В последние несколько лет управление привилегированным доступом (Privileged Access Management, PAM) – контроль, мониторинг и аудит привилегированных пользователей, учетных записей и секретов для удаленного подключения и управления IT-системами – стало одной из наиболее актуальных тем. В июне 2018 г. Gartner опубликовал список из 10 проектов по защите информационной безопасности, которые "снижают большую часть риска и имеют наибольшее влияние на бизнес". Первое место досталось управлению привилегированным доступом для удаленного подключении к IT-системам. Большинство целевых атак направлено на компрометацию привилегированных учетных записей. Фактически от массивной атаки периметр безопасности отделяет лишь привилегированная запись. Часто такие атаки направлены не на целевые системы, а на смежные, партнерские, менее защищенные, но при этом предоставляющие доступ к целевым системам. В рубрике "День эксперта" Андрей Акинин, генеральный директор компании Web Control, расскажет об особенностях PAM-системы.
Для чего нужны PAM-системы?
PAM-системы решают вопросы как информационной безопасности, так и управления и контроля привилегированного доступа. Задачи управления доступом также возложены на системы IAM (Identity and Access Management) и IdM (Identity Management), но привилегированный доступ имеет свою специфику, и хотя данные решения могут управлять доступом администраторов, они не всегда удовлетворяют расширенным требованиям безопасности, предъявляемым к привилегированному доступу.
Управление привилегированным доступом включает в себя не только управление информационной безопасностью, оно должно упрощать работу администраторов в условиях повышенных требований к привилегированному доступу. То есть, с одной стороны, подобные решения являются необходимым элементом кибербезопасности, потому что снижают последствия угроз за счет защиты привилегированных учетных данных и политики ограничения привилегий, а также облегчают процесс расследования инцидентов. С другой стороны, PAM решают задачи IAM, а иногда IdM-решений в зрелых компаниях с развитой моделью привилегий не только для учетных данных администратора, но и для разделяемых ученых записей, учетных записей приложений и устройств. Поэтому Privileged Access Management является дополнением к уже имеющимся решениям идентификации и управления доступом.
Меньше управления, больше контроля
Традиционно PAM-системы служат не столько для управления привилегированным доступом, сколько для контроля действий привилегированных пользователей, под которыми понимаются не сотрудники со специфическими привилегиями, а администраторы и разработчики с полномочиями управления в ИТ-системах и приложениях. PAM-решения могут включать в себя функционал для управления привилегированными учетными данными, например для автоматической плановой смены паролей.
Обычно процесс использования PAM-системы с точки зрения пользователя выглядит очень просто и не сильно отличается от работы с другими системами идентификации. Как правило, они имеют продвинутые технологии аутентификации, управления учетными данными и контроля сеансов. Привилегированные пользователи авторизуются в PAM-системе, причем идеально, если система поддерживает многофакторную аутентификацию, желательно с возможностью авторизации отдельных транзакций доступа и действий. Затем через единый интерфейс по защищенному каналу предоставляется доступ к тем серверам компании и приложениям/оснасткам, к которым доступ данному специалисту согласован, здесь же можно согласовать доступ к новой целевой системе.
Изоляция процессов аутентификации
Основным принципом работы современной PAM-системы является реализация наименьших привилегий, то есть привилегии предоставляются динамически, на ограниченное время, для конкретной системы или даже процесса в системе с конкретным инструментом управления. Однако не всегда интерфейсы управления системами отвечают современным требованиям к защите учетных данных. Поэтому мы наблюдаем очевидную тенденцию к изоляции процессов аутентификации пользователей в защищенной среде управления (Jupm-сервер, Bastion Host и т.д.). Таким образом, ввод идентификационных данных происходит автоматически, в доверенной среде, что значительно снижает вероятность их компрометации.
Традиционный PAM выступает шлюзом между привилегированным пользователем и целевой ИТ-системой, поэтому является исключительно удобной точкой не только записи экранов и вводимых команд, но и управления (блокировки команд и т.д.). Развитые системы PAM не только обеспечивают контроль действий привилегированных пользователей, но и облегчают исполнение ими правил безопасной работы с привилегиями. С одной стороны, снижается вероятность непреднамеренных нарушений, с другой – повышается прозрачность реализации расширенных полномочий.
