Главная / О компании / Новости / Privileged Access Management, PAM Решения для управления привилегированным доступом (мировой рынок)

Privileged Access Management, PAM Решения для управления привилегированным доступом (мировой рынок)

« Назад

Privileged Access Management, PAM Решения для управления привилегированным доступом (мировой рынок)  21.11.2022 10:00

Обнаружение и добавление учетных записей (Account discovery and onboarding). Эта возможность позволяет обнаруживать, идентифицировать и добавлять привилегированные учетные записи, включая возможность поддержки периодического, по запросу или непрерывного их сканирования. Сюда также входит возможность автоматического обнаружения целевых служб и систем (включая виртуальные машины) для дальнейшего обнаружения привилегированных учетных записей, содержащихся в них.
 
Управление привилегированными учетными данными (Privileged credential management). Эта возможность предоставляет основной функционал для управления и защиты определенных системой и предприятием учетных данных привилегированных учетных записей или секретов (включая ключи SSH). Она включает генерирование, хранение, ротацию и извлечение учетных данных для интерактивного доступа к ним определенных пользователей. Здесь также предполагается ротация учетных данных для служебных и программных учетных записей (например, встроенных учетных записей) на целевых системах. Эти функции требуют возможности доступа к инструменту PAM как минимум через веб-консоль или API.
 
Управление сеансами привилегированного доступа (Privileged session management). Эта возможность обеспечивает создание, управление, запись и воспроизведение сеансов, мониторинг в реальном времени, фильтрацию команд на основе протокола и разделение сеансов привилегированного доступа. Она включает функционал для управления интерактивным сеансом с помощью PAM, от получения учетных данных до авторизации с их помощью, хотя в обычных случаях эти данные не раскрываются пользователю. Эта возможность также может включать ограничения, такие как разрешение/запрет определенных типов команд и функций при входе в целевую систему.
 
Управление секретами. Эта возможность обеспечивает управление доступом к учетным данным (таким как пароли, токены OAuth и ключи SSH) для машинных сценариев использования, таких как устройства, приложения, сервисы, скрипты, процессы и конвейеры DevSecOps. Этот функционал дает возможность генерировать, хранить, осуществлять ротацию и предоставлять учетные данные машинным сущностям (например, через API). Он также предполагает посредничество в установлении доверия между различными машинными сущностями с целью обмена секретами, а также управления авторизациями и связанными с ними функциями. В совокупности эта возможность поддерживает управление секретами в динамических средах и обеспечивает поддержку платформ RPA.
 
Журналирование и отчетность. Эта возможность обеспечивает запись всех единичных событий, включая изменения и операции, в рамках работы PAM. Единичное событие основывается на пользователе, времени, дате и местоположении и обрабатывается с другими событиями посредством корреляции в логическом порядке. Это необходимо для мониторинга и определения первопричины рискованных событий и выявления несанкционированного доступа. Эта возможность также предоставляет функционал, необходимый для аудита и генерирования отчетности базы данных событий, включая готовые отчеты и отчеты по запросу. Данные о событиях должны также включать информацию о сеансах привилегированного доступа. Она же предоставляет аналитику (часто с использованием машинного обучения) действий привилегированных учетных записей для обнаружения и маркировки аномалий, включая базовую оценку, оценку рисков и оповещение. Цель состоит в том, чтобы лучше определять как текущие, так и прогнозируемые показатели, которые выявляют аномалии привилегированного доступа для запуска в ответ автоматизированных контрмер.
 
Автоматизация привилегированных задач. Эта возможность предоставляет функционал для автоматизации многошаговых, повторяющихся задач, связанных с привилегированными операциями, которые оркестрируются и/или выполняются в ряде систем. Для этого используются расширяемые библиотеки предварительно сконфигурированных операций, требующих привилегированного доступа, для распространенных ИТ-систем и устройств. Такая автоматизация позволяет выполнять различные действия и запрашивать дополнительную информацию по мере необходимости, обеспечивая при этом защиту путем проверки вводимых данных на соответствие политикам и настройкам.
 
Повышение и делегирование привилегий для Unix/Linux. Эта возможность предоставляет функционал на базе хоста, который обеспечивает соблюдение политик на системах UNIX/Linux и macOS для разрешения запуска авторизованных команд или приложений под повышенными привилегиями. Администраторы авторизуются в системе, используя непривилегированную учетную запись, и повышают привилегии по мере необходимости. Любая команда, требующая дополнительных привилегий, должна будет пройти через эти инструменты, что, по сути, не позволит администраторам выполнять небезопасные действия. Эти функции должны выполняться в реальной операционной системе (на уровне ядра или процесса).
 
