Журнал "Information Security/ Информационная безопасность" #3, 2025

Не заменяют, а дополняют Хотя IAM-/IDM-платформы обеспечи- вают централизованное управление учетными записями, правами входа и реализуют продвинутые сценарии аутентификации, они мало влияют на действия пользователей (в том числе привилегированных), выполняемые после входа в систему. С другой сторо- ны, практические реализации SIEM не всегда обладают достаточным контекс- том для точного выявления угроз в дей- ствиях привилегированных пользовате- лей и могут быть существенно ограниче- ны в возможностях оперативного реаги- рования на обнаруженные инциденты. Системы класса PAM как раз создают последний рубеж защиты – централизо- ванный механизм для подключений с расширенными правами, продвинутые механизмы контроля в реальном време- ни, в идеале – работая совместно с SIEM и IAM. Все дело в том, что без глубокого анализа привилегированных сессий, реа- лизованного в PAM, остается слепая зона в своевременном понимании наме- рений пользователя. Анализ видео- или текстовых записей сессий может ока- заться трудоемким делом, на практике реализуемым только в ситуациях, свя- занных с разбором уже состоявшихся инцидентов, уже реализованных угроз. Интеллектуальный анализ сессий усиливает PAM Разработанная компанией Avanpost система SmartPAM 1 обрабатывает не только сырые записи, но и семантически размеченные данные, выявляя в сессиях опасные события (вместо отдельных команд!) или даже их цепочки. Детекция событий в сочетании с гибко настраиваемыми пользовательскими правилами, политиками выявления угроз и вариантами реагирования обеспечи- вает избирательное и точно настраи- ваемое обнаружение и пресечение неже- лательных или опасных действий при- вилегированных пользователей. Дости- гается возможность учитывать, что одни и те же операции, выполняемые над различными объектами либо на различ- ных управляемых ресурсах, могут в одних случаях быть маркерами угроз, тогда как в других – являться частью нормальной эксплуатации. Опционально устанавливаемые агенты обеспечивают SmartPAM дополнитель- ным контекстом о происходящем как в привилегированных сессиях, так и на защищаемых ресурсах в целом. С их помощью можно, например, выявлять сессии, установленные в обход PAM, отслеживать запуск процессов и фикси- ровать другие важные события, связан- ные с действиями привилегированных пользователей и представляющие инте- рес с точки зрения анализа и проактив- ного предотвращения угроз. Реализуемая на базе ИИ аналитика поведенческих аномалий (UBA) в SmartPAM строит портрет нормальной рабочей активности: время входа, часто- ту и характер команд, самые распро- страненные хосты и пр. При отклонении от модели система автоматически поме- чает сессию для дополнительного ауди- та, прерывает ее в проактивном режиме или реализует другую из доступных реакций (например, уведомление ответ- ственных либо блокирование пользова- теля). Такой интеллектуальный подход блокирует атаки нулевого дня и инсай- дерские угрозы до того, как они пере- растут в серьезный инцидент. PAM, IAM и Zero Trust Существенным преимуществом PAM- системы является еe бесшовная интегра- ция с IAM. Например, при увольнении или переводе сотрудника важно, чтобы PAM автоматически обновляла политики и своевременно отзывала привилегирован- ный доступ – без ручного вмешательства. Другим значимым аспектом взаимо- действия с этим классом систем может явиться возможность делегировать IAM- системе аутентификацию привилегиро- ванных пользователей: это позволит применить различные варианты аутен- тификации с использованием второго фактора, а также воплотить продвинутые сценарии аутентификации. При организации сценариев использо- вания PAM-системы представляется важ- ным ориентироваться на варианты, поз- воляющие достигать максимальной изо- ляции защищаемых ресурсов. Так, напри- мер, применение в составе PAM прокси- серверов исключает непосредственное воздействие привилегированных поль- зователей на ресурсы; а использование нескольких прокси позволит реализовать сегментацию, минимизируя тем самым горизонтальные перемещения (Lateral Movements) привилегированных учетных записей. Ограничение прямого доступа администраторов к секретам инфраструк- туры – таким как пароли и SSH-ключи привилегированных учетных записей – существенно снижает риск их компроме- тации, в том числе при неформальном обмене этими данными между сотрудни- ками в целях решения рабочих задач. Последняя мера, очевидно, предпо- лагает хранение секретов в инфраструк- туре PAM-системы, а значит, требует обеспечения ее собственной безопас- ности. Применение криптографически стойких алгоритмов для обратимого шифрования – мера необходимая, но недостаточная. Критически важно надежно управлять ключами, исполь- зуемыми в этих алгоритмах. Недопусти- мо, чтобы ключи хранились в той же PAM-инфраструктуре: это создает риск, при котором компрометация системы позволит злоумышленнику расшифро- вать хранящиеся в ней секреты. В заключение Внедряя современный PAM, организа- ция получает не просто еще один элемент защитного стека, а полнофункциональ- ный движок проактивной безопасности: семантический анализ сессий, UBA-ана- литику, автоматическое реагирование на выявляемые угрозы. Интеграция с IAM- системами обеспечивает синергетиче- ский эффект, формируя единое, управ- ляемое пространство Zero Trust. l 52 • СПЕЦПРОЕКТ Кто заменит PAM в проактивной защите? онтроль привилегированных сессий – незаменимый аспект практической безопасности. Но встречаются мнения о том, что основные функции PAM-систем могут быть замещены с использованием SIEM и (или) IDM-/IAM-решений. Попробу- ем разобраться, так ли это. К Сергей Померанцев, владелец продукта Avanpost SmartPAM Фото: Avanpost 1 https://www.avanpost.ru/products/avanpost-pam На правах рекламы Ваше мнение и вопросы присылайте по адресу is@groteck.ru