Журнал "Information Security/ Информационная безопасность" #1, 2025

• 41 CERTIFICATE AUTHORITY www.itsec.ru В Avanpost мы поставили перед собой амбициозную цель: предложить рынку инновационный продукт, обеспечиваю- щий высокий уровень защиты за счет проактивного реагирования на угрозы. Кроме того, мы хотели усилить успешную линейку фокусирующихся на управлении доступом продуктов, поэтому в этом году анонсировали Avanpost SmartPAM – систему управления привилегированным доступом. Рассмотрим ключевые компоненты Avanpost SmartPAM. 1. Прокси, обеспечивающий изоляцию привилегированных пользователей от непосредственного взаимодействия с защищаемыми системами. 2. Хранилище секретов (Vault), содер- жащее ключевую информацию о приви- легированных учетных записях. 3. Инструмент записи сессий, фикси- рующий все действия, выполняемые привилегированными пользователями. 4. Событийный движок, который полу- чает от других компонентов системы данные о событиях, происходящих в при- вилегированных сессиях, и проверяет их на предмет наличия угроз. 5. Искусственный интеллект, выявляю- щий аномалии в поведении привилеги- рованных пользователей. Привилегированные пользователи подключаются к защищаемым узлам не напрямую, а через прокси в составе Avanpost SmartPAM. При этом приме- няются типовые инструменты, такие как Putty или терминальный клиент Microsoft. Аутентификация пользователей при доступе к ресурсам осуществляется от имени их персональных учетных записей, а ключами от групповых учетных записей ("root", "Администратор" и т. п.) оперирует Avanpost SmartPAM. При такой органи- зации процессов управления большин- ство привилегированных пользователей не владеют секретами от ИТ-инфра- структуры и, следовательно, не могут их скомпрометировать. Avanpost SmartPAM выполняет запись всех действий, выполняемых привиле- гированными пользователями: фикси- рует, кто и в какой момент времени при- менял ту или иную привилегированную учетную запись. Сохраненная информа- ция впоследствии может быть исполь- зована при расследовании инцидентов. Различные компоненты продукта отме- чают события, происходящие в приви- легированных сессиях: попытки выпол- нения команд, открытие файлов для чтения, редактирование документов, спе- цифические паттерны сетевой активно- сти и др. Детектированные события обрабатываются событийным движком: l проводится корреляция – обобщение нескольких событий, которые сами по себе являются малозначительными, но в совокупности могут сообщать об угрозе; l все множество событий (как исходных, полученных непосредственно из приви- легированных сессий, так и обобщенных, сгенерированных в результате корреля- ции) проверяется на предмет соответ- ствия сигнатурам – правилам, описы- вающим опасные паттерны; l при выявлении опасной ситуации, в зависимости от настроек, могут пред- приниматься те или иные автоматиче- ские действия, направленные на мити- гацию рисков: блокирование команды или привилегированного пользователя, разрыв сессии, уведомление ответствен- ных. Информация из привилегированных сессий обрабатывается двухуровневой системой нейросетей на предмет нали- чия аномалий. Выявленные атипичные ситуации маркируются как риски, реа- гирование на них можно автоматизиро- вать. Мы подумали не только о технической составляющей продукта, но и об эмо- циональной, – первое знакомство с ним должно пройти идеально. Не хотим, чтобы нашим заказчикам приходилось обращаться к дорогостоящему консал- тингу при внедрении, поэтому в новом решении большой акцент сделан на про- стоте и удобстве развертывания. Для повышения эффективности собы- тийного движка мы разработали и пред- лагаем готовую библиотеку сигнатур. Она позволяет применять готовые правила, разработанные отраслевыми специали- стами, не требуя от заказчиков усилий по их самостоятельному созданию. Продукт Avanpost SmartPAM с встроен- ной кодовой базой самодостаточен, но в сочетании с другими решениями он дает синергетический эффект. Следует отметить, что комплексный подход, осно- ванный на одновременном использова- нии нескольких продуктов информа- ционной безопасности от Avanpost, поз- воляет заметно повысить эффектив- ность. Например, интеграция Avanpost Smart- PAM с Avanpost FAM или Avanpost MFA+ обеспечивает многофакторную аутен- тификацию привилегированных пользо- вателей при доступе к ресурсам, защи- щаемым Avanpost SmartPAM, включая Linux- и Windows-серверы. Применение SmartPAM с центром управления учетными записями и пра- вами доступа Avanpost IDM позволяет не только эффективно управлять жиз- ненным циклом привилегированных учетных записей и контролировать доступ к ним, но и использовать мощ- ный BPMN-движок, встроенный в IDM. Последнее открывает возможности для реализации сложных и многоступен- чатых сценариев запроса, согласова- ния и предоставления привилегиро- ванного доступа в рамках Avanpost SmartPAM. Согласно статистике, более 60% ком- паний в России сталкиваются с угро- зами безопасности от привилегиро- ванных пользователей. Справляться с такими рисками лучше в проактивном режиме, и в этом поможет Avanpost SmartPAM. l Avanpost SmartPAM: как устроено интеллектуальное управление привилегированным доступом vanpost SmartPAM – система управления привилегированным доступом: техническая составляющая, ключевые компоненты, возможности. A Сергей Померанцев, владелец продукта Avanpost SmartPAM Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото: Avanpost На правах рекламы