Журнал "Information Security/ Информационная безопасность" #1, 2023

Если PAM имеет возмож- ности динамического наде- ления ограниченными при- вилегиями, это значительно сокращает поверхность атаки. Важнейшими критериями выбора РАМ являются уро- вень безопасности, степень автоматизации, скорость подключения и удобство работы с системой. Сценарий 1. Большая ИТ-инфраструктура, которую не способны обслужить 2–3 администратора Если в компании работают несколько администраторов, то их можно проконтролировать, набрав доверенных сотрудников или просто наблюдая за ними. Однако в случае наличия десяти и более администраторов, осо- бенно если они разнесены гео- графически, контроль их дей- ствий становится нетривиаль- ной задачей. Наличие посто- янных неконтролируемых при- вилегий с круглосуточным доступом к ИТ-системам значи- тельно повышает риск инци- дентов. В такой ситуации слож- но организовать надлежащее управление привилегиями, а также своевременную смену паролей и секретов для приви- легированных учетных записей (ПУЗ). Проблема усугубляется распространенной практикой использования общих, непер- сонифицированых ПУЗ, таких как admin или root, которые могут быть использованы раз- ными администраторами, что не позволяет обеспечить пер- сональную ответственность за их действия. РАМ позволяет устранить эти проблемы. В частности, она контролирует предоставление и использование сотрудниками привилегий для доступа к целе- вым системам. При этом при- вилегированные учетные дан- ные хранятся в системе и не известны пользователям. РАМ обеспечивает безопасное хра- нение паролей, их автоматиче- скую ротацию и подстановку при запуске сеансов админи- стрирования с использованием общих ПУЗ. Это позволяет пер- сонифицировать использование привилегий и минимизировать риск их компрометации. А если PAM имеет возможно- сти динамического наделения ограниченными привилегиями, это, в дополнение ко всему про- чему, значительно сокращает поверхность атаки. Динамиче- ское наделение привилегиями помогает и в решении другой проблемы. Дело в том, что ком- прометация постоянных приви- легий становится постоянной угрозой. Неподвижные цели легче поразить, и в 2023 г. это стало еще более актуально. Чтобы противодействовать таким угрозам, администраторы должны регулярно ротировать пароли и ключи доступа, в кри- тических системах их нужно менять еще чаще, а в идеале использовать одноразовые пароли. Но вручную это делать практически невозможно, а если и возможно, то только за счет значительных ресурсов. Для эффективного решения данной задачи PAM должна уметь идентифицировать, кто и когда запрашивает доступ, а также когда и как пользова- тель будет подключаться к системе – принцип "4К". Для управления доступом РАМ должна иметь удобный механизм наделения привиле- гиями, а также инструмент запуска сеансов работы с целе- выми системами с возмож- ностью проверки наличия у пользователей необходимых прав. Это позволяет не только автоматизировать процесс пре- доставления доступа, но и конт- ролировать, кто, куда, когда и как получил доступ. С точки зрения безопасности большинство решений справ- ляется с этим успешно, но не всегда удобным для админи- страторов способом. От эффек- тивной работы пользователей, использующих РАМ, зависит непрерывность работы бизнес- процессов, следовательно, и успешная работа компании. Поэтому важнейшими крите- риями выбора РАМ являются уровень безопасности, степень автоматизации, скорость под- ключения и удобство работы с системой. Сценарий 2. Для обслуживания ИТ-систем привлекаются внешние подрядчики, либо привилегированные пользователи подключаются с рабочих станций, расположенных вне сетевого периметра В данном случае ко всему тому, что было при описании сценария 1, добавляются про- блемы, связанные с удаленным доступом: избыточный разре- шенный период доступа, воз- можность перехвата привиле- гированных учетных данных в процессе удаленного доступа и риск инфицирования вредо- В sPACE PAM вопросу удобства работы уделено много внимания. Оригинальная система нарядов-допусков высоко оценивается пользователями, прежде всего благодаря возможности делегировать право на предоставление гранулированного доступа владельцам ИТ-систем. 18 • СПЕЦПРОЕКТ 5 сценариев эффективного использования PAM в организации спользование РАМ наиболее актуально для организаций, бизнес-процессы которых зависят от безопасной и бесперебойной работы ИТ-инфраструктуры и целостности используемых данных. При этом анализ потребительских запросов и нашего опыта внедрения показал, что РАМ- системы успешно применяются в некоторых рассмотренных в статье ситуациях. И Игорь Базелюк, операционный директор Web Control