Журнал "Information Security/ Информационная безопасность" #3, 2025

интеграцию с различными ITSM-систе- мами, такими как ServiceNow, Jira Service Management, BMC Helix/Remedy. Это позволяет оформлять временный доступ через привычные бизнес-процессы, авто- матически связывать сессии с заявками в SD и согласовывать доступ в установ- ленном порядке. Например, администратор подает заявку на доступ к серверу через Jira. После ее утверждения Infrascope авто- матически выдает временный доступ, записывает сессию и по завершении добавляет ссылку на видеозапись в комментарий к заявке. Все действия фиксируются: кто запросил, кто согла- совал, на какой срок выдан доступ, по какому каналу и с каким результа- том. К этому же типу ошибок можно отнести отказ от интеграции с IDM- системами или хотя бы со службами каталогов LDAP. Это ведет к тому, что после увольнения сотрудника его УЗ не блокируется, пароль не меняется. Случается даже, что такие УЗ исполь- зуются для запуска каких-либо серви- сов (например, сотрудник использовал свою УЗ для установки и настройки приложения). Infrascope поддерживает синхрони- зацию с Active Directory и другими служ- бами каталогов по протоколу LDAP. В рамках интеграции обеспечивается импорт пользователей, устройств и их групп. Благодаря этому можно управ- лять доступами через существующую ИТ-инфраструктуру и исключить тене- вые аккаунты и неуправляемые устрой- ства. Полноценная связка с системами управления идентификацией позволяет реализовать принципы жизненного цикла доступа: автоматическое назначение и удаление прав на основе ролей, согласование доступа через workflow в IAM, временный доступ с ограничениями, аудит прав и соот- ветствие политике минимальных при- вилегий. Неограниченный административный доступ Недостаточно просто внести всех системных администраторов и DevOps- инженеров в PAM – необходимо грамот- но настроить их доступ к целевым систе- мам и обеспечить контроль действий. Для этого в Infrascope предусмотрен широкий набор функциональных воз- можностей. Менеджер доступа к данным позво- ляет выстраивать гибкую ролевую модель в соответствии с принципом наименьших привилегий. Можно при- менять политики доступа для опреде- ленных групп пользователей, устанав- ливать временны’ е ограничения, фильт- ровать доступ по геолокации и/или IP- адресу и использовать другие пара- метры. Отсутствие подключения к SOC/SIEM Отсутствие связи с SIEM оставляет аналитиков ИБ в неведении: сессия началась, команды выполнялись, но кто, зачем и в рамках какой задачи? Без передачи поведенческой телеметрии невозможно отличить администратора от атакующего. Infrascope предоставляет API и под- держивает экспорт логов по syslog в фор- мате CEF или KeyValue, что обеспечи- вает бесшовную интеграцию со многими SIEM-системами. В рамках такой интег- рации передаются события: начало и завершение сессии, успешные и неуспешные попытки доступа, запуск определенных команд или утилит в сес- сии, действия с чувствительными объ- ектами (файлами, базами данных, кон- фигурациями). Отсутствие интеграции с системами мониторинга состояния ИТ-инфраструктуры Системы мониторинга состояния ИТ- инфраструктуры повсеместно исполь- зуются большинством клиентов для обеспечения бесперебойной работы ИТ- сервисов. Поскольку PAM-система является высококритичным сервисом, необходимо обеспечить возможность мониторинга ее состояния с помощью таких решений, как Zabbix. Infrascope включает централизован- ную систему мониторинга собственных компонентов, позволяющую отслежи- вать состояние ЦП, хранилища, дисков и служб, а также устанавливать сигналы тревоги с заданными пороговыми значе- ниями. Уведомления могут отправляться по электронной почте или через SNMP. Не использование поведенческой аналитики при большом количестве подрядчиков Интеграция с UEBA дает возможность анализировать поведение привилегиро- ванных пользователей в контексте откло- нений от нормы. Напри- мер, это может быть рез- кое увеличение числа под- ключений к БД ночью или скачивание большого объема данных через кон- соль. Подобные задачи особенно акту- альны при наличии крупной инфраструк- туры и большого числа подрядчиков, обеспечивающих ее работу. Infrascope имеет встроенный модуль поведенческой аналитики с большим количеством преднастроенных профилей детектирования, а также предоставляет полную телеметрию для моделей UEBA, включая командную строку, параметры подключения и геолокацию, что повы- шает точность оценки риска. Отсутствие регулярного сопровождения и развития PAM После первичного внедрения PAM- система нередко перестает развиваться: интеграции не расширяются, политики не актуализируются, обновления не при- меняются. Infrascope позволяет проводить цент- рализованный аудит настроек, логов и политик. Встроенные дашборды и отчеты о неиспользуемых доступах, устаревших учетных записях и нарушениях политик помогают адаптировать систему к изме- няющимся бизнес-процессам и актуаль- ным угрозам. Заключение Ошибки при внедрении PAM – это не технические баги, а следствие недо- оценки процессов, слабой интеграции и отсутствия постоянного контроля. Infrascope помогает избежать этих ловушек, предлагая: l широкие возможности интеграции с ключевыми системами (SIEM, ITSM, IAM, MFA, CMDB, DevOps); l гибкую архитектуру подключения и проксирования; l прозрачную аналитику и автоматиза- цию; l полноценное управление жизненным циклом привилегий. Настоящая защищенность – это не просто наличие PAM, а его грамотная интеграция в бизнес-процессы. Infrascope делает это возможным. l • 51 РАМ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ NGR SOFTLAB см. стр. 76 NM Реклама Рис. 1. Схема работы PAM-системы Infrascope