Журнал "Системы Безопасности" № 1‘2019

Б ольшинство целевых атак направлено на компрометацию привилегированных учет- ных записей. Фактически от массивной атаки периметр безопасности отделяет лишь приви- легированная запись. Часто такие атаки направ- лены не на целевые системы, а на смежные, партнерские, менее защищенные, но при этом предоставляющие доступ к целевым системам. Для чего нужны PAM-системы? PAM-системы решают вопросы как информа- ционной безопасности, так и управления и конт- роля привилегированного доступа. Задачи управления доступом также возложены на систе- мы IAM (Identity and Access Management) и IdM (Identity Management), но привилегированный доступ имеет свою специфику, и хотя данные решения могут управлять доступом администра- торов, они не всегда удовлетворяют расширен- ным требованиям безопасности, предъявляе- мым к привилегированному доступу. Управление привилегированным доступом включает в себя не только управление инфор- мационной безопасностью, оно должно упро- щать работу администраторов в условиях повы- шенных требований к привилегированному доступу. То есть, с одной стороны, подобные решения являются необходимым элементом кибербезопасности, потому что снижают последствия угроз за счет защиты привилегиро- ванных учетных данных и политики ограниче- ния привилегий, а также облегчают процесс расследования инцидентов. С другой стороны, PAM решают задачи IAM, а иногда IdM-реше- ний в зрелых компаниях с развитой моделью привилегий не только для учетных данных администратора, но и для разделяемых ученых записей, учетных записей приложений и устройств. Поэтому Privileged Access Manage- ment является дополнением к уже имеющимся решениям идентификации и управления досту- пом. Меньше управления, больше контроля Традиционно PAM-системы служат не столько для управления привилегированным доступом, сколько для контроля действий привилегиро- ванных пользователей, под которыми пони- маются не сотрудники со специфическими при- вилегиями, а администраторы и разработчики с полномочиями управления в ИТ-системах и приложениях. PAM-решения могут включать в себя функционал для управления привилегиро- ванными учетными данными, например для автоматической плановой смены паролей. февраль – март 2019 www.secuteck.ru УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 94 Андрей Акинин Генеральный директор компании Web Control Дарья Орешкина Директор по развитию бизнеса компании Web Control Привилегированный доступ, или Между бюрократией и безграничной свободой В последние несколько лет управление привилегированным доступом (Privileged Access Management, PAM) – контроль, мониторинг и аудит привилегированных поль- зователей, учетных записей и секретов для удаленного подключения и управления IT-системами – стало одной из наиболее актуальных тем. В июне 2018 г. Gartner опуб- ликовал список из 10 проектов по защите информационной безопасности, которые "снижают большую часть риска и имеют наибольшее влияние на бизнес". Первое место досталось управлению привилегированным доступом для удаленного под- ключении к IT-системам. dormakaba – системы контроля доступа Большинство инци- дентов, связанных с утечкой конфиден- циальной информа- ции, происходит с участием работни- ков, уровень лояль- ности которых к ком- пании или руковод- ству неожиданно и резко снизился, а уровень допуска к чувствительным данным остался прежним. Согласно модели нарушителя информационной безопасности Центрального банка РФ, к ним можно отнести привилегированных пользовате- лей (руководителей профильных подразделений с расширенным относительно базовых набором прав), сотрудников ИТ-подразделений (админи- страторов, аналитиков больших данных или при- кладных технологов), экспертов блока физиче- ской и экономической безопасности, представи- телей надзорных органов и аудиторских компа- ний. В этот список попадают и представители под- рядных организацией и аутсорсеров, работающие удаленно, занятые при эксплуатации компонентов инфраструктуры или разработке новых решений. В век высоких технологий и низких окладов цен- ность чувствительной информации на черном рынке определяется только сложностью ее предо- ставлению заказчику. Стеганография, фотосъем- ка, запись с экрана и другие способы бесконт- рольного выноса информации за периметр защи- ты случаются все чаще. Тем важнее применение современных, ранее не востребованных методов и средств защиты информации. Прозрачные для пользователей, но эффективные для специали- стов по защите информации агентские технологии класса Privileged Access Management (в других источниках Privileged Identity Management, Privi- leged User Management) применяются в тех слу- чаях, когда решение о доступе к чувствительной информации со стороны владельца данных или лица, принимающего решение, уже принято или является вынужденным, при этом риск нарушения конфиденциальности ни организационно, ни тех- нически не закрыт иными способами. В представленном обзоре содержатся вероятные аргументы и примеры сценариев применения PAM-технологий. Мой экспертный опыт говорит о том, что в арсенале специалиста по защите информации коммерческое решение класса PAM или его бесплатный аналог Open Source всегда должен быть наготове. Алексей Плешков Редактор рубрики "Управление идентификацией", независимый эксперт по информационной безопасности КОЛОНКА РЕДАКТОРА PAM должен быть наготове