Оптимизация работы ИТ-департаментов
Системы PAM могут автоматизировать действия дорогостоящих квалифицированных специалистов ИТ и ИБ. Для ИТ-отделов сокращается количество рутинных операций по согласованию доступа, выяснению параметров доступа и запуска сеансов управления, запуску скриптов и других инструментов автоматизированного управления ИТ-системой.
Для команды информационной безопасности автоматически выполняется грандиозная работа по контролю действий в ИТ-системах и расследованию инцидентов. Даже в случае совместного использования несколькими администраторами одной учетной записи, как, например, admin или root, всегда можно легко выяснить, кто именно проводил работы. Для руководителей ИТ- и ИБ-департаментов повышается прозрачность: кто какие действия выполнял или не выполнял, что особенно актуально при большом количестве штатных сотрудников и привлекаемых подрядчиков.
Непрерывный апгрейд технологий
Системы PAM активно развиваются, добавляя новые возможности, и аналитические агентства предвещают их дальнейшее бурное развитие.
В планах одного из лидеров этой отрасли, компании CyberArk, – обеспечение более широкого использования безопасного хранилища паролей и секретов для доступа к облачным технологиям, а также предоставление облегченного решения для компаний малого и среднего бизнеса.
BeyondTrust и Centrify работают над улучшением возможностей оценки рисков, поддержки контейнеров и DevOps. Thycotic объявил об улучшении жизненного цикла привилегированных учетных записей и дальнейшей интеграции своего решения с IaaS и PaaS. Об использовании микросервисной архитектуры говорят BeyondTrust и CA Technologies, а Micro Focus планирует добавить управление привилегированными записями и доступом для устройств IoT. Новое решение по управлению привилегированным доступом к облачным ресурсам PrivX от компании SSH Communications Security Oyj разработано без использования безопасного хранилища паролей. Новый отечественный продукт sPACE реализует оригинальную функцию динамического управления доступом в виде системы нарядов-допусков. Другое российское решение, SafeInspect, использует оригинальные методы контроля управления сессиями между компонентами распределенных приложений баз данных.
Получаются очень интересные решения, когда в PAM-систему производители интегрируют функции из других областей, например обнаружения аномального поведения пользователей. Применительно к системным администраторам так удается выявлять служебные нарушения, которые очень сложно обнаружить традиционными способами ввиду специфики работы: вывод ценных данных в корыстных целях, использование вычислительных мощностей не по назначению, обнаружение действий злоумышленника из взломанного аккаунта администратора и др.
Чем активнее развиваются разные сферы информационных технологий, тем более сложные задачи может решать одна отдельно взятая система. Дополненную реальность начинают применять в SOC, лучшие практики высокопроизводительных GPU-вычислений для майнинга криптовалют перенимают для аналитики больших данных. В будущем все больше технологий аналитики и автоматизации будут приходить в PAM-системы из сопредельных областей.
Переход к брокеру привилегий
Добавление нового функционала приводит к тому, что традиционные системы управления привилегированным доступом начинают перерождаться в PAM-решения следующего поколения, своего рода брокеры привилегий.
Брокер привилегий представляет собой не только инструмент контроля привилегированного пользователя, но скорее средство автоматизации доставки привилегий потребителям: не только администраторам систем, но и приложениям, а при переходе к микросервисной архитектуре – отдельным компонентам приложений. В отличие от управления привилегированным доступом брокер привилегий доставляет привилегии для всех компонентов.
Такие решения не только снижают риск нецелевого использования прав администратора системы, но и сокращают расходы на обслуживание, среднее время восстановления работоспособности. В отличие от традиционных систем управления привилегированным доступом они предоставляют тщательно настроенный доступ к информационным системам и самим информационным системам, который привязан не к роли или пользователю, а к конкретной задаче в определенное время, именно тогда, когда это необходимо. Очевидно, что такой подход обеспечивает более эффективное управление жизненным циклом привилегий и более эффективную реализацию политики наименьших привилегий.
Неизбежная дилемма
Для администратора систем требуются повышенные привилегии, но если пользователь обладает этими привилегиями постоянно, это значительно повышает риск компрометации. А если пользователь получает привилегии по необходимости, то тогда встает вопрос получения прав и снижается производительность труда администратора. Мы встаем перед дилеммой: наделять всеми привилегиями и дать полную свободу или наделять привилегиями по требованию. Всех раздражает, когда требуется выполнять много действий, и трудозатратные формальные процедуры препятствуют выполнению задач. А в некоторых случаях подобное промедление может оказать негативное влияние на бизнес и привести к убыткам. Для корпоративной безопасности очень важно предлагать пользователям простые, удобные и очевидные решения, чтобы не возникало соблазна их обходить в попытке сделать жизнь проще.