Повышение и делегирование привилегий для Windows. Эта возможность предоставляет функционал на базе хоста для реализации политик на системах Windows, которые реализуют контроль разрешения/запрета/изоляции приложений, а также для разрешения запуска авторизованных команд или приложений под повышенными привилегиями. Администраторы авторизуются в системе с помощью простой учетной записи, и повышают привилегии по мере необходимости. Любая команда, требующая дополнительных привилегий, должна будет пройти через эти инструменты, фактически не позволяя администраторам выполнять небезопасные действия. Эти функции должны выполняться в реальной операционной системе (на уровне ядра или процесса). Инструменты Windows PEDM могут также предоставлять функции контроля целостности файлов.
 
Интеграция со смежными системами. Эта возможность требует способности предоставлять функционал для интеграции и взаимодействия со смежными системами безопасности и управления услугами. Сюда входят IGA, SSO, MFA, корпоративные каталоги, поддержка гибких коннекторов и интеграционных фреймворков, общий доступ к API, интеграцию с системами ITSM, системами SIEM и системами управления уязвимостями.
 
Простота развертывания, производительность. Эта возможность предоставляет функционал для упрощения развертывания решения PAM, одновременно обеспечивая доступность, восстанавливаемость, производительность и масштабируемость. Реализация подхода «на определенное время» (just in time). Эта возможность обеспечивает привилегированный доступ по требованию без необходимости в общих учетных записях с постоянными привилегиями. Как правило, для этого непривилегированным учетным записям предоставляются соответствующие привилегии на временной основе. Общепринятыми методами для достижения этой цели могут быть использование подходов PEDM, использование временного членства в группах по требованию или использование эфемерных учетных записей или токенов безопасности. Эта возможность ориентирована на соблюдение принципа наименьших привилегий и последующее достижение нулевых постоянных привилегий (ZSP) для доступа к PAM. Реализация подхода JIT предполагает:
  • возможность динамического добавления и удаления пользователей из групп AD;
  • динамическое предоставление ограниченного по времени доступа к привилегированным учетным записям;
  • функциональность PEDM посредством повышения привилегий по требованию;
  • возможность создания и удаления привилегированных учетных записей по требованию;
  • возможность создания и использования эфемерных токенов;
  • возможность доступа по требованию к панелям управления SaaS, таким как AWS.
 
 
Текущая ситуация
 
Говоря о текущей ситуации, Gartner отмечает тенденцию к сближению рынков IAM, формулирует лучшие практики внедрения PAM, которые можно брать за основу при внедрении решения, и идентифицируют причины, побуждающие компании внедрять PAM-решения.
 
Сближение рынков IGA, IDM и PAM
 
Gartner в своем отчете отмечает заимствование PAM-решениями функционала смежных рынков, когда инструменты управления доступом, например, предлагают некоторый функционал IGA или в PAM-системе реализованы возможности управления доступом. Это он называет макроконвергенцией, или сближением различных рынков. CyberArk, в частности, предлагает функционал IAM (Identity and Access Management), One Identity и Broadcom предлагают возможности IGA и IAM. Эксперты предупреждает, что такой функционал реализован посредством отдельных решений, часто не интегрированных между собой с точки зрения политик, управления и развертывания.
 
Другим примером сближения, на этот раз микроконвергенции, когда производитель «проникает» в смежную по функционалу категорию инструментов, является возросший интерес производителей PAM к управлению секретами и CIEM. Семь поставщиков PAM, представленных в этом отчете, в настоящее время предлагают продукты для управления секретами, еще три поставщика планируют их добавить, и только один не планирует этого делать. Пять компаний из отчета предлагают функциональность CIEM, шесть компаний планируют внедрение этой функциональности, а четыре включили ее в дорожную карту. Только одна компания не планирует использовать ни CIEM, ни средства управления секретами в составе своих PAM-инструментов.
 
Пользователи не всегда видят разницу между инструментами управления привилегированным доступом и управления паролями. Эксперты Gartner разъясняют, что PAM-системы направлены на снижение рисков, связанных с привилегированным доступом.
 
