Вы хоть раз задумывались, сколько аббревиатур «обеспечивают защиту» ИБ-инфраструктуре? DLP, SIEM, SOAR, IRP, IDS, NGWF, MFA и другие.
А еще вы наверняка слышали про PAM и про «братьев» его – PIM и PUM. Эти понятия относятся к одному классу решений, но PAM стал самым популярным из них. Он включает в себя все процессы по управлению привилегированным доступом. Поэтому возьмем за основу именно это определение и разберемся, что это такое.
Кстати, есть еще одна интересная аббревиатура – СКДПУ НТ. Только это уже PAM-решение «АйТи Бастион». Познакомиться с расшифровкой аббревиатуры и продуктом можно здесь.
Три загадочные буквы
На самом деле, ничего загадочного. PAM (Privileged Access Management) – система, которая обеспечивает контролируемый удаленный доступ привилегированных пользователей к инфраструктуре компаний. Ее главная задача – не допустить получения злоумышленником доступа к ИТ-инфраструктуре (а если все-таки этот доступ получен – зафиксировать инцидент, пресечь дальнейшие действия и дать полную проанализированную картину происходящего). Именно PAM помогает отследить, чем привилегированные пользователи занимаются в системе, выявить их аномальное поведение и провести предварительный анализ их действий.
Пользователями с привилегиями могут быть как внутренние системные администраторы и специалисты по безопасности (да, «своим» тоже не стоит доверять безусловно), так и внешние поставщики услуг – подрядчики, которые удаленно управляют системами или обслуживают их. Ошибочные или злонамеренные действия таких ИТ-специалистов зачастую и становятся причиной утечки конфиденциальной информации.
Теперь о пользе
Представьте, что в инфраструктуру вашей компании пробрался злоумышленник, получив доступ к привилегированной учётной записи. Как мы писали выше, совсем не важно, «свой» это сотрудник или «чужак». Теперь вся власть в его руках, ведь у преступника есть доступ к ИТ-инфраструктуре и, потенциально, к критически важным системам. Он может установить вредоносное ПО, украсть конфиденциальную информацию, внести критичные изменения в ИТ-контур или, например, получить расширенный доступ к другим системам и использовать его, чтобы «затирать» следы своего присутствия. Как с такими действиями помогает бороться PAM?
Контроль сотрудников осуществляется в рамках концепции нулевого доверия (zero trust). PAM-решение «выдает» пользователю доступ либо на конкретный промежуток времени, либо на неопределенный срок. Также специалист получает ограниченный набор доступов (с заранее выданными привилегиями), который необходим для его работы здесь и сейчас (подход Just-in-Time). Как говорится, ничего лишнего.
Привилегированные пользователи авторизуются через специальный защищенный шлюз. Контроль их действий осуществляется за счёт идентификации сессий и максимального разбора текстового, файлового и графического набора данных. Система ведет запись сеансов, то есть наблюдает за всеми действиями пользователей и регистрирует их. PAM в реальном времени уведомляет о любых попытках подключения к устройствам, определенным как критичные, успешных и неудачных попытках входа, а также нехарактерных для данного пользователя действиях и вызове программ. Тем самым призывает обратить внимание на аномалии в поведении пользователей. То есть система способна автоматически анализировать действия и выявлять инциденты. Также PAM составляет сводные отчеты об активности пользователей, чтобы при необходимости использовать их при расследованиях.
Чуть больше о механизмах контроля доступа со стороны PAM-системы на примере СКДПУ НТ мы писали здесь.
И главный вопрос: возможна ли жизнь без PAM?
Конечно, возможна. Как и без любого другого средства защиты ИТ-инфраструктуры. Можно верить, что обойдется. Можно считать, что и без PAM «нас неплохо кормят». Только такая игра не стоит свеч, ведь на кону – функционирование целых организаций.
Человеческий фактор – основная причина утечек критических данных. Всегда стоит помнить о том, что неконтролируемые полномочия пользователей и их действия = риски для ИБ-инфраструктуры любой компании.
Поэтому помните, что PAM поможет вам!