Как выбрать отечественное решение для управления привилегированным доступом (PAM) в 2023 г.

Вопросы информационной безопасности еще никогда не стояли так остро, как в 2023 г. С января по май этого года зафиксировано на 33% больше случаев публикации баз данных российских компаний, чем за аналогичный период 2022 г.

На фоне обострения внешнеполитической обстановки российские организации массово подвергаются кибератакам, которые приводят к обширным утечкам данных и серьезным репутационным потерям. В этих условиях руководители компаний должны обеспечить бесперебойное функционирование критической инфраструктуры и непрерывность рабочих процессов. А для этого необходима комплексная система защиты доступа к ИТ-системам.

Чтобы построить такую систему, сначала нужно обеспечить защиту привилегированного доступа.

Доверять нельзя никому, особенно привилегированным пользователям

Управление внутренними компонентами ИТ-инфраструктуры и работа в критически важных информационных системах – это сферы ответственности всех сотрудников, наделенных расширенными правами. К такому персоналу относятся:

• администраторы (серверов, сетевого оборудования, рабочих станций);
• бизнес-пользователи, которые имеют доступ к конфиденциальным данным компании;
• пользователи, которым требуется непостоянный привилегированный доступ (аудиторы, внештатные работники на время реализации того или иного проекта).

Если учетной записью с расширенными правами доступа воспользуется злоумышленник, он может нарушить ход бизнес-процессов и создать угрозу информационной безопасности компании. Когда привилегированные пользователи работают в удаленном режиме, риск несанкционированного доступа к ИТ-ресурсам повышается в еще большей мере. В такой ситуации практически невозможно должным образом следить за тем, что делают сотрудники, работающие с критически важными сервисами.

Чтобы контролировать действия непривилегированных пользователей, в большинстве случаев можно обойтись решениями двух классов:

• Employee-Monitoring Products and Services (EMPS) – серверный компонент, отвечающий за анализ и контроль каналов коммуникации;
• Data Leak Prevention (DLP) – клиентский компонент, отвечающий за анализ действий на рабочей станции.

Однако для контроля за действиями привилегированных пользователей применять вышеупомянутые решения недостаточно.

Надежная защита привилегированного доступа к ИТ-системам обеспечивается при помощи специализированных программных комплексов класса Privileged Access Management (PAM), также известного как Privileged User Management (PUM) или Privileged Identity Management (PIM).

В основе системы PAM лежит модель «нулевого доверия» (Zero Trust), обеспечивающая безопасность за счет полного отсутствия доверия к кому-либо внутри сети и за ее пределами.

Рассмотрим каждый принцип модели Zero Trust, реализованный в решениях класса PAM:

1. Привилегированным пользователям больше не нужны административные учетные данные: теперь эти сведения хранятся в программных комплексах PAM. Сотрудник подключается к системе PAM с помощью своей пользовательской учетной записи, а на целевом ресурсе ему открывается сессия под учетной записью, обладающей необходимой совокупностью прав. Такой подход предотвращает бесконтрольное использование привилегированных учетных записей, в рамках которого сотрудники могут хранить пароли в небезопасных местах (в файлах на рабочем столе, на сетевом диске, на стикерах и т. д.) или умышленно передавать их третьим лицам. Пароли от привилегированных учетных записей автоматически обновляются и по умолчанию недоступны сотрудникам с привилегированными правами доступа. При этом доступ к целевым системам дополнительно защищается с помощью механизма усиленной аутентификации.
2. Система PAM осуществляет поиск и регистрацию привилегированных учетных записей автоматически. Доступ к целевым системам предоставляется только при наличии действующего разрешения. Платформа PAM позволяет автоматически отзывать истекшие разрешения, что существенно снижает нагрузку на администраторов PAM.
3. Программный комплекс фиксирует действия привилегированных пользователей в различных форматах, таких как видеозаписи, текстовые журналы и снимки экрана, а также может перехватывать команды, выполнять теневое копирование передаваемых файлов и т. д. Администратор PAM может отслеживать действия пользователей через веб-консоль и прерывать сессии, если это необходимо.

Как выбрать отечественную систему управления привилегированным доступом

Системы контроля действий привилегированных пользователей разрабатывают как российские, так и зарубежные компании. Базовые функции таких решений предоставляют следующие возможности:

• мониторинг привилегированных учетных записей и управление ими;
• защита привилегированного доступа и управление им;
• фиксация и запись действий привилегированных пользователей.

