PAM-решения и инновации в управлении доступом: как снизить риски и защитить данные

С ростом объемов данных, усложнением ИТ-ландшафта и распространением распределенных систем бизнес сталкивается с новыми вызовами в управлении доступом и контролем действий пользователей. Нарушение безопасности привилегированных учетных записей может вызвать серьезные инциденты, что делает их защиту приоритетной бизнес-задачей.

Обсудим разработку и внедрение инструментов для защиты привилегированных пользователей, масштабирование безопасности в распределенных системах, а также адаптацию PAM-решений под нужды бизнеса. Уделим внимание инновационным способам контроля действий привилегированных пользователей, автоматизации аудита, управлению рисками при изменении ролей и разделению прав доступа для уменьшения инсайдерских угроз. Разберем реальные случаи инцидентов и способы их предотвращения.

О практических решениях и инновациях в области защиты привилегированных учетных записей расскажет Алексей Ширикалов, эксперт и руководитель группы поддержки продаж компании «АйТи Бастион».

1. Какие инструменты защиты привилегированных пользователей ваша компания разрабатывала, и чем они отличаются от PAM-решений на рынке?

— На российском рынке ИТ и ИБ сейчас два сегмента: импортозамещенные решения и зарубежные. Мы с самого начала выбрали работу в отечественном сегменте, чтобы закрыть потребности российских компаний в системах управления доступом привилегированных пользователей (PAM). Это помогло нам стать лидерами с долей около 70% на рынке.

Наш флагманский продукт, СКДПУ НТ, состоит из двух компонентов: шлюза для управления доступом и системы мониторинга и аналитики, которая помогает находить и расследовать киберинциденты. Вместе они создают безопасную и удобную систему для работы по принципам Zero Trust.

Кроме классических функций PAM, наш продукт предлагает гибкую ролевую модель, контроль в реальном времени и анализ действий пользователей на основе их обычного поведения. Это делает его легко интегрируемым в любую инфраструктуру без установки дополнительных агентов, что снижает нагрузку на специалистов по безопасности. Дополнительный плюс — использование отечественной ОС Astra Linux, что минимизирует санкционные риски и поддерживает импортозамещение.

2. С какими неожиданными вызовами вы сталкивались при масштабировании процессов защиты привилегированных пользователей у своих заказчиков в условиях распределенных систем?

— Масштабирование и распределение инфраструктуры — это одна из наших ключевых задач. Для этого мы разработали и успешно используем готовые методы построения таких архитектур. Чаще всего в проектах применяется следующая схема: на каждом объекте устанавливается СКДПУ НТ шлюз доступа, который управляет доступом к конкретному объекту, а в главном центре обработки данных (ЦОДе) создается портал, через который организуется доступ ко всем распределенным участкам. Здесь же управляются права на основе доменной архитектуры, и работает система мониторинга и аналитики СКДПУ НТ. Такое решение позволяет собирать данные со всех точек, формировать профили пользователей, выявлять инциденты и составлять отчеты.

Трудности были, безусловно. Сначала мы столкнулись с вызовами в плане масштабов и сроков реализации подобных проектов. Но наши партнеры имеют достаточно опыта для работы с крупными внедрениями, а наш подтвержденный успешными проектами опыт доказывает надежность и эффективность наших решений. Сейчас мы уверенно справляемся с этими задачами.

3. Какие нестандартные или инновационные методы контроля активности суперпользователей вы (или ваши партнеры) внедряли, и как они повлияли на выявление потенциальных инцидентов безопасности?

— Существует множество способов выявить подозрительную активность пользователей. Один из недавних интересных примеров связан с анализом эффективности подрядчика. Мы изучили его рабочие сессии и подготовили отчет с графиками и сводной информацией о его действиях на проекте. Заказчик заметил, что эффективность подрядчика снизилась — как раз в момент, когда тот попросил отсрочку по срокам. Но на графике было видно, что ближе к дедлайну активность резко возросла, и задачи, которые долго не решались, начали выполняться. Это дало заказчику весомые аргументы для переговоров, что помогло сократить финансовые потери проекта.

Отклонения от обычного поведения — это всегда сигнал. Например, если кто-то пытается несанкционированно зайти на устройство, система СКДПУ НТ мониторинг и аналитика фиксирует этот инцидент, передает данные службе безопасности или блокирует доступ через интеграцию с сетевым экраном (NGFW). Это позволяет оперативно реагировать на угрозы.