Эти решения управляют привилегированными учетными записями — учетными записями, которые могут выполнять операции создания, получения, обновления, удаления (CRUD) в ИТ-инфраструктуре. Инструменты управления паролями предназначены для того, чтобы помочь обычным пользователям с обычными правами (бухгалтерам, продавцам или инженерам, например) справиться с широким набором паролей, которые они должны помнить для своей повседневной работы. Они не занимаются ротацией учетных данных, управлением сеансами, записью сеансов, управлением идентификацией или повышением привилегий. Многие организации считают их критически важными для помощи пользователям, но их не следует путать с PAM-инструментами. Они могут хранить пароли в хранилищах, требовать пароля для доступа к хранилищу, а некоторые из них могут генерировать уникальные и сложные пароли. Однако ни одна из этих функций не делает их инструментами PAM.
 
Лучшие практики внедрения PAM
 
Изучение лучших практик позволяет оптимизировать ресурсы при внедрении инструментов. Эксперты выяснили, что правильное развертывание инструмента PAM требует двух основных моментов:

1. Четкое понимание того, где находятся привилегированные учетные записи (с планом действий по их защите).
2. Изменение организационных процессов с целью максимизации эффективности контроля привилегированного доступа.
 
Для этого организациям следует внедрить комплексную практику обнаружения привилегированных учетных записей, чтобы понять, какой привилегированный доступ существует в их среде в настоящее время, а затем определить, как привилегированный доступ будет происходить в будущем.
 
С точки зрения процесса и практики, при развертывании инструмента PAM руководители подразделений управления информационными рисками должны следовать четырем принципам PAM, предложенным Gartner:

1. Отслеживайте и защищайте каждую привилегированную учетную запись.
2. Осуществляйте комплексное управление и контроль доступа.
3. Ведите журнал и проводите аудит действий с использованием привилегированных учетных записей.
4. Используйте автоматизацию задач, реализуемых с использованием привилегированного доступа.
 
Есть еще один принцип, фундаментальный, без учета которого успешное внедрение инструментов и практик PAM будет намного сложнее — культура.
 
Культура управления привилегиями
 
Невнимание к культуре или недооценка ее влияния - одна из самых больших причин неудач в проектах PAM. Без учета культурных особенностей компании сталкиваются с сопротивлением проекту внедрения PAM со всех сторон, включая отдельных сотрудников, руководителей IAM и бизнес-лидеров. Поскольку внедрение PAM - это изменение подхода людей к административной работе, недостаточное объяснение того, почему требуются изменения, вызовет сопротивление этим изменениям.
 
Основные практики для внедрения культуры управления привилегиями
  • Создать видение (vision) PAM, с одностраничным манифестом, ориентированным на всех заинтересованных лиц. На этой странице должно быть изложено видение, указано, какова их роль в проекте, и четко сказано, что от них ожидается.
  • Создайте руководящую группу и пригласите все заинтересованные стороны. Работа руководящей группы заключается в определении ожиданий в отношении обязанностей, а также в создании положительного импульса и канала связи для всех групп на протяжении всего проекта.
  • Добейтесь поддержки руководства. Иногда, когда проект упирается в стену, требуется более высокая инстанция, которой поручено поддерживать проект на должном уровне. Наличие поддержки со стороны руководства, возможно с включением его в руководящую команду, позволяет проекту преодолевать сложные проблемы во время кризиса.
 
Какие причины побуждают компании внедрять PAM
 
Аналитики Gartner выделили 3 основных причины внедрения инструмента управления привилегированным доступом.
 
Защита бизнеса. Это основная причина. Эффективный PAM уменьшает поверхность атаки для привилегированных учетных записей и снижает риски, чтобы уменьшить или устранить воздействие на бизнес от действий злоумышленников. Правильное управление PAM, возможно, не устранит компрометацию сети и учетных записей, но оно может снизить риск значительного воздействия на бизнес за счет предотвращения эскалации атаки.
 
Поддержка бизнес-процессов. Помимо безопасности, наличие хороших и эффективных процессов управления привилегированным доступом помогает оптимизировать изменения и тем самым способствует гибкости бизнеса (business agility). Цель состоит в том, чтобы управлять рисками PAM настолько успешно, чтобы бизнес мог быстро переходить к новым возможностям, не будучи обремененным унаследованными проблемами безопасности, такими как PAM. Просто приобретение PAM-инструмента без изменения порядка предоставления и использования привилегированного доступа оставляет организации незащищенными — существует множество историй о взломах компаний несмотря на использование PAM-систем. Обычно таких инцидентов можно избежать при правильном использовании инструментов.
 
Соответствие нормативным требованиям. Соблюдение аудиторских и нормативных требований всегда было движущей силой для PAM. Gartner отмечает, что из-за недавнего распространения атак ransomwareстраховщики киберрисков сегодня требуют от многих своих клиентов подтверждения наличия средств контроля PAM и эффективной практики PAM.
 