Чтобы использовать систему PAM, ее нужно лишь развернуть на серверах корпоративной сети. Устанавливать какие-либо модули и расширения на контролируемые компьютеры при этом не требуется.

Чтобы выбрать наиболее подходящий продукт, специалист должен изучить открытые материалы, ознакомиться с принципами работы систем PAM и протестировать несколько решений. На этапе подготовки к реализации проекта или после тестирования исходные требования к системе обычно уточняются.

Список объективных требований, которые предъявляются к продукту класса PAM, позволяет составить исчерпывающее представление об особенностях работы подобных систем, их функциональных возможностях и специфике интеграции в ИТ-инфраструктуру. При этом следует учитывать не только существующие функции, но и то, будет ли производитель обеспечивать дальнейшую поддержку решения и добавлять новые функциональные возможности в ответ на запросы участников рынка.

Чтобы помочь в выборе продукта, мы составили контрольный список требований, которым должно отвечать надежное отечественное решение класса PAM:

• локализация разработки в России;
• наличие регистрации в реестре отечественного ПО, составленном Минкомсвязи;
• наличие лицензий и сертификатов ФСТЭК России;
• техническая поддержка на русском языке;
• документация на русском языке;
• поддержка инфраструктуры на базе систем семейства Linux/Unix;
• удобный пользовательский интерфейс;
• поддержка служб каталогов;
• возможность настраивать частоту смены и сложность паролей;
• наличие встроенного механизма усиленной аутентификации;
• поддержка протоколов RDP, SSH, HTTP/HTTPS и TDS/SQL (СУБД), а также системы VNC и технологии RemoteApp;
• наличие журнала событий и записей сессий;
• способность решения работать в отказоустойчивом режиме;
• возможность настраивать политики доступа.

На российском рынке систем PAM представлено достаточное количество весьма качественных продуктов с широкими функциональными возможностями. Рассмотрим отечественный программный комплекс, который соответствует всем вышеописанным требованиям.

Оптимальное решение для управления привилегированным доступом

Indeed Privileged Access Manager (Indeed PAM) – специализированный программный комплекс для управления административным доступом и контроля действий привилегированных пользователей, полностью разработанный в Российской Федерации.

Продукт Indeed PAM предоставляет следующие возможности:

• единая точка удаленного подключения для всех пользователей;
• политики управления доступом по принципу «запрещено все, что не разрешено явным образом»;
• мониторинг регистрации привилегированных учетных записей;
• предоставление доступа по расписанию, после подтверждения или по заявке;
• двухфакторная аутентификация с целью дополнительной защиты;

• контроль за использованием привилегированных учетных записей;
• снижение нагрузки на сотрудников отдела ИТ и службы управления персоналом, а также сокращение затрат на эти подразделения;
• отслеживание всех действий сотрудников, имеющих доступ к привилегированным учетным записям.

Продукт Indeed PAM сертифицирован ФСТЭК России и поддерживает установку в операционной системе специального назначения Astra Linux Special Edition.

Программный комплекс соответствует ГОСТам и другим нормативным требованиям в сфере информационной безопасности, а также обеспечивает выполнение предписаний регулирующих органов (ФСТЭК и других).

Более подробную информацию о функциях и возможностях решения Indeed PAM можно получить на сайте Компании Индид.

Заключение

Система контроля и защиты привилегированного доступа, относящаяся к классу PAM, выступает одним из ключевых условий реализации модели Zero Trust.

Чтобы существенно повысить уровень информационной безопасности, организации могут внедрить российский программный комплекс Indeed PAM, разработанный Компанией Индид. Он позволяет настраивать политики доступа, контролировать привилегированные учетные записи и фиксировать действия пользователей, а также поддерживает двухфакторную аутентификацию. Indeed PAM значительно снижает вероятность несанкционированного доступа к критичным компонентам ИТ-инфраструктуры, предотвращает кражу учетных данных и защищает от кибератак, совершаемых при помощи других методов.

__________________________

Автор: Татьяна Чистякова, pres-sale инженер в Компании Индид.

Компания Индид — ведущий разработчик решений для защиты доступа к информационным системам. Наши технологии используют более 300 организаций в России. Уже 14 лет мы самостоятельно разрабатываем и внедряем свои продукты. Наше ПО включено в Реестр Минкомсвязи, сертифицировано ФСТЭК России и подходит для реализации требований программы импортозамещения в РФ. Следите за нами в соцсетях (Telegram, ВКонтакте) и в разделе «Новости» на сайте Компании Индид.