Системы контроля привилегированных пользователей: как правильно выбрать и внедрить?

Дата: 31.05.2023. Автор: iTPROTECT. Категории: Статьи по информационной безопасности

Не каждому сотруднику требуется полный доступ к информационным системам организации, и уж точно он не нужен каждому подрядчику, работающему с компанией. Любой такой доступ – высоковероятная точка входа для хакеров и других злоумышленников, чьи действия могут повлечь за собой негативные последствия для организации и ее деятельности. Поэтому для разных пользователей устанавливаются разные права доступа и привилегии.

Особенно это касается сотрудников и подрядчиков, которым нужны расширенные (административные) права к ИТ-инфраструктуре и сервисам. Для контроля и защиты привилегированного доступа используются решения класса Privileged Access Management (PAM). В этой статье мы кратко напомним о том, как они работают, а также расскажем, как определить, нужно ли вам такое решение, как его выбрать и внедрить, и что с ним делать дальше.

Вкратце: как это работает?

PAM – инструмент для контроля действий привилегированных пользователей ключевых корпоративных систем. С ним пользователи отдельных групп, такие как собственные или внешние системные администраторы или разработчики, имеют доступ только к тем ресурсам, которые нужны им для выполнения задач, и ни к чему более. При работе с PAM пользователю не требуется знание паролей, т. к. система вводит их сама, а все действия в рамках сессий фиксируются и доступны для просмотра ИБ-администраторам и аудиторам в виде журналов аудита, скриншотов и видеозаписей.

Нужен ли вам PAM?

Не каждой компании требуется PAM-решение. Одно из главных оснований для его внедрения – растущее количество администраторов и подрядчиков на аутсорсинге. Если ваша компания для работы с ИТ и ИБ-решениями привлекает большое количество разработчиков или администраторов, в том числе с применением удаленного подключения, PAM-решение поможет осуществлять разграничение доступа и контроль за исполняемыми ими действиями. В случае возникновения ИБ-инцидента PAM будет незаменимым средством для проведения расследования и предпринятия действий для предотвращения его повторения.

Как выбрать правильное решение?

Есть несколько критериев отбора. Первый из них – стабильность системы в целом. Перед внедрением требуется ознакомиться с архитектурой и модулями продукта, а также принципом его работы на демо-стенде для изучения ее логики и возможностей.

Так как PAM является критичной системой, через которую осуществляется администрирование критичных целевых систем, необходимо убедиться в работоспособности решения в отказоустойчивом режиме, для того чтобы в случае отключения одного узла кластера, соединение без проблем переключалось на второй, а работа продолжалась с минимальным простоем.

Второй важный фактор – функциональность и удобство использования. Как уже упоминалось, основной задачей PAM является предоставление привилегированного доступа пользователям. В связи с этим необходимо определить, какие задачи требуется решить посредством использования PAM, поддерживает ли выбираемая система те протоколы администрирования, которые используются в вашей инфраструктуре. Одним компаниям будет достаточно контроля стандартных протоколов подключения (RDP, SSH, VNC, Telnet и пр.), в то время как другим будет необходимо подключение целевых систем с использованием «толстых клиентов» . Для реализации таких потребностей возможна разработка специальных коннекторов, например, для интеграции с сетевым оборудованием (например, криптошлюзы или NGFW), СУБД, веб-приложениями (HTTPS), почтовыми клиентами и различными консолями.

В своей практике мы разрабатываем подобные коннекторы примерно в 90% проектов. Последний подобный мы закончили буквально месяц назад, когда внедрили PAM для крупной металлургической компании. Выбранная отечественная PAM-система отвечала всем требованиям, кроме невозможности «из коробки» интегрироваться с частью сервисов, в частности, с системой управления ресурсами предприятия (ERP). Этот функционал мы также учли и добавили с помощью «кастомных» коннекторов всего за несколько дней.

Также при выборе продукта стоит обратить внимание на наличие такого функционала, как поведенческий анализ, управление паролями, сканирование каталогов и импорт учетных записей. Требуемый функционал лучше определить для себя заранее, еще до того, как вы начнете пилотировать в своей инфраструктуре те или иные продукты, иначе легко упустить функции, которые впоследствии могут понадобиться, но будут уже недоступны без перехода на другую систему.

Что касается удобства, то здесь главную роль играет пользовательский интерфейс. Он должен быть интуитивно понятным и не перегруженным. Это необходимо для более быстрой адаптации и принятия нового инструмента доступа пользователями. Поэтому при выборе решения необходимо уделить этому элементу отдельное внимание.

Третий важный фактор – безопасность. Нужно убедиться, что система не хранит пароли в открытом виде, а доступ к ним в зашифрованной базе возможен только с помощью механизмов PAM. Компоненты PAM-системы должны взаимодействовать между собой с использованием безопасных и устойчивых ко взлому и перехвату механизмов, а для доступа к администрированию самой PAM-системы должна присутствовать возможность разграничения полномочий в соответствии с ролью учетной записи (администратор системы, ИБ-администратор, аудитор).

