Журнал "Information Security/ Информационная безопасность" #3, 2025

Использование только доверенных инструментов управления Использование доверенных инстру- ментов управления предполагает, что доступ к управлению ИТ-ресурсами осу- ществляется посредством исключитель- но тех приложений, которые были про- верены службой ИБ и размещены на защищенном сервере. Для удаленного подключения к управ- лению ИТ-ресурсами администраторы используют разные инструменты различ- ных версий в зависимости от личных пред- почтений администраторов. Однако эти инструменты могут оказаться устаревшими (старые версии) и содержать уязвимости, могут быть загружены из Интернета уже взломанными. Проблема решается фор- мированием репозитория доверенных инструментов, проверенных специалиста- ми по информационной безопасности. Использование только доверенных инструментов позволяет четко контро- лировать поверхность атаки. Современ- ный PAM дает возможность автомати- зировать этот процесс, предоставляя доступ только с помощью тех инстру- ментов, которые размещены на защи- щенном сервере. Предоставление доступа в защищенной среде Для снижения риска компрометации учетных данных инструменты управления изолируются от потенциально скомпро- метированной рабочей станции пользо- вателя. ИТ-пользователь – это, как правило, высококвалифицированный сотрудник. У него есть доступ в Интернет и полные права на своей рабочей станции, поэтому повышается вероятность ее компроме- тации. Таким образом среда рабочей станции администратора является недо- веренной, то есть нельзя гарантировать отсутствие на ней вредоносного ПО. А наличие вредоносного ПО – прямой путь к компрометации учетной записи. Для снижения вероятности компромета- ции учетных данных нужно изолировать их использование от потенциального вре- доносного ПО недоверенной среды рабо- чей станции. Это требует запуска сеансов привилегированного доступа в защищен- ной среде на специальном сервере. PAM-системы предоставляют такую возможность, в результате секреты учет- ных записей не доступны на рабочей станции пользователя, и это снижает риск их компрометации. Мониторинг и аудит действий пользователей Траектория безопасной реализации привилегий предполагает фиксацию дей- ствий пользователя, в том числе и видео- фиксацию. Это позволяет проводить рас- следование в случае киберинцидентов, выявлять несанкционированный доступ, аномалии привилегированного доступа и первопричины рискованных событий. Как быстро и безболезненно внедрить траектории? Траектории безопасной реализации привилегий будут работать в компании только в том случае, если они станут не только повышать безопасность, но и окажутся удобными для пользователей. Создать такие траектории позволяет современная PAM-система с гибкими адаптивными сценариями запуска дове- ренных привилегированных инструмен- тов. В этом случае пользователи не будут пытаться получить доступ в обход PAM-системы. Системы управления привилегирован- ным доступом эволюционировали из менеджеров паролей администраторов в универсальную систему привилегиро- ванного доступа к любым ИТ-ресурсам. Они перестали быть прерогативой исключительно ИТ-специалистов. Сего- дня PAM предоставляет безопасный контролируемый доступ и для ИТ-, и для бизнес-пользователей, и для межма- шинного взаимодействия. Это предъ- являет новые требования: он должен быть простым в развертывании, удобным в использовании и гибким в интеграции со сторонними системами. Простой в развертывании Системы управления привилегирован- ным доступом – сложные корпоративные системы, часто требующие "предполет- ного" обучения и развертывания в тече- ние длительного (до полутора лет) срока. Бывают случаи, когда полное разверты- вание не доводится до конца, либо использование системы требует дли- тельного обучения, что оставляет нега- тивное впечатление от взаимодействия с PAM. Об этом говорят и исследования зарубежных агентств, например, в отчете Gartner Magic Quadrant for Privileged Access Management 2023 аналитики отметили, что при внедрении компании испытывают трудности, когда выходят за пределы базового функционала. При- чем объем этих трудностей разнится от вендора к вендору. Зная это, разработчики PAM-систем, появившихся на рынке в последние годы, стараются сделать свое решение простым и легким в управлении, чтобы сократить срок ввода в эксплуатацию и расходы на обучение и обслуживание. В основе таких систем лежит следующий принцип: обеспечить ИБ и пользователей простым и удобным инструментом без- опасного управления ИТ-ресурсами с необходимыми возможностями, не навязывая избыточный функционал. Удобный в использовании Тренд современного мира – делать безопасные вещи удоб- ными. Если раньше без- опасность означала дополнительные сложно- сти, то в современных продуктах это уже не так. PAM предлагает централизованную панель управления доступом к любым ИТ-ресурсам и автоматизирует процессы согласования доступа. В отсутствие тако- го инструмента сотрудники подключают- ся к различным системам самыми раз- ными способами: запуская скрипты и инструменты администрирования, авто- ризуясь в веб-приложениях. Для доступа к каждому ИТ-ресурсу нужно держать в голове уникальный секрет, регулярно его обновлять и запоминать новый. Инструменты администрирования необходимо обновлять для устранения уязвимостей. Все это отвлекает от выполнения основных задач. Согласо- вание доступа также отнимает время. PAM автоматизирует эти процессы, делая удобным процесс доступа к ИТ- ресурсам Быстрый в интеграции со сторонними системами Контроль привилегий и привилегиро- ванного доступа все чаще становится темой межмашинного взаимодействия. По этой причине любая PAM-система должна предусматривать механизмы бесшовной интеграции с любой сторон- ней системой: как для контроля приви- легий, контроля действительности при- вилегий, так и для обогащения инфор- мации о сеансе привилегированного доступа для SIEM и DLP, DCAP/DAG. Например, PAM может обогащать дан- ные для DLP и использовать DCAP для управления доступом. Безопасные траектории с помощью sPACE PAM Бизнес требует от администраторов быстрого решения задач, а ИБ, в свою очередь, требует выполнения нормати- вов регуляторов и следования политикам безопасности, что замедляет скорость. Этот конфликт разрешают траектории безопасного поведения, и создание таких траекторий становится тенденцией, осо- бенно в тех областях, где требования к безопасности высоки. Постановка автомобиля на охрану требует нажатия одной кнопки. Финан- совые переводы пользователей больше не требуют заполнения многочисленных полей. Современные PAM должны быть такими же простыми. Они позволяют быстро организовать административ- ный доступ к ИТ-инфраструктуре в нуж- ный момент и делают это безопасно в соответствии с политиками компании и требованиями регулятора. Создавая нашу систему управления привилеги- рованным доступом sPACE PAM, мы руководствовались именно этими прин- ципами. l • 47 PAM www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ WEB CONTROL см. стр. 76 NM Реклама