Журнал "Information Security/ Информационная безопасность" #3, 2025

Почему без PAM уже не обойтись? Privileged Access Management (PAM) – это не просто модный термин в инфор- мационной безопасности, а ключевой элемент защиты ИТ-инфраструктуры. Управление привилегированными учет- ными записями всегда играло важную роль, а сегодня стало критически значи- мым: именно через такие аккаунты совершается большинство целевых атак. Вопрос "можно ли обойтись без PAM?" уже не стоит. Атаки на привилегированные учетные записи давно вышли на первый план среди киберугроз. По статистике, подав- ляющее большинство инцидентов так или иначе связано с использованием привилегированного доступа. В MITRE ATT&CK можно заметить, что перелом- ным моментом в атаке на инфраструк- туру становится получение злоумыш- ленником доступа внутрь и повышение привилегий после закрепления – далее распространяется влияние на всю инфраструктуру. По сути, атаки, дове- денные до логического завершения – начатые различными способами, вклю- чая фишинг, взломы поставщиков, ком- прометации процессов и утечки данных, – так или иначе связаны с неправомер- ным доступом через административные или технические учетные записи. Особенно опасны атаки на цепочки поставок. Зачастую подрядная компания не имеет достаточной защиты, но при этом обладает полноценным доступом в контуры заказчиков. В последнее время участились взломы, когда компромета- ция одного подрядчика приводит к досту- пу в десятки и даже сотни инфраструктур клиентов, зачастую связанных по сфере деятельности. Активизировались и хактивисты – организованные группы, которые ата- куют системы не ради денег, а с полити- ческой или идеологической мотивацией. Они тщательно выбирают цели и исполь- зуют сложные методы проникновения. Самое опасное – у них есть план. В таком случае сложно отделаться испугом или финансовыми потерями, так как им нужно только одно – пост в медиа. А будет ли он об успешной защите или о взломе – покажет ситуация. Риски, сложность и давление Изменение самого характера инфра- структур еще больше повышает риски. Все чаще компании используют гибрид- ные модели с множеством облаков, под- ключением подрядчиков, внешней тех- поддержкой и автоматизацией. В резуль- тате количество систем с привилегиро- ванным доступом растет экспоненци- ально, а контроль за ними размывается. Внутри компании зачастую невозможно точно сказать, сколько существует актив- ных административных учетных записей, кто ими пользуется и в какой момент времени. Проблема усугубляется и тем, что у внешних подрядчиков и служб техни- ческой поддержки зачастую есть полный доступ к критически важным узлам – причем без централизованного учета или мониторинга. А как контролировать, что происходит с выданными УЗ вовне, если контроль не выстроен даже внутри? Регуляторы также ужесточили требо- вания к управлению привилегиями. В России и мире действуют регламенты – в том числе 187–ФЗ, 152–ФЗ, 239–ФЗ, приказы ФСТЭК России № 17 (117) и № 21, международные нормы вроде GDPR и PCI DSS. Практически во всех из них указано, что управление доступом должно быть основано на принципе минимально необходимого и строго конт- ролируемого уровня прав. В случае инцидента без PAM будет невозможно доказать – кто, когда и зачем получил доступ, а значит, компания попадает под риски неисполнения требований. PAM как ведущий элемент экосистемы безопасности В этом контексте PAM становится краеугольным камнем Zero Trust-архи- тектуры. Он позволяет реализовать принцип минимальных привилегий: поль- зователю предоставляются только те права, которые нужны в конкретный момент времени и, возможно, лишь на ограниченный период. Такой подход исключает постоянные и неконтроли- руемые административные доступы и вместо них применяет модель Just-In- Time, при которой права выдаются вре- менно и используется механизм согла- сования. Это значительно сокращает площадь атаки и дает прозрачность в управлении доступами. Современная PAM-платформа – это не просто сейф для привилегированных УЗ. Это целая экосистема, охватывающая управление сессиями, учетными запися- ми, ключами, сертификатами, а также включающая элементы поведенческого анализа, автоматизации и интеграции с другими системами безопасности. В основе любой PAM-системы лежит проксирование сессий: администратор не получает напрямую доступ в необхо- димую систему, а проходит через конт- ролируемую точку доступа – PAM. Там он сначала проходит авторизацию под своей персонализированной УЗ (здесь пользователь идентифицируется). Далее по ролевой модели он выбирает пред- настроенный доступ на целевое устрой- ство (маппинг – вход с использованием персонализированной УЗ, интерактив – ввод вручную УЗ, аккаунтинг – приви- легированная УЗ передается из PAM). Его действия могут быть записаны, отслежены и при необходимости оста- новлены в режиме реального времени. Функциональность просмотра сессий вживую и оперативного вмешательства – важнейшие возможности для SOC и команд реагирования на инциденты. PAM также позволяет выявлять потен- циально опасные действия и аномалии в поведении. Поведенческий анализ (UEBA) дает возможность сформировать персону, отследить все действия поль- зователя и его подозрительное поведе- ние – например, нетипичное подключе- ние с другого адреса, в непривычное время, выполнение странных команд или использование ранее незнакомого ПО. Может также проводиться анализ эффективности работы подрядчиков и сотрудников, что полезно не только для выявления аномалий, но и для оцен- ки загруженности. А отчетность позво- ляет наглядно отразить активность поль- зователей и систем. Пароли к привилегированным УЗ роти- руются автоматически, что исключает несоответствие корпоративной политике. 44 • СПЕЦПРОЕКТ Что нужно знать о PAM в 2025 году? ривилегированные учетные записи – один из главных каналов проникновения для злоумышленников и головная боль для ИБ-специалистов. Сегодня без PAM обойтись уже нельзя: это требование времени, регуляторов и здравого смысла. Давайте разберемся во всех тонкостях и хитростях PAM-платформ. П Алексей Ширикалов, руководитель отдела развития продуктов компании “АйТи Бастион” Фото: АйТи Бастион