Журнал "Information Security/ Информационная безопасность" #3, 2025

В этой статье мы рассмотрим ключе- вые ошибки при внедрении PAM и рас- скажем, как Infrascope 1 , решение от NGR Softlab для полноценной защиты приви- легированных учетных записей, помогает их избежать благодаря широким воз- можностям интеграции, автоматизации и гибкой архитектуре. Некачественное внедрение Иногда, опасаясь перегрузить систему или создать дополнительную точку отка- за, организации оставляют часть приви- легированного доступа вне PAM – под видом резервного. Например, часть учет- ных записей или целевых систем созна- тельно не вводится в контур PAM, чтобы сохранить прямой доступ "на всякий случай". В результате ценность самого внедрения PAM сводится к нулю: зло- умышленник, получив доступ к рабочей станции администратора, сможет под- ключиться к инфраструктуре в обход защиты. Infrascope позволяет избежать подоб- ных компромиссов. Система поддержи- вает отказоустойчивую архитектуру Active-Active, масштабируется от двух узлов, демонстрирует высокую произво- дительность и надежно работает в инфраструктурах любых размеров. Это означает, что весь привилегирован- ный доступ можно перевести под цент- рализованный контроль – без опасений перегрузки или сбоев. Другой распространенный недоста- ток – частичное покрытие: PAM контро- лирует лишь часть критичных устройств или ограниченное число учетных запи- сей. Это оставляет слепые зоны в управ- лении доступом. Infrascope оснащен встроенным моду- лем инвентаризации активов, который позволяет автоматически выявлять управляемые устройства, синхронизи- ровать данные с внешними CMDB и формировать актуальную картину инфраструктуры. Поддерживается импорт не только отдельных систем, но и групп устройств, что особенно удобно в масштабных инсталляциях. Благодаря этому обеспечивается пол- ноценный контроль доступа в актуаль- ном разрезе всей инфраструктуры, без ручных исключений и незамеченных ресурсов. Слабая аутентификация пользователей PAM после внедрения становится одной из ключевых систем ИБ в компа- нии. Если ее пользователь использует слабый пароль и его учетная запись не защищена вторым фактором, то это может привести к печальным послед- ствиям: злоумышленник получит доступ в PAM и сможет развить атаку на все доступные сервера. Многофакторная аутентификация предполагает несколько этапов подтвер- ждения личности пользователя. Напри- мер, помимо стандартных логина и паро- ля можно запросить ввод одноразового кода, применить цифровой ключ. Интег- рация с решениями MFA позволяет обес- печить дополнительный уровень под- тверждения пользователя. Infrascope имеет встроенную реализа- цию OTP, а также поддерживает боль- шое количество внешних решений MFA, аппаратные токены Rutoken и Yubikey, смарт-карты и т.д. Все это позволяет снизить вероятность несанкционирован- ного доступа в систему даже при ком- прометации учетных данных. Игнорирование сервисных и встроенных учетных записей В типовой инфраструктуре заказчи- ков, как правило, присутствует мно- жество приложений и сервисов, кото- рым для работы требуется учетная запись с повышенными привилегиями. К ним также относится использование секретов в процессе внутренней раз- работки. Такие УЗ представляют осо- бый интерес для злоумышленников. А вдобавок для них часто установлен статичный и сравнительно простой пароль, который не меняется годами. При внедрении PAM необходимо конт- ролировать не только интерактивных пользователей, но и сервисные учетные записи, скрипты и встроенные учетки. Реализованный в Infrascope менеджер паролей управляет не только пользова- тельскими, но и машинными учетными данными: паролями, ключами SSH, API- токенами и сертификатами. В системе также предусмотрена функция выдачи паролей сторонним приложениям (Appli- cation-to-Application Password Manage- ment, AAPM). Выдача УЗ от целевых систем осу- ществляется через API-запросы. Для каждого приложения, которому требу- ется доступ к УЗ, создается специальный токен и указываются учетные записи или их группы, доступные для выдачи. С помощью модуля Infrascope AAPM можно безопасно использовать секреты в задачах CI/CD-платформ, таких как Jenkins или GitLab. Выдача прав вне регламента и непрозрачные согласования Реальность такова: большинство инцидентов с привилегированными пользователями начинаются незаметно. Кто-то получил доступ "по звонку", кто- то не отозвал его после завершения проекта. Если PAM не встроен в про- цессы управления доступом, он попро- сту не узнает об этих изменениях – и уж тем более не сможет на них отреа- гировать. Чтобы автоматизировать процесс выдачи доступа, Infrascope поддерживает 50 • СПЕЦПРОЕКТ Типовые ошибки при внедрении PAM и как Infrascope помогает их избежать ешения класса Privileged Access Management давно стали стандартом в арсенале служб информационной безопасности. Однако само по себе внедрение PAM-системы не гарантирует надежной защиты. На практике организации сталкиваются с тем, что даже формально развернутая и настроенная систе- ма не предотвращает инциденты, связанные с привилегиро- ванным доступом. Причина – в типичных ошибках, допущен- ных на этапе внедрения, интеграции и эксплуатации системы. Р Алексей Дашков, директор Центра развития продуктов NGR Softlab Фото: NGR Softlab 1 https://ngrsoftlab.ru/infrascope