Журнал "Information Security/ Информационная безопасность" #4, 2024

• 57 КОНТРОЛЬ ДОСТУПА www.itsec.ru потенциально деструктивной команды, например "format c:", и все действия должны фиксироваться для последую- щего расследования инцидентов. В идеале у пользователя должна быть возможность действовать только правильным образом, и полагаться только на интуицию здесь опасно. Если использовать аналогию, то дорожное движение осуществляется по проло- женным дорогам, четко регламентиру- ется правилами и контролируется каме- рами на каждом перекрестке. На любом участке дороги водитель знает, куда он может свернуть, разрешено ли ему двигаться и с какой скоростью. А в особо опасных местах, например, на автомагистралях, у него нет самой физической возможности выехать на встречную полосу благодаря ограничи- телям. Даже знание о том, что действия фиксируются, сильно дисциплинирует. Принцип "запрещено все, что не раз- решено" решает, как минимум, две дополнительные задачи. 1. Конечное число разрешенных про- цессов повышает уровень понимания ИТ-задач офицерами ИБ. 2. Действия ИТ-администраторов в чрезвычайных случаях становятся более предсказуемыми. Правда, полноценное их решение возможно только при полном понима- нии со стороны ИТ и ИБ того, что их цель – защита интересов компании, а не решение своих собственных местеч- ковых задач. В-третьих, подразделение ИБ должно контролировать назначение и измене- ние прав привилегированных пользо- вателей. Для того чтобы это сделать, необходима достаточно детализиро- ванная карта технологических процес- сов обслуживания ИТ. Она позволяет четко определять ролевые модели доступа: системы, к которым человек должен иметь доступ, уровень доступа, способ получения доступа и, возможно, перечень запрещенных команд при реа- лизации конкретной задачи. Наличие необходимого и достаточного набора ролевых моделей – залог успеха внед- рения PAM. Создание такого набора требует глубокого понимания ИТ-про- цессов и вовлечения и ИБ-, и ИТ-спе- циалистов. Процессы могут меняться, и здесь на помощь приходит вендор или интегра- тор, если PAM-система позволяет адап- тировать сценарии самостоятельно. При этом мы всегда должны помнить, что представители вендора или интеграто- ра – не только наши друзья и помощ- ники, но в первую очередь – это группа пользователей наибольшего риска, и их действия должны находиться под очень жестким контролем. Внедрение РАМ должно решить и эту дополни- тельную задачу. Вендоры и интеграторы являются первыми в очереди на конт- роль, возможно, даже более приори- тетными, чем ИТ-администраторы. Многие аспекты контроля пользова- телей вызывают стандартную кон- фликтную ситуацию ИТ и ИБ: все, что безопасно, по мнению ИТ, неудобно. Ключ в общем доступе и отсутствие камер наблюдения – это удобно и недо- рого. Однако, если произошел инци- дент, то как администратору доказать свою непричастность? И запись дей- ствий, а тем более персональные ключи, здесь могут помочь. Всегда полезно вспомнить, что ИТ и ИБ решают свои задачи не для себя, а для защиты интересов компании в целом. Такое понимание общности целей – необходимое условие успешного внед- рения как РАМ, так и любых средств защиты, но РАМ это демонстрирует наиболее выпукло. Формализация повседневных действий ИТ-персонала и создание сценариев их работы При внедрении РАМ как инструмента ИТ можно использовать опыт построе- ния систем инцидент-менеджмента, в которых родство ИТ и ИБ наиболее проявляются. Так, при создании систе- мы реагирования, каждому инциденту назначается свой playbook с прописан- ными действиями, что позволяет стан- дартизировать процесс. Подобную практику можно использо- вать и при внедрении PAM, тогда значи- тельно упрощается его внедрение. А побочным результатом внедрения PAM станет разработка стандартных регла- ментов, создание сценариев работы ИТ-персонала, подготовка протестиро- ванных скриптов и программ, которые можно использовать в нужный момент. ИТ-службы попутно получают следую- щие преимущества: l работа администратора становится прозрачной и понятной, в то же время хорошо документированной, что поз- воляет проводить расследования, поиск ошибок и исправление как сценариев, так и систем; l снижается трудоемкость рутинных операций, причем чем больше систем находится под управлением, тем замет- нее и ощутимее эффект снижения тру- доемкости; l при грамотно описанных сценариях снижаются требования к персоналу, и уже начинающие администраторы могут выполнять работу под контролем – это позво- ляет снизить затраты на персонал и облегчает поиск специалистов. Как выбрать PAM-систему? Хороший PAM-инструмент получится только тогда, когда вендор и пользова- тели объединяют свои знания, опыт, готовы ими делиться, нацелены на один результат, налажен канал взаимодей- ствия и механизм учета обратной связи, а система является условно открытой. Чтобы система стала рабочей, она должна работать, набивать шишки, смотреть под ноги, искать либо более безопасные маршруты, либо повышать "проходимость". Совершенно очевидно, что как бы ни был хорош вендор, пока пользователь не набьет определенную массу шишек, не "наедет" из-за них на производителя, пока они вместе не найдут середину у "безопасно-удобно", решение не будет развиваться и совершенствоваться. Поэтому система должна быть условно открыта, чтобы ее можно было моди- фицировать при получении обратной связи от заказчика. Если добавилось новое оборудование или появилось новое ПО, к которому нет стандартного коннектора, то должна быть возмож- ность организовать доступ через PAM хотя бы в режиме прохода. Функциональность должна быть такой, чтобы не возникало потребности обходить систему или внедрять PAM частично для доступа только к крити- ческим ресурсам. Учитывая степень связности ИТ-систем в компании, пре- доставление доступа к новой системе, интегрированной с защищенными ста- рым системами, – это нарушение ИБ. Классический пример – атака через цепочку поставщиков. Еще раз необходимо подчеркнуть, что современный PAM – это не столько инструмент безопасности, сколько ИТ- инструмент, который должен непре- рывно развиваться не только эволю- ционно, но и, если это необходимо, революционно, следуя актуальным потребностям отрасли. sPACE PAM следует именно этим принципам. Для этого должна выстраи- ваться система постоянного взаимо- действия, эффективная обратная связь между разработчиками и потребителя- ми. Разработка от интересов заказчика есть выражение клиентоориентирован- ного подхода. Хороший PAM – это PAM, которым пользуются. l Как результат, мы получаем оптими- зацию деятельности ИТ-служб и, определенно, экономический эффект, а также повышаем уровень ИТ-зрелости компании. АДРЕСА И ТЕЛЕФОНЫ WEB CONTROL см. стр. 62 NM Реклама Таким образом, PAM – это не систе- ма для ИБ, а система для повыше- ния безопасности администраторов, которые на самом деле и являются основными пользователями и бене- фициарами внедрения PAM. Поэтому при внедрении PAM нужно думать прежде всего о них.