Web control, 18/03/19
В последние несколько лет управление привилегированным доступом (Privileged Access Management, PAM) – контроль, мониторинг и аудит привилегированных пользователей, учетных записей и секретов для удаленного подключения и управления IT-системами – стало одной из наиболее актуальных тем. В июне 2018 г. Gartner опубликовал список из 10 проектов по защите информационной безопасности, которые "снижают большую часть риска и имеют наибольшее влияние на бизнес". Первое место досталось управлению привилегированным доступом для удаленного подключении к IT-системам.
Большинство целевых атак направлено на компрометацию привилегированных учетных записей. Фактически от массивной атаки периметр безопасности отделяет лишь привилегированная запись. Часто такие атаки направлены не на целевые системы, а на смежные, партнерские, менее защищенные, но при этом предоставляющие доступ к целевым системам.
Для чего нужны PAM-системы?
PAM-системы решают вопросы как информационной безопасности, так и управления и контроля привилегированного доступа. Задачи управления доступом также возложены на системы IAM (Identity and Access Management) и IdM (Identity Management), но привилегированный доступ имеет свою специфику, и хотя данные решения могут управлять доступом администраторов, они не всегда удовлетворяют расширенным требованиям безопасности, предъявляемым к привилегированному доступу.
Управление привилегированным доступом включает в себя не только управление информационной безопасностью, оно должно упрощать работу администраторов в условиях повышенных требований к привилегированному доступу. То есть, с одной стороны, подобные решения являются необходимым элементом кибербезопасности, потому что снижают последствия угроз за счет защиты привилегированных учетных данных и политики ограничения привилегий, а также облегчают процесс расследования инцидентов. С другой стороны, PAM решают задачи IAM, а иногда IdM-решений в зрелых компаниях с развитой моделью привилегий не только для учетных данных администратора, но и для разделяемых ученых записей, учетных записей приложений и устройств. Поэтому Privileged Access Management является дополнением к уже имеющимся решениям идентификации и управления доступом.
Меньше управления, больше контроля
Традиционно PAM-системы служат не столько для управления привилегированным доступом, сколько для контроля действий привилегированных пользователей, под которыми понимаются не сотрудники со специфическими привилегиями, а администраторы и разработчики с полномочиями управления в ИТ-системах и приложениях. PAM-решения могут включать в себя функционал для управления привилегированными учетными данными, например для автоматической плановой смены паролей.
Обычно процесс использования PAM-системы с точки зрения пользователя выглядит очень просто и не сильно отличается от работы с другими системами идентификации. Как правило, они имеют продвинутые технологии аутентификации, управления учетными данными и контроля сеансов. Привилегированные пользователи авторизуются в PAM-системе, причем идеально, если система поддерживает многофакторную аутентификацию, желательно с возможностью авторизации отдельных транзакций доступа и действий. Затем через единый интерфейс по защищенному каналу предоставляется доступ к тем серверам компании и приложениям/оснасткам, к которым доступ данному специалисту согласован, здесь же можно согласовать доступ к новой целевой системе.
Изоляция процессов аутентификации
Основным принципом работы современной PAM-системы является реализация наименьших привилегий, то есть привилегии предоставляются динамически, на ограниченное время, для конкретной системы или даже процесса в системе с конкретным инструментом управления. Однако не всегда интерфейсы управления системами отвечают современным требованиям к защите учетных данных. Поэтому мы наблюдаем очевидную тенденцию к изоляции процессов аутентификации пользователей в защищенной среде управления (Jupm-сервер, Bastion Host и т.д.). Таким образом, ввод идентификационных данных происходит автоматически, в доверенной среде, что значительно снижает вероятность их компрометации.
Традиционный PAM выступает шлюзом между привилегированным пользователем и целевой ИТ-системой, поэтому является исключительно удобной точкой не только записи экранов и вводимых команд, но и управления (блокировки команд и т.д.). Развитые системы PAM не только обеспечивают контроль действий привилегированных пользователей, но и облегчают исполнение ими правил безопасной работы с привилегиями. С одной стороны, снижается вероятность непреднамеренных нарушений, с другой – повышается прозрачность реализации расширенных полномочий.