Еще один интересный метод — это использование honeypot или так называемой «приманки». Это небольшая дублирующая (фальшивая) инфраструктура, созданная специально для привлечения злоумышленников. Хакеры попадают в изолированный контур, где их действия отслеживаются и анализируются системой СКДПУ НТ. Такой подход помогает понять методы атак, собрать информацию и передать ее, например, в Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Это ускоряет разбор инцидента и создает своего рода «фильм» о попытке взлома, где результат всегда один — злоумышленнику своего добиться не удается.

4. Как ваша компания выстраивает стратегии управления жизненным циклом привилегированных учетных записей у своих клиентов, чтобы гарантировать минимизацию рисков компрометации УЗ, смене ролей, увольнении сотрудников или изменении ИТ-ландшафта?

— Решение здесь довольно простое: мы передаем привилегированные учетные записи (УЗ) администраторов под контроль СКДПУ НТ. Это означает, что несколько администраторов больше не смогут входить под одной учетной записью, например, root, без четкой идентификации. Все учетные записи хранятся в нашей системе, которая становится основным центром управления. С помощью плагинов для смены паролей мы можем задавать политику сложности и частоту изменений, а также вручную менять пароли. И пользователи с ограниченными правами, и те, кому необходимо изменить пароль, могут это сделать. Для дополнительной защиты пароли могут автоматически меняться после завершения сессии, фактически создавая одноразовые пароли.

Централизованное управление учетными записями также возможно через домен-контроллер, где доступ к учетным записям добавляется или удаляется через группы. В СКДПУ НТ можно установить ограничения на доступ по времени, датам и IP-адресам, а также требовать дополнительного подтверждения. Эти настройки можно делегировать сотрудникам ИТ-отдела через специальный кабинет оператора, что позволяет разделить функции администрирования с дополнительным контролем со стороны безопасности.

Для повышения уровня ИБ мы можем использовать сертификаты x509 и двухфакторную аутентификацию через модуль RADIUS. Система СКДПУ НТ мониторинг и аналитика отслеживает отклонения от обычного поведения пользователей, что помогает быстро выявить скомпрометированные учетные записи. Например, система может фиксировать необычное время доступа, IP-адреса или подозрительные команды.

Есть интересный случай с увольнением одного сотрудника. Несмотря на то, что служба безопасности отключила ему все доступы, он попытался создать бэкдор для манипуляций. Система зафиксировала его подозрительные действия, включая нетипичные команды, низкий уровень доверия, команды из черного списка (например, visudo и usermod) и создание туннеля с целевого хоста. Конечно, в итоге все его манипуляции оперативно пресекли. А этот случай наглядно демонстрирует, как наша система помогает в борьбе с инсайдерскими угрозами.

5. Поделитесь опытом разработки и внедрения инструментов автоматизации аудита привилегированных пользователей. Как эти решения изменили подход к мониторингу и отчетности?

— Проблема нехватки кадров в ИБ широко известна, и мы это понимаем не только из разговоров с коллегами «по цеху», но и из личного опыта. Со своей стороны, предлагаем инструмент, который автоматизирует процессы выявления инцидентов и реакции на них. Хотя false positive не исключены, их можно минимизировать за счет обработки данных. Важные инциденты отображаются с указанием критичности, что позволяет сосредоточить внимание на ключевых угрозах. Эти данные можно интегрировать с SIEM для отображения в единой консоли или просматривать в веб-интерфейсе СКДПУ НТ с графиками и диаграммами. Автоматизированная отчетность также доступна.

Сроки обработки инцидентов — это острая проблема: по статистике, расследование инцидента, который длится 15 минут, может занимать от 1 до 3 месяцев. В этот период могут быть приостановлены ключевые бизнес-процессы, утрачены данные и пр. Однако главное — понять, как злоумышленник закрепился в инфраструктуре, чтобы предотвратить повторные инциденты. Структурированные данные существенно облегчают этот анализ.

6. Какие уникальные подходы к разграничению привилегий и управлению доступом были реализованы в вашей практике, и как это повлияло на сокращение инсайдерских угроз у ваших клиентов?

— Хочу поделиться интересным кейсом утечки информации в одной крупной промышленной компании. Сотрудники заметили, что данные утекали, но определить источник утечки оказалось сложной задачей. Дело в том, что информация скачивалась выборочно и небольшими порциями в разное время, при этом система DLP не срабатывала.

Специалисты по информационной безопасности обратились к модулю мониторинга и аналитики СКДПУ НТ, чтобы оценить ситуацию. Анализ сессий за период, когда происходили утечки, показал, что у одного из пользователей сессии часто отключались из-за таймаута. Это вызвало интерес: сотрудники решили выяснить, каков был уровень активности этого пользователя.

При более детальном исследовании стало ясно, что в начале сессии пользователь проявлял высокую активность, а затем она падала до нуля. Выяснилось, что он работал с базой данных. Анализ сессий показал, что он долго открывал и просматривал базу, что наводило на мысль, что он, возможно, переписывал нужные данные на бумажный носитель.

Сравнив данные, которые утекли, с теми, что были зафиксированы в видеозаписи сессии, специалисты подтвердили, что именно этот пользователь использовал «ручной» способ передачи данных, которые ему были нужны по каким-то причинам.

7. Расскажите о реальном кейсе, когда нарушение привилегированных прав привело к серьезному инциденту, и какие меры вы предприняли для устранения уязвимости и предотвращения подобного в будущем?

— Этот случай напоминает действия увольняющегося сотрудника и подтверждает важность мультивендорного подхода. На сервере заказчика была зафиксирована подозрительная активность со стороны учетных записей, которые не были зарегистрированы в системе контроля СКДПУ НТ. Оказалось, что одна из учетных записей была создана администратором, при этом системные логи отсутствовали или были очищены.

Чтобы разобраться в ситуации, коллеги обратились к системе управления доступом (РАМ) и проанализировали сессии, в которых выполнялись команды для создания новых пользователей. Выделили несколько сессий, где команды были выполнены, несмотря на установленный запрет. Также было замечено, что администратор изменял конфигурации на маршрутизаторе, пытаясь обойти системы безопасности.

При более детальном анализе записей сессий выяснили, что администратор выдал себе привилегии рута и вошел в целевую систему, думая, что его действия останутся незамеченными. Однако РАМ зафиксировала это, и потом к нему были приняты соответствующие административные меры.

Возникает вопрос: как удалось обнаружить эти действия, если сотрудник создал новый доступ в обход систем безопасности? В инфраструктуре действовали наши шлюз доступа, модуль мониторинга и аналитики, система обнаружения вторжений и маршрутизатор. Система отслеживает подключения и отправляет информацию в Модуль мониторинга. Если данные не совпадают, система поднимает инцидент безопасности. Это позволяет уведомить администратора о проблеме или настроить автоматическую реакцию.

Этот кейс подчеркивает важность концепции Zero Trust — никому не доверять. Даже если у сотрудников есть доступ к системам и возможность создавать новые учетные записи, благодаря администрированию системы безопасности и наличию защитных средств такие действия могут быть вовремя выявлены и предотвращены.

8. Как выстроена интеграция PAM-систем с другими решениями ИБ у ваших клиентов, и были ли сложности, которые потребовали нестандартных технических решений?

— На этот вопрос можно ответить коротко. Наша РАМ-платформа — это эффективное решение для удаленного доступа к информационным системам компаний. В современных условиях важно не только иметь надежные средства защиты, но и обеспечить их корректное взаимодействие, чтобы избежать «слепых зон».

Мы работаем над созданием мультивендорной экосистемы, выбирая лучших поставщиков и обеспечивая интеграцию между разными решениями. Это помогает нашим клиентам эффективно решать вопросы информационной безопасности и защищать внутренние данные. Несмотря на возникающие сложности, наша команда обладает необходимой компетенцией, чтобы находить оптимальные решения и поддерживать нужную функциональность в области ИБ.

9. Как вы (или ваши партнеры) подходите к обучению и подготовке суперпользователей с точки зрения осведомленности о безопасности, и каковы результаты таких программ?

— Считаю, что комплексная задача всех вендоров заключается так или иначе в повышении общей осведомленности. Мы проводим обучение для администраторов системы СКДПУ НТ, используя стенды и реальные кейсы для решения практических задач. Кроме того, мы предлагаем программу от наших партнеров, участники которой могут пройти расширенный ознакомительный курс и получить сертификат от авторизованного центра обучения, что сейчас очень востребовано на рынке труда.

10. Какие новые технологии или решения для защиты привилегированных пользователей вы видите наиболее перспективными, и как ваша компания уже экспериментирует с их разработкой?

— Прежде всего, мы хотим снизить количество ложных срабатываний в системах безопасности, при этом обеспечивая достаточный уровень логирования событий. Мы ищем способы автоматизировать обработку и блокировку инцидентов безопасности, что позволит нам быстрее реагировать на угрозы. Искусственный интеллект (ИИ) может стать важным инструментом для расследования и фиксации инцидентов. Хотя хакеры уже активно используют его для поиска уязвимостей, мы намерены направить ИИ на защиту нашей инфраструктуры.

Также необходимо сотрудничество между разными поставщиками, чтобы создать комплексный подход к безопасности. Каждый из нас движется в своем направлении, и совместные усилия помогут достичь общих целей.