Чем руководствоваться при выборе системы?
На рынке огромное количество разных систем, которые позволяют решать одну и ту же задачу различными способами. Каждая компания выбирает то, что ей нужно. Кому-то достаточно простой системы идентификации, кому-то нужен брокер привилегий с функциями поведенческого анализа. Для некоторых компаний потеря ИТ-системы целиком не приводит к существенным убыткам, а в крупных сетевых ритейлерах даже секунда простоя может вызвать огромные финансовые потери.
Выбор необходимой системы определяется моделью привилегий. Сформировать модель привилегий, соответствующую модели угроз, необходимо до начала выбора системы. Это поможет поставить задачу производителю, и с большей вероятностью заказчик выберет то, что ему нужно, а не то, что рекомендуют специалисты по маркетингу основных вендоров.
От системы организации работы администраторов требуется, чтобы для согласования и подключения к ИТ-системам от специалистов требовалось меньше действий, чем если бы этой системы не было. В идеале – избавиться вовсе от согласований по почте, бумажек с паролями под клавиатурой (на мониторе или каких-то других "экзотических" хранилищах), электронных таблиц с параметрами доступа и т.д.
Система должна действительно повышать эффективность затрат ИТ и ИБ:
- помогать самим администраторам, упрощая процесс предоставления прав на нужный период доступа;
- требовать как можно меньшее количество переходов по вкладкам и меню;
- максимально снизить необходимость ручного заполнения электронных форм, получая все данные из смежных систем (IDM, Service Desk, SIEM, Inventory и т.д.).
Рабочий интерфейс для команды безопасности должен позволять выполнять свои функции с минимальными усилиями.
Чтобы систему организации и контроля администрирования можно было полноценно, долго и успешно использовать, требуется большое оперативное хранилище записей действий, приближенная к реальному времени скорость выборки данных для расследований. Очень важно, чтобы система позволяла просто и быстро проводить расследование инцидентов: кто именно и что делал в системе.
Другим важным фактором является нагрузочная способность: сколько параллельных соединений может контролировать система. Для больших предприятий всегда возникает вопрос, не будет ли дополнительная система при подключении вносить помехи и задержки. Большие компании используют большое количество информационных систем, в том числе корпоративных. PAM-системы должны интегрироваться с подобными корпоративными решениями, и такая интеграция не должна занимать много времени.
Корпоративный маст-хэв
Рынок PAM-систем активно растет во всем миру. Ключевых факторов для этого несколько:
- Цифровизация предприятий и увеличение при этом зависимости от ИТ-систем требует их повышенного контроля.
- Появляется больше компаний, у которых бизнес напрямую зависит от И Т.
- Размывается периметр сети, заключается больше контрактов на аутсорсинг; чтобы не потерять контроль над своей инфраструктурой, предприятия внедряют средства контроля.
Россия не отстает от этих тенденций, а в некоторых случаях и значительно опережает в силу большей зрелости подразделений информационной безопасности.
Привилегированными пользователями проще управлять, чем контролировать их. PAM-системы помогают снизить потери от простоя критичных бизнес-процессов, сократить затраты, связанные с управлением ИТ-систем, и обеспечить непрерывность бизнеса.
Автоматизация бизнес-процессов и внедрение лучших практик помогут взять под контроль работу технических ИТ-специалистов. На базе PAM можно выстроить безопасную удаленную поддержку со стороны вендоров и аутсорсеров, упростить обеспечение безопасного привилегированного доступа к ИТ-системам. При правильной настройке это может быть быстрый, надежный и удобный инструмент безопасного администрирования.
Дополнительный положительный эффект достигается благодаря возможности анализа выполненных действий, обмена опытом и совместной работы технических специалистов.
Таким образом, PAM обеспечивает прозрачность и полный контроль процессов реализации привилегий в корпоративной модели управления и является мощным инструментом обнаружения и расследования инцидентов безопасности, который должен быть в арсенале каждой крупной компании.
Источник: TBForum