Оптимизация работы ИТ-департаментов
Системы PAM могут автоматизировать действия дорогостоящих квалифицированных специалистов ИТ и ИБ. Для ИТ-отделов сокращается количество рутинных операций по согласованию доступа, выяснению параметров доступа и запуска сеансов управления, запуску скриптов и других инструментов автоматизированного управления ИТ-системой.
Для команды информационной безопасности автоматически выполняется грандиозная работа по контролю действий в ИТ-системах и расследованию инцидентов. Даже в случае совместного использования несколькими администраторами одной учетной записи, как, например, admin или root, всегда можно легко выяснить, кто именно проводил работы. Для руководителей ИТ- и ИБ-департаментов повышается прозрачность: кто какие действия выполнял или не выполнял, что особенно актуально при большом количестве штатных сотрудников и привлекаемых подрядчиков.
Непрерывный апгрейд технологий
Системы PAM активно развиваются, добавляя новые возможности, и аналитические агентства предвещают их дальнейшее бурное развитие.
В планах одного из лидеров этой отрасли, компании CyberArk, – обеспечение более широкого использования безопасного хранилища паролей и секретов для доступа к облачным технологиям, а также предоставление облегченного решения для компаний малого и среднего бизнеса.
BeyondTrust и Centrify работают над улучшением возможностей оценки рисков, поддержки контейнеров и DevOps. Thycotic объявил об улучшении жизненного цикла привилегированных учетных записей и дальнейшей интеграции своего решения с IaaS и PaaS. Об использовании микросервисной архитектуры говорят BeyondTrust и CA Technologies, а Micro Focus планирует добавить управление привилегированными записями и доступом для устройств IoT. Новое решение по управлению привилегированным доступом к облачным ресурсам PrivX от компании SSH Communications Security Oyj разработано без использования безопасного хранилища паролей. Новый отечественный продукт sPACE реализует оригинальную функцию динамического управления доступом в виде системы нарядов-допусков. Другое российское решение, SafeInspect, использует оригинальные методы контроля управления сессиями между компонентами распределенных приложений баз данных.
Получаются очень интересные решения, когда в PAM-систему производители интегрируют функции из других областей, например обнаружения аномального поведения пользователей. Применительно к системным администраторам так удается выявлять служебные нарушения, которые очень сложно обнаружить традиционными способами ввиду специфики работы: вывод ценных данных в корыстных целях, использование вычислительных мощностей не по назначению, обнаружение действий злоумышленника из взломанного аккаунта администратора и др.
Чем активнее развиваются разные сферы информационных технологий, тем более сложные задачи может решать одна отдельно взятая система. Дополненную реальность начинают применять в SOC, лучшие практики высокопроизводительных GPU-вычислений для майнинга криптовалют перенимают для аналитики больших данных. В будущем все больше технологий аналитики и автоматизации будут приходить в PAM-системы из сопредельных областей.
Переход к брокеру привилегий
Добавление нового функционала приводит к тому, что традиционные системы управления привилегированным доступом начинают перерождаться в PAM-решения следующего поколения, своего рода брокеры привилегий.
Брокер привилегий представляет собой не только инструмент контроля привилегированного пользователя, но скорее средство автоматизации доставки привилегий потребителям: не только администраторам систем, но и приложениям, а при переходе к микросервисной архитектуре – отдельным компонентам приложений. В отличие от управления привилегированным доступом брокер привилегий доставляет привилегии для всех компонентов.
Такие решения не только снижают риск нецелевого использования прав администратора системы, но и сокращают расходы на обслуживание, среднее время восстановления работоспособности. В отличие от традиционных систем управления привилегированным доступом они предоставляют тщательно настроенный доступ к информационным системам и самим информационным системам, который привязан не к роли или пользователю, а к конкретной задаче в определенное время, именно тогда, когда это необходимо. Очевидно, что такой подход обеспечивает более эффективное управление жизненным циклом привилегий и более эффективную реализацию политики наименьших привилегий.
