Журнал "Information Security/ Информационная безопасность" #4, 2024

56 • ТЕХНОЛОГИИ В случае с системами привилегиро- ванного доступа возникает два вопроса: кто является основным бенефициаром решения и для чего оно используется в первую очередь. Часто инструмент безопасности при- меняется не так, как его видит разра- ботчик. В ходе эксплуатации склады- вается компромисс между тем, как он задумывался, и тем, как его используют на практике. Например, DLP-система редко при- меняется для предотвращения утечек, а самым необычным, пожалуй, сцена- рием ее использования можно считать построение социальных схем и групп делового общения. Компания Web Control при создании и развитии PAM-системы sPACE сле- довала запросам клиентов и отзывам потребителей. Это концептуально пере- вело продукт из ИБ-инструментов в ИТ-инструмент и позволило формали- зовать повседневные действия ИТ-пер- сонала, что, по отзывам клиентов, стало дополнительным бонусом от внедрения sPACE PAM. Что хочет ИБ, когда говорит о контроле пользователей? PAM-системы лежат на стыке ИБ и ИТ: они обеспечивают централизован- ный безопасный доступ к ресурсам для ИТ и контроль пользователей для ИБ, но что именно нужно ИБ от такого контроля? С точки зрения информа- ционной безопасности, системы управ- ления привилегированным доступом – это прежде всего контроль админи- страторов. Что значит контроль адми- нистраторов? Это решение трех задач. Во-первых, безопасники хотят быть уверены, что не произошло подмены пользователей. Пока ИТ-ресурсы функ- ционируют в штатном режиме, потреб- ности в контролирующей системе нет. Но если возникает проблема, то нужен инструмент, который позволит провести расследование и понять, что произош- ло. Часто этого сделать нельзя, поскольку администратор использует общую учетную запись или авторизо- вался под именем другого пользова- теля. Для минимизации угрозы подмены пользователей PAM разделяет персо- нальную учетную запись пользователя и привилегированную. Для персональ- ной нужна система строгой аутентифи- кации, в то время как привилегирован- ная учетная запись администраторам неизвестна, PAM ее использует при запуске сеанса доступа. В таком случае доступ к системам в обход PAM невоз- можен, что исключает несанкциониро- ванный привилегированный доступ. Разделение учетных записей должно решить еще одну вспомогательную задачу контроля – сделать невозмож- ным или крайне затруднительным непо- средственный доступ к базам данных или информационным системам. Во-вторых, безопасники хотят знать, что администраторы делают, и быть увереными, что последние не выпол- няют запрещенных действий. Приви- легированные пользователи обладают большими правами, соответственно, их действия могут оказать существенное негативное влияние на работу баз дан- ных, серверов, всей ИТ-инфраструкту- ры в целом. В компании работают привилегиро- ванные пользователи с разным уровнем доверия. Некоторые администраторы добавляют и редактируют пользовате- лей в системе, другие действуют по строго определенным сценариям рабо- ты, есть администраторы с более широ- кими привилегиями и высоким уровнем квалификации. PAM-система должна учитывать уровень доверия к привиле- гированному пользователю и наделять его правами в соответствии с этим уровнем. У обычного администратора не должно быть прав на исполнение PAM – строим вместе ороший продукт – это всегда плод совместных усилий производителя и пользователей. Чтобы продукт был успешным и востребованным, им должны пользоваться, давать обратную связь, и производитель должен реагиро- вать на нее. Только тогда он станет по-настоящему полез- ным, конкурентоспособным, будет расти и развиваться. Х Василий Окулесский, вице-президент по информационной безопасности ЦМРБанка Андрей Акинин, генеральный директор Web Control