Обзор рынка
 
Размер рынка и движущие силы
 
Gartner отметил 20% рост объема продаж PAM-решений, представленных в текущем отчете, и прогнозирует дальнейший рост. Причинами роста аналитики называют повышение осведомленности о важности управления привилегированным доступом, громкие инциденты, связанные с компрометацией привилегированных учетных записей, размывание периметров безопасности, миграцию в облако и увеличение кибератак. Увеличение доли удаленных сотрудников также простимулировало интерес к системам управления привилегированным доступом — использование PAM для организации удаленного доступа администраторов к ресурсам компании является признанной практикой. Это привело к росту продаж решений, поддерживающих эту возможность, и повышению ее приоритета в дорожных картах остальных поставщиков.
 
Считается, что PAM-решения — это исключительно для крупных компаний, однако малый и средний бизнес сталкивается с теми же проблемами, хотя и в меньших масштабах. Полнофункциональные системы для небольших компаний могут оказаться сложными в обслуживании, и производители отвечают на это созданием SaaS-функционала. Крупные компании со зрелыми процессами организации привилегированного доступа начинают выходить за рамки базовых сценариев использования PAM, поэтому разработчики удвоили своим усилия по развитию таких возможностей, как управление секретами, JIT PAM, автоматизация привилегированных задач и управление привилегиями в мультиоблачных средах. Проникая на смежный рынок, они сталкиваются с конкуренцией со стороны поставщиков, не входящих в основной рынок PAM, например, тех, кто предлагает отдельные продукты для управления секретами или CIEM.
 
Динамика рынка
 
Исследование показало, что поставщики делают акцент либо на переводе своих решений на SaaS, либо на предложении SaaS как варианта. В этом году из 11 поставщиков, включенных в отчет Gartner, только один не имеет SaaS в своей дорожной карте. Остальные 10 в настоящее время предлагают или разрабатывают инструмент PAM на базе SaaS.
Другим направлением развития рынка является управление секретами. Пять поставщиков из отчета этого года предлагают инструменты управления секретами для разработчиков, а остальные разработали некоторые функции управления секретами в своих продуктах. Кроме того, пять поставщиков предлагают инструменты CIEM, несколько компаний внесли разработку таких возможностей в дорожную карту.
 
С вертикальной точки зрения возникает потребность в специальных функциях для организаций, использующих IoT и OT. В качестве примера можно привести компании коммунального и энергетического секторов, а также больницы. Эти организации нуждаются в защите привилегированного доступа к своим устройствам диспетчерского контроля и сбора данных (SCADA) и ОТ, а также в предварительно настроенных коннекторах для подключения к популярным ОТ-системам.
 
Конкуренция на рынке PAM остается острой благодаря присутствию большого количества игроков. В последние несколько лет рынок постоянно движется в сторону консолидации. Слияние в 2021 году компаний Thycotic и Centrify с образованием компании Delinea продолжает эту тенденцию.
 
Географические и вертикальные тенденции
 
Основными отраслями-пользователями PAM являются компании из финансовой сферы, СМИ, услуг и государственного управления, что связано с большими нормативными требованиями. В последнее время растет спрос со стороны здравоохранения, производства и обрабатывающей отрасли.
 
Северная Америка и Европа по-прежнему остаются основными рынками для PAM-продуктов на мировом уровне. Однако в более широком Азиатско-Тихоокеанском регионе также наблюдается рост интереса и продаж. Крупные производители, такие как Broadcom (Symantec), CyberArk, BeyondTrust и Delinea, все чаще пытаются расширить свою географию. Однако в регионах есть свои сильные поставщики: ARCON на Ближнем Востоке и в Азиатско-Тихоокеанском регионе, Senhasegura в Латинской Америке, а также WALLIX и Krontech в Европе. Несмотря на меньшие размеры, эти компании обладают знанием местных особенностей, связей, языка и близости к потребителю.
 
Большинство решений из отчета Gartner отсутствует на отечественном рынке, однако потребности в управлении привилегированным доступом в российских компаниях в той или иной мере удовлетворяются решениями отечественных производителей: Indeed PAM (Индид)SafeInspect (НТБ), sPACE (Вэб Контрол)СКДПУ НТ (АйТи Бастион). Динамика, которую показывают отечественные производители в этом году, дает уверенность что уже в ближайшее время российские потребители PAM продуктов смогут получить адекватную замену продуктам иностранных компаний.