегированным доступом стал одним из наиболее быстро растущих рынков. По оценке экспертов KuppingerCole рынок PAM-решений, на котором на май 2020 года представлено около 40 основных вендоров, вырастет с 2,2 миллиарда долларов в 2020 году до 4,5 миллиардов долларов к 2025 году. Среди причин такого роста называют цифровую трансформацию, DevOps, распределенные вычисления и рост киберпреступлений.
 
Сравнение решений в этом отчете производилось на основе оценки следующего функционала:
  1.  управление жизненным циклом привилегированных учетных записей (PADLM),
  2.  контроль совместно используемых паролей (Shared Account Management),
  3.  управление служебными учетными записями (AAPM),
  4.  контролируемая эскалация привилегий (CPEDM),
  5.  управление привилегиями на конечных точках (EPM),
  6.  запись и мониторинг сеансов в реальном времени,
  7.  реализация принципа «just in time»,
  8.  реализация SSO,
  9.  мониторинг и анализ действий с привилегированными учетными записями.

Из 32 вендоров аналитики KuppingerCole выделили лидеров, претендентов на лидерство и вендоров, на которых стоит обратить внимание из-за наличия, возможно, уникального функционала и/или предложения, перспективности подхода или каких-иных факторов.
 
Лидерство определялось по трем характеристикам – качество продукта, присутствие на рынке и партнерская сеть и инновации.
 
В категорию «Product Leaders» попали компании, предлагающие зрелые продукты с наиболее полным функционалом. К «Market Leaders» отнесли вендоров с большим количеством клиентов по всему миру и крепкой партнерской сетью для поддержки продуктов. В категорию «Innovation Leaders» включили компании, которые определяют направление развития продуктов на рынке. Они предлагают наиболее инновационный и перспективный функционал.
На основе качества продукта, присутствия на рынке и инновационной политики эксперты составили список лидеров «Overall Leaders», куда попали 9 компаний: BeyondTrust (США), Broadcom (США), Centrify (США), CyberArk (США), Hitachi ID (Канада), One Identity (США), SSH (Финляндия), Thycotic (США), Wallix (Франция).
 
По каждой компании, вошедшей в число лидеров и претендентов на лидерство, эксперты составляют краткий отчет, в котором отдельно выделяются преимущества и недостатки, а также дается оценка по реализации основного функционала.
 
Компасt. KuppingerCole's Leadership Compass PAM 2020
 
Большинство компаний из группы лидеров хорошо известно на российском рынке и не нуждаются в представлении. Они предлагают зрелые продукты с полным функционалом.
 
Здесь хочется упомянуть несколько менее известных в России компаний, предлагающих нестандартный функционал. Компания SSH, например, ушла от традиционного подхода на основе управления паролями и обеспечивает привилегированный доступ на основе выпуска разового сертификата для SHH и RDP. В решении Hitachi ID HiPAm эксперты отметили мощные инструменты восстановления системы, репликацию данных в режиме реального времени и распределенные данные. Особенной чертой этого решения, по мнению аналитиков, является кнопка «Recent», которая позволяет быстро открыть предыдущие запросы и сеансы. Отметим, что для российского рынка такая функция не является уникальной, потому что быстрый переход в последние сеансы привилегированного доступа предлагает российской решение. В группу лидеров эксперты отнесли компанию Broadcom, которая хотя до этого года не фигурировала в независимых аналитических отчетах как PAM-вендор, но не является новичком этого рынка после приобретения CA Technologies с решением CA Privileged Access Management Suite и Symantec, под брендом которого будет продаваться новое PAM-решение.
В число претендентов в лидеры (Chellengers) вошли Kron (Турция), Micro Focus (Великобритания), Arcon (Индия), ManageEngine (США), Systancia (Франция) и Stealthbits (США), слегка не дотянувшие до лидерства, и Onion ID (офисы в США и Индии), EmpowerID (США), Senhasegura (Бразилия), Osirium (Великобритания), Xton Technologies (США), Sectona (Индия), Devolutions (Канада), Fudo Security (офисы в США и Польше) и Remediant (США). Эти компании не вошли в число лидеров из-за отсутствия полного PAM-функционала, но решения этих компаний могут закрыть какие-то специфические потребности. Xton Technologies, например, предоставляет еженедельные обновления, в том числе с новым функционалом. Kron и Osirium, например, предлагают автоматизацию управления привилегированных задач посредством делегирования не привилегий, а задач, и автоматизируя рутинные привилегированные операции. Автоматизацию некоторых задач предлагает и Sectona, в частности отзыв привилегированных учетных записей без участия администратора и автоматизацию управления привилегированными задачами. По прогнозу экспертов KuppingerCole, высока вероятность того, что автоматизация станет важным функционалом PAM решений в ближайшие годы.
 
В число вендоров, к которым стоит присмотреться, вошли Deep Identity (Сингапур), HashiCorp Vault (США), Identity Automation (США), IRaje (Индия), NRI Secure Technologies (Япония), ObserveIT (США), Saviynt (США), Venafi (США). В этих решениях присутствует не полный PAM-функционал, что подойдет для компаний из малого и среднего бизнеса. Следует отметить, что недостающий функционал часто восполняется интеграцией. NRI Secure Technologies, например, использует BeyondTrust Powerbroker Password Safe для управления паролями, а Saviynt для хранения секретов использует хранилище HashiCorp. Партнерство Venafi с HashiCorp, в котором Venafi обеспечивает централизованный контроль политик, прозрачность и автоматизацию жизненного цикла служебных учетных записей машин, включая публичные и частные SSL/TLS сертификаты, а HashiCorp предоставляет свое хранилище, ориентировано на DevOps команды.
 
Бытует ошибочное мнение, что PAM-решения предназначены только для крупных компаний. Это не так. Хакеры не выбирают свои цели по размеру компании, они просто ищут точки доступа, и небольшие компании также могут столкнуться с вирусами-вымогателями или, скажем, удалением базы данных клиентов недовольным привилегированным пользователем. Зачастую небольшие компании являются подрядчиками крупных компаний и выполняют для них какие-то работы. Такие компании не обладают большим бюджетом на ИБ, но, по мнению экспертов Gartner, управление привилегированными учетными данными относится к списку топ-10 проектов, реализация которых окажет наибольшее влияние на бизнес и кибербезопасность.
 
Из числа компаний, включенных в отчет KuppingerCole, только 3 вендора, IRaje, Kron и Devolutions, ориентированы на компании малого и среднего бизнеса, поэтому некрупным российским компаниям целесообразно ориентироваться на российские решения.
Хотя в отчет KuppingerCole's Leadership Compass PAM 2020 не вошла ни одна российская компания, среди российских вендоров есть как полноценные PAM решения, так и базовые, ориентированные на малый и средний бизнес.