Журнал "Системы Безопасности" № 1‘2019

способности. В отличие от традиционных систем управления привилегированным досту- пом они предоставляют тщательно настроенный доступ к информационным системам и самим информационным системам, который привязан не к роли или пользователю, а к конкретной задаче в определенное время, именно тогда, когда это необходимо. Очевидно, что такой подход обеспечивает более эффективное управление жизненным циклом привилегий и более эффективную реализацию политики наи- меньших привилегий. Неизбежная дилемма Для администратора систем требуются повы- шенные привилегии, но если пользователь обладает этими привилегиями постоянно, это значительно повышает риск компрометации. А если пользователь получает привилегии по необходимости, то тогда встает вопрос получе- ния прав и снижается производительность труда администратора. Мы встаем перед дилеммой: наделять всеми привилегиями и дать полную свободу или наделять привилегия- ми по требованию. Всех раздражает, когда тре- буется выполнять много действий, и трудозат- ратные формальные процедуры препятствуют выполнению задач. А в некоторых случаях подобное промедление может оказать негатив- ное влияние на бизнес и привести к убыткам. Для корпоративной безопасности очень важно предлагать пользователям простые, удобные и очевидные решения, чтобы не возникало соблазна их обходить в попытке сделать жизнь проще. Чем руководствоваться при выборе системы? На рынке огромное количество разных систем, которые позволяют решать одну и ту же задачу раз- личными способами. Каждая компания выбирает то, что ей нужно. Кому-то достаточно простой системы идентификации, кому-то нужен брокер привилегий с функциями поведенческого анализа. Для некоторых компаний потеря ИТ-системы цели- ком не приводит к существенным убыткам, а в крупных сетевых ритейлерах даже секунда простоя может вызвать огромные финансовые потери. Выбор необходимой системы определяется моде- лью привилегий. Сформировать модель привиле- гий, соответствующую модели угроз, необходимо до начала выбора системы. Это поможет поставить задачу производителю, и с большей вероятностью заказчик выберет то, что ему нужно, а не то, что рекомендуют специалисты по маркетингу основ- ных вендоров. От системы организации работы администраторов требуется, чтобы для согласования и подключения к ИТ-системам от специалистов требовалось мень- ше действий, чем если бы этой системы не было. В идеале – избавиться вовсе от согласований по почте, бумажек с паролями под клавиатурой (на мониторе или каких-то других "экзотических" хра- нилищах), электронных таблиц с параметрами доступа и т.д. Система должна действительно повышать эффек- тивность затрат ИТ и ИБ: l помогать самим администраторам, упрощая процесс предоставления прав на нужный период доступа; l требовать как можно меньшее количество переходов по вкладкам и меню; l максимально снизить необходимость руч- ного заполнения электронных форм, получая все данные из смежных систем (IDM, Service Desk, SIEM, Inventory и т.д.). Рабочий интерфейс для команды безопасности должен позволять выполнять свои функ- ции с минимальными усилиями. Чтобы систему органи- зации и контроля адми- нистрирования можно было полноценно, долго и успешно использовать, требуется большое оперативное хранилище записей действий, приближенная к реальному времени скорость выборки данных для расследований. Очень важно, чтобы система позволяла просто и быстро проводить расследование инцидентов: кто именно и что делал в системе. Другим важным фактором является нагрузоч- ная способность: сколько параллельных соеди- нений может контролировать система. Для больших предприятий всегда возникает вопрос, не будет ли дополнительная система при под- ключении вносить помехи и задержки. Большие компании используют большое количество информационных систем, в том числе корпора- тивных. PAM-системы должны интегрироваться с подобными корпоративными решениями, и такая интеграция не должна занимать много времени. Корпоративный маст-хэв Рынок PAM-систем активно растет во всем миру. Ключевых факторов для этого несколько: 1. Цифровизация предприятий и увеличение при этом зависимости от ИТ-систем требует их повы- шенного контроля. 2. Появляется больше компаний, у которых бизнес напрямую зависит от ИТ. 3. Размывается периметр сети, заключается больше контрактов на аутсорсинг; чтобы не потерять конт- роль над своей инфраструктурой, предприятия внедряют средства контроля. Россия не отстает от этих тенденций, а в некоторых случаях и значительно опережает в силу большей зрелости подразделений информационной без- опасности. Привилегированными пользователями проще управлять, чем контролировать их. PAM-системы помогают снизить потери от простоя критичных бизнес-процессов, сократить затраты, связанные с управлением ИТ-систем, и обеспечить непрерыв- ность бизнеса. Автоматизация бизнес-процессов и внедрение лучших практик помогут взять под контроль работу технических ИТ-специалистов. На базе PAMможно выстроить безопасную удаленную поддержку со стороны вендоров и аутсорсеров, упростить обес- печение безопасного привилегированного доступа к ИТ-системам. При правильной настройке это может быть быстрый, надежный и удобный инструмент безопасного администрирования. Дополнительный положительный эффект достига- ется благодаря возможности анализа выполненных действий, обмена опытом и совместной работы технических специалистов. Таким образом, PAM обеспечивает прозрачность и полный контроль процессов реализации привиле- гий в корпоративной модели управления и являет- ся мощным инструментом обнаружения и рассле- дования инцидентов безопасности, который дол- жен быть в арсенале каждой крупной компании. n февраль – март 2019 www.secuteck.ru УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 96 dormakaba – системы контроля доступа Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Рис. 3. Эффективное управление доступом Рис. 4. Меньше управления, больше контроля