Наконец, все более востребованными становятся такие факторы, как наличие сертификата ФСТЭК России, нахождение в реестре отечественного ПО и статус перехода на отечественные компоненты и платформы. Отметим, что сертификат ФСТЭК есть далеко не у каждой PAM-системы, но для большинства организаций это не будет являться останавливающим фактором в выборе решения.

Что касается конкретных продуктов, безусловно, с уходом многих иностранных вендоров с российского рынка он стал скромнее. В частности, в свое время iTPROTECT был одним из лидеров по количеству проектов внедрения PAM от CyberArk, и мы даже сертифицировали его по требованиям ФСТЭК России. Тем не менее, в настоящее время на отечественном рынке PAM есть достаточное количество функциональных и стабильных продуктов, в том числе, от компаний Индид, АйТи Бастион, Senhasegura, Krontech и пр. Поэтому выбор все ещё остается большим.

Как это внедрять?

Наш опыт показывает, что процесс внедрения не такой сложный и долгий, как последующие процессы, такие как добавление активов, т.е. пользователей и целевых систем, а также выдача прав и доступов, изменение паролей и закрытие доступа в обход PAM-системы. В среднем процесс ввода в эксплуатацию занимает от нескольких недель до нескольких месяцев.

При этом не стоит забывать про часть, связанную с эксплуатацией решения: для её администрирования и реагирования на события требуются квалифицированные специалисты, включая следующие роли: администраторы PAM, поддерживающие его стабильную работу, аудиторы (офицеры безопасности), отслеживающие и реагирующие на события в системе, и операторы или Safe-менеджеры, наполняющие ее данными, в частности, речь про создание новых учетных записей и подключение новых целевых систем. Важно помнить, что эти функции не должен выполнять один и тот же человек, как в силу объема работ, так и из соображений безопасности.

Как работать дальше?

После внедрения, настройки и наполнения системы остается только поддерживать ее в актуальном состоянии и четко отслеживать инциденты. Для большей эффективности работы стоит задуматься об интеграции с другими решениями по безопасности.

Наиболее популярными для усиления защиты являются инструменты многофакторной аутентификации (MFA/2FA), дополняющие встроенные методы аутентификации в PAM. Также РАМ-системы часто в качестве источника ИБ-событий интегрируют с SIEM-системами для анализа и реакции на события безопасности. В нашей практике это происходит практически всегда при наличии SIEM-системы у заказчика, особенно в финансовых организациях.

Если в PAM не входит модуль поведенческого анализа, возможна его интеграция со сторонними решениями. Здесь подойдут решения класса UEBA, которые поддерживают интеграцию с внешними источниками. Они помогут отследить нетипичную активность пользователя при работе. В свою очередь, интеграция с IDM-системой может автоматизировать работу PAM в части управления учетными записями, пользователями и их правами: например, при получении инструкций от IDM, PAM-система будет самостоятельно создавать учетную запись для пользователя и при необходимости ее аннулировать. И, конечно, не стоит забывать про антивирусную защиту на серверах PAM.

Что же до обновлений системы и поддержания ее актуальности, здесь не требуется круглосуточного слежения за версиями баз или сигнатур, как в решениях некоторых других классов, обновляется только сама версия PAM (для повышения стабильности работы системы, получения новых коннекторов и других новых функций). Для своих заказчиков мы в среднем предлагаем обновления дважды в год. Чаще проводить подобные процедуры требуется только в случае обнаружения уязвимостей и рекомендаций производителя по необходимости оперативного обновления, что происходит нечасто.

Итог

Несмотря на кажущуюся сложность вопроса, выбрать и внедрить правильное PAM-решение не сложнее многих других ИБ-задач. Главное – в самом начале определить для себя необходимые функциональность и возможности интеграции, а также количество пользователей системы. Чтобы облегчить выбор решения, всегда можно обратиться к ИБ-интегратору, который также поможет определиться с конкретной архитектурой системы и необходимыми модулями.

Про наш подход и возможности внедрения PAM можно найти на сайте ITPROTECT.

Автор: Леонид Ломакин, Руководитель отдела контроля доступа и защиты данных компании iTPROTECT

16+. Реклама. Рекламодатель: ПАО "МегаФон", ИНН: 7812014560 Erid: LjN8KDpg8

Об авторе iTPROTECT

iTPROTECT® – группа компаний, специализирующаяся на внедрении решений и предоставлении сервисов в области информационной безопасности. С момента основания в 2008 году компании группы iTPROTECT успешно реализовали более 400 проектов для крупных государственных и коммерческих заказчиков. Компания обладает необходимыми лицензиями регуляторов (ФСТЭК и ФСБ), сертифицирована по ISO 9001–2015, ГОСТ Р ИСО 9001–2015, 27001:2015 и имеет наивысшие партнерские статусы ведущих российских и международных вендоров по информационной безопасности.
Читать все записи автора iTPROTECT

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *