Журнал "Системы Безопасности" № 1‘2019

Обычно процесс использования PAM-системы с точки зрения пользователя выглядит очень просто и не сильно отличается от работы с другими систе- мами идентификации. Как правило, они имеют продвинутые технологии аутентификации, управ- ления учетными данными и контроля сеансов. Привилегированные пользователи авторизуются в PAM-системе, причем идеально, если система под- держивает многофакторную аутентификацию, желательно с возможностью авторизации отдель- ных транзакций доступа и действий. Затем через единый интерфейс по защищенному каналу пре- доставляется доступ к тем серверам компании и приложениям/оснасткам, к которым доступ дан- ному специалисту согласован, здесь же можно согласовать доступ к новой целевой системе. Изоляция процессов аутентификации Основным принципом работы современной PAM-системы является реализация наименьших привилегий, то есть привилегии предостав- ляются динамически, на ограниченное время, для конкретной системы или даже процесса в системе с конкретным инструментом управле- ния. Однако не всегда интерфейсы управления системами отвечают современным требованиям к защите учетных данных. Поэтому мы наблю- даем очевидную тенденцию к изоляции процес- сов аутентификации пользователей в защищен- ной среде управления (Jupm-сервер, Bastion Host и т.д.). Таким образом, ввод идентифика- ционных данных происходит автоматически, в доверенной среде, что значительно снижает вероятность их компрометации. Традиционный PAM выступает шлюзом между привилегированным пользователем и целевой ИТ-системой, поэтому является исключительно удобной точкой не только записи экранов и вводимых команд, но и управления (блокиров- ки команд и т.д.). Развитые системы PAM не только обеспечивают контроль действий приви- легированных пользователей, но и облегчают исполнение ими правил безопасной работы с привилегиями. С одной стороны, снижается вероятность непреднамеренных нарушений, с другой – повышается прозрачность реализа- ции расширенных полномочий. Оптимизация работы ИТ-департаментов Системы PAM могут автоматизировать действия дорогостоящих квалифицированных специали- стов ИТ и ИБ. Для ИТ-отделов сокращается количество рутинных операций по согласова- нию доступа, выяснению параметров доступа и запуска сеансов управления, запуску скриптов и других инструментов автоматизированного управления ИТ-системой. Для команды информационной безопасности автоматически выполняется грандиозная рабо- та по контролю действий в ИТ-системах и рас- следованию инцидентов. Даже в случае совместного использования несколькими адми- нистраторами одной учетной записи, как, например, admin или root, всегда можно легко выяснить, кто именно проводил работы. Для руководителей ИТ- и ИБ-департаментов повы- шается прозрачность: кто какие действия выполнял или не выполнял, что особенно акту- ально при большом количестве штатных сотрудников и привлекаемых подрядчиков. Непрерывный апгрейд технологий Системы PAM активно развиваются, добавляя новые возможности, и аналитические агентства предвещают их дальнейшее бурное развитие. В планах одного из лидеров этой отрасли, ком- пании CyberArk, – обеспечение более широкого использования безопасного хранилища паролей и секретов для доступа к облачным технологиям, а также предоставление облегченного решения для компаний малого и среднего бизнеса. BeyondTrust и Centrify работают над улучшением возможностей оценки рисков, поддержки кон- тейнеров и DevOps. Thycotic объявил об улучше- нии жизненного цикла привилегированных учет- ных записей и дальнейшей интеграции своего решения с IaaS и PaaS. Об использовании мик- росервисной архитектуры говорят BeyondTrust и CA Technologies, а Micro Focus планирует доба- вить управление привилегированными записями и доступом для устройств IoT. Новое решение по управлению привилегированным доступом к облачным ресурсам PrivX от компании SSH Communications Security Oyj разработано без использования безопасного хранилища паролей. Новый отечественный продукт sPACE реализует оригинальную функцию динамического управ- ления доступом в виде системы нарядов-допус- ков. Другое российское решение, SafeInspect, использует оригинальные методы контроля управления сессиями между компонентами рас- пределенных приложений баз данных. Получаются очень интересные решения, когда в PAM-систему производители интегрируют функции из других областей, например обна- ружения аномального поведения пользовате- лей. Применительно к системным администра- торам так удается выявлять служебные наруше- ния, которые очень сложно обнаружить тради- ционными способами ввиду специфики рабо- ты: вывод ценных данных в корыстных целях, использование вычислительных мощностей не по назначению, обнаружение действий зло- умышленника из взломанного аккаунта адми- нистратора и др. Чем активнее развиваются разные сферы информационных технологий, тем более сложные задачи может решать одна отдельно взятая система. Дополненную реальность начинают применять в SOC, лучшие практики высокопроизводительных GPU-вычислений для майнинга криптовалют перенимают для аналитики больших данных. В будущем все больше технологий аналитики и автоматиза- ции будут приходить в PAM-системы из сопре- дельных областей. Переход к брокеру привилегий Добавление нового функционала приводит к тому, что традиционные системы управления привилегированным доступом начинают пере- рождаться в PAM-решения следующего поколе- ния, своего рода брокеры привилегий. Брокер привилегий представляет собой не толь- ко инструмент контроля привилегированного пользователя, но скорее средство автоматиза- ции доставки привилегий потребителям: не только администраторам систем, но и при- ложениям, а при переходе к микросервисной архитектуре – отдельным компонентам прило- жений. В отличие от управления привилегиро- ванным доступом брокер привилегий достав- ляет привилегии для всех компонентов. Такие решения не только снижают риск нецеле- вого использования прав администратора системы, но и сокращают расходы на обслужи- вание, среднее время восстановления работо- www.secuteck.ru февраль – март 2019 УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 95 Рис. 1. РАМ помогает избавиться от бумаж- ных согласований Рис. 2. Исполнять правила становится легче dormakaba – системы контроля доступа