Журнал "Information Security/ Информационная безопасность" #1, 2023

Лучшая система PAM – та, которую будут регулярно использовать пользователи, не пытаясь ее обойти. Большинство инцидентов с компрометацией ИТ- инфраструктуры связано с небрежностью в организа- ции привилегированного доступа и случайными ошибками. В крупной организации предпочтительным будет подход, при котором управ- лением доступом к ИТ- системам занимаются не службы ИБ, а владельцы этих ресурсов. внимание на гибкость интегра- ции с целевыми системами и возможность быстрого освое- ния системы обычными поль- зователями. Сценарий 5. Компания с развитыми онлайн- сервисами имеет большой штат разработчиков и частые релизы ИТ-системы К таким компаниям можно отнести банки, торговые агре- гаторы, страховые компании, системы бронирования и др. Количество сущностей, кото- рые используют различные типы секретов, становится огромным. Поэтому часто используются фиксированные секреты в конвейере разра- ботки, постоянные привилегии доступа разработчиков, прямой неограниченный доступ разра- ботчиков в среду тестирования, отладки, а иногда и промыш- ленной эксплуатации разраба- тываемых систем. Это делает- ся для того, чтобы ускорить создание новой ценности и доставку ее клиентам. Без- опасность системы часто при- носится в жертву скорости доставки нового функционала. Однако ИТ-решения часто вхо- дят в цепочку поставки, и уязвимость в заимствован- ном решении ведет к появле- нию уязвимости в других про- дуктах. Задача, которую может в этой ситуации решить PAM, – повы- шение безопасности и защи- щенности среды разработки. Для этого PAM должна под- держивать ротацию секретов (SSH-ключей, сертификатов) для конвейера DevOps, контей- неров, микросервисов и API. Этой возможности сейчас уде- ляется особое внимание, последние обзоры Gartner и KuppingerCole отмечают, что многие производители PAM либо реализовали этот функ- ционал в том или ином виде, либо начали его разработку. При выборе PAM для повы- шения безопасности и защи- щенности среды разработки следует оценить, насколько функционал управления секре- тами DevOps соответствует вашим потребностям и имеется ли возможность реализации подхода just in time как для пользователей, так и для служб и микросервисов. Рекомендации по выбору PAM Лучшая система PAM – та, которую будут регулярно использовать пользователи, не пытаясь ее обойти. Поэтому для успешного внед- рения РАМ необходимо опре- делить реальные потребности: сформулировать задачи, кото- рые вы планируете решить с помощью PAM, описать модель угроз и определить поверхность атаки на привилегии. Помните, что информационная безопас- ность – это комплекс мер, а РАМ не сможет решить все ваши проблемы. Такой подход позволит избе- жать зацикливания на возмож- ностях, которые кажутся полез- ными в маркетинговых статьях, но в реальности используются либо ограниченно, либо вообще в итоге отключаются. В частно- сти, вендоры могут обещать набор таких опций, как анализ поведения пользователя, авто- матическая блокировка ано- мального поведения, защита от действий злоумышленников. Применение этих возможностей требует серьезного анализа и внимательного подхода. Искус- ственный интеллект также не панацея. Это хорошая поддерж- ка, но не замена грамотно выстроенной модели угроз и четко сформулированному набо- ру мер по их предотвращению. Большинство инцидентов с компрометацией ИТ-инфра- структуры связано с небреж- ностью в организации привиле- гированного доступа и случай- ными ошибками: паролями на стикерах, фотографиях в теле- фонах, использованием прими- тивных и одинаковых паролей, социальным инжинирингом. Отсюда следует, что основная масса рисков снимается четким выполнением политик безопас- ности и использованием биз- нес-процессов, обеспечиваю- щих безопасную эксплуатацию ИТ-инфраструктуры, а приме- нение специализированных ИТ- решений позволит автоматизи- ровать эти процессы, устраняя человеческий фактор, и одно- временно значительно повысить их эффективность. Поэтому при выборе PAM нужно формализовать целе- вые процессы обслуживания ИТ-инфраструктуры, разрабо- тать комплекс организацион- ных мероприятий и мер проти- водействия угрозам и, конечно же, четко описать жизненный цикл привилегий в вашей ком- пании, а затем уже подобрать то решение, которое позволит это сделать за конечное время внедрения. Рекомендации крупным компаниям У компаний с развитой ИТ- инфраструктурой есть целый ряд дополнительных требова- ний. Это прежде всего про- изводительность, масштаби- руемость и широкие возмож- ности интеграции с другими инструментами. Большое коли- чество пользователей и ИТ- систем требует наличия рас- ширенного API для автомати- зации управления множеством сущностей и обмена информа- цией, автоматического добав- ления или удаления объектов инфраструктуры. В крупной организации пред- почтительным будет подход, при котором управлением доступом к ИТ-системам занимаются не службы ИБ, а владельцы этих ресурсов. Без этого невозможно реализовать подход динамиче- ского предоставления доступа just in time. Только владелец ресурса может оперативно и взвешенно решить, предо- ставлять доступ к своей системе или нет. И это вопрос не разде- ления ответственности, а непре- рывности бизнеса. Этот функ- ционал редко встречается среди PAM, и sPACE PAM – одно из немногих решений, в котором он реализован. Важность РАМ для отече- ственной ИТ-индустрии отмече- на включением этого класса решений в приоритетные направления государственной поддержки. В частности, в 2022 г. фонд РФРИТ предо- ставил компании "Вэб Контрол" грант на доработку sPACE, что дает серьезный импульс для развития функционала систе- мы. l В sPACE PAM доступ к ИТ- ресурсам осуществляется через привычный веб-интерфейс. Для использования системы не требуется специальное обучение. 20 • СПЕЦПРОЕКТ АДРЕСА И ТЕЛЕФОНЫ "ВЭБ КОНТРОЛ" см. стр. 48 NM Реклама