| В последнее время вопрос защиты критических данных в организациях становится все более актуальным. Особенно эту проблему обострила возрастающая популярность удаленной работы, что значительно повышает риск утечки информации. | |
 |
Сергей Мирзоян Специалист направления информационной безопасности Группы компаний «Борлас» |
Все больше компаний стремятся обезопасить критические для себя данные, применяя разные организационные методы, такие как разграничение прав доступа по ролям и тому подобные. Но это в целом не решает проблему, а лишь ее минимизирует.
Нередко утечки конфиденциальной информации происходят попросту из-за пресловутого человеческого фактора, когда сотрудники не соблюдают «цифровую гигиену». Здесь может иметь место злой умысел или банальное незнание правил кибербезопасности.
Чтобы это предотвратить, у руководителей организаций возникает потребность в инструменте, позволяющем не только отслеживать действия пользователей, но и гибко настраивать их права доступа. Для задач, связанных с контролем работы привилегированных пользователей, помогут специализированные решения, о которых далее и пойдет речь.
Что такое PAM?
PAM (Privilege Access Management) — это совокупность решений для обеспечения мониторинга и контроля учетных записей сотрудников с высоким уровнем доступа к конфиденциальной информации. Это могут быть руководители IT-подразделений, системные администраторы, специалисты сторонних организаций, осуществляющих поддержание жизнеобеспечения внутренней инфраструктуры организации. Помимо аббревиатуры «PAM», для обозначения этого класса решений употребляются и другие наименования:
- Privileged User Management (PUM) - Управление привилегированным доступом;
- Privileged Identity Management (PIM) - Управление привилегированными идентификационными данными;
- Privileged Password Management (PPM) - Управление привилегированными паролями;
- Privileged Account Security (PAS - Безопасность привилегированной учетной записи).
PAM предназначен для снижения рисков от несанкционированного доступа к учетным записям привилегированных пользователей. Это пользователи, которые имеют доступ к конфиденциальным данным компании, а также те пользователи, которым требуется временный привилегированный доступ, в рамках проекта или проверки, например.
Всем ли нужен PAM?
PAM – это достаточно дорогостоящее решение. Как правило, его используют крупные компании с большим штатом ИБ и ИТ-специалистов. Помимо этого, для обеспечения работы PAM требуется технически развитая инфраструктура, которая, в свою очередь, требует дополнительных затрат.
Однако сейчас идет тренд на внедрение подобных решений в облачные инфраструктуры организаций. Это не только снимет вопросы, связанные с эксплуатацией оборудования, но и уменьшит конечную стоимость самого PAM, что обеспечит доступность этого класса решений.
Российские решения
Российский рынок представлен рядом решений класса PAM.
Zecurion PAM – российское решение, обеспечивающее единую точку входа в систему, что является незаменимым вариантом для внутренней корпоративной сети. Применяется, чтобы управлять привилегированными аккаунтами, а также осуществлять мониторинг всех действий, которые проводятся с такими учетными записями в различных приложениях и в различных ОС. Предусмотрена возможность централизованного управления всеми компонентами через веб-интерфейс. Система ведет запись всех действий сотрудников, в том числе параметров входа, отправленных команд, а также позволяет демонстрировать экран пользователя в режиме онлайн и производить видеозапись. Стабильная защита осуществляется на всех уровнях информационной системы. Модульная организация позволяет «набрать» подходящие продукты для решения конкретных задач.
Ключевые функции:
- Платформонезависимость:
- Современная консоль управления;
- Простой процесс установки и настройки;
- Удобные отчеты;
- Гибкое управление доступом;
- Агентонезависимая технология;
- Контроль каналов для протоколов SSH и RDP.
SafeInspect от компании «НТБ» обеспечивает дополнительную авторизацию привилегированных пользователей и запись их действий, дополнительное разграничение полномочий (особенно для администраторов, использующих общие аккаунты суперпользователя - например, root).
Среди преимуществ этого решения:
- Мониторинг привилегированных сессий, в том числе с детальным разбором протоколов SSH и RDP, поддержкой HTTP/HTTPS и Telnet-соединений;
- Протоколирование в текстовый журнал и видеофиксация действий пользователей с быстрой индексацией архива;
- Собственное хранилище паролей с возможностью автоматической ротации ключей;
- Система гранулированного доступа, позволяющая гибко настраивать правила и сценарии работы для любых категорий привилегированных пользователей — собственных сотрудников, подрядчиков и аудиторов. Разделение доступа по ресурсам, расписанию и разрешенным операциям;
- Механизм подстановки собственных токенов авторизации. SafeInspect перехватывает аутентификацию пользователя и авторизуется на целевом ресурсе при помощи собственных ключей и паролей. Такой принцип исключает возможность обхода системы и несанкционированного доступа;
- Удобство интеграции со сторонними IPS-, DLP- и SIEM-решениями, в частности, с российскими.
В высококритичных инфраструктурах можно реализовать отказоустойчивую и масштабируемую инфраструктуру SafeInspect с использованием технологий «холодного» (hot-standby) резервирования, кластеризации (оба устройства в работе) и с помощью размещения нескольких коллекторов в разных местах инфраструктуры, обеспечивая тем самым надежный доступ привилегированных пользователей к контролируемой архитектуре даже в случае отказов единичных шлюзов.
Зарубежные решения
На российском рынке также доступны и зарубежные PAM-решения.
Senhasegura PAM – бразильский разработчик ПО для управления привилегированными пользователями. Имеет высокие оценки решения в KuppingerCole и Gartner. Решение предоставляет комплексную платформу для управления привилегированными пользователями:
- Хранение и управление паролями, обнаружение учетных записей, SSH ключей, SSL сертификатов;
- Контроль подрядчиков и администраторов по протоколам RDP\SSH\HTTP(s)\X11\VNC и тд;
- Поведенческий анализ;
- Управление привилегиями пользователей и запускаемыми приложениями;
- Управление секретами DevSecOps.
Krontech – турецкий производитель PAM-решений. Компания была основана в 2008 году и имеет свое представительство в России.
Поддерживает следующий функционал:
- Управление доступом пользователей:
- Многофакторная аутентификация с помощью Android и iOS приложений ОТР (одноразовые пароли)
- Управление аккаунтами для общего доступа
- Управление жизненным циклом паролей
- Работа в сети при полной идентификации пользователей
- Аналитика:
- Поддержка оптического распознавания символов (OCR)
- Анализ действий пользователей
- Отчетность и аудит:
- Логирование и запись сессий по протоколам SSH, RDP, HTTP/S, SFTP
- Технологическая поддержка:
- Автоматизация процессов обнаружения сетевых устройств и серверов
- Полная поддержка протоколов TACACS+ и РАДИУС
- Поддержка Multi-tenancy (разделение на «тенантов» - разные организации)
- Интеграция:
- Поддержка всех современных версий ОС UNIX, LINUX, WINDOWS
Принцип работы:
Схема работы:
Какое решение выбрать?
Каждое из представленных решений обладает своими достоинствами и особенностями. Выбор подходящего решения должен прежде всего базироваться на задачах и условиях, которые стоят перед Вашим бизнесом.
Предлагаем сравнительную таблицу:
|
Параметр сравнения |
SafeInspect |
Zecurion PAM |
Senhasegura PAM |
Krontech |
|
Наличие в Росреестре |
Да |
Да |
Да |
Да |
|
Сертификаты |
ФСТЭК, ФСБ |
ФСТЭК |
- |
- |
|
Целевой сегмент |
Крупный бизнес, Средний бизнес, Государственный сектор |
Крупный бизнес, Средний бизнес, Государственный сектор |
Крупный бизнес, Средний бизнес, Фриланс, Производство |
Крупный бизнес, Средний бизнес, Малый бизнес, Фриланс, производство |
|
Интеграция с системами класса IDS/IPS
|
Да |
Нет |
Нет |
Нет |
|
Облачный сервис |
Нет |
Нет |
Да |
Да |
|
Поддерживаемые ОС |
Windows, Linux, Free BSD, AIX
|
Windows
|
Windows, Linux (Red Hat, Ubuntu, Fedora, CentOS)
|
Windows, Linux
|
|
Поддерживаемые СУБД |
Oracle
|
Oracle |
Oracle, Microsoft SQL, MySQL |
Oracle, Microsoft SQL |
Зарубежные решения не подходят для Госсектора. Тем не менее они ориентированы на большую аудиторию, включающую в себя как крупный, так и малый бизнес, а также имеют более широкий диапазон технических возможностей.
Для государственных предприятий, а также для предприятий, связанных с выполнением госзаказов, подойдут российские решения, поскольку здесь важно наличие сертификатов, выданных соответствующими организациями (ФСТЭК, ФСБ).
В целом, РАМ-решения полезны не только с точки зрения защиты информации, но и с точки зрения расследования инцидентов безопасности, что только повышает ценность этого класса решений. Поэтому так важно ответственно подходить не только к выбору самого РАМ-продукта, но и к квалификации сотрудников, эксплуатирующих эту систему.