Топ-3 ошибок при внедрении системы PAM

Российские решения класса PAM (Priveleged Access Management) активно развиваются: появляются новые системы, наращивается функциональность, увеличивается совместимость со смежными классами систем. Редакция журнала “Информационная безопасность” попросила разработчиков и интеграторов PAM поделиться видением и опытом по наиболее актуальным вопросам.

Участники:
Андрей Акинин, генеральный директор Web Control
Даниил Гусаров, инженер информационной безопасности АО “ДиалогНаука”
Артем Ильин, ведущий менеджер по техническому сопровождению продаж NGR Softlab
Константин Родин, руководитель направления по развитию продуктов, АйТи Бастион
Артем Туренок, руководитель отдела технических решений АО “ДиалогНаука”

Назовите топ-3 ошибок при внедрении системы PAM, по вашему опыту.

Артем Ильин, NGR Softlab:

1. Внедрять решение сразу на всю инфраструктуру. Нужно разделять: сначала подключать к PAM небольшие сегменты сети и/или информационные системы, постепенно включая все больше пользователей.
2. Включать систему сразу и безальтернативно. Если у пользователей еще нет навыков использования PAM, то одномоментно образуется много вопросов по эксплуатации. Поэтому важно интегрировать ее постепенно.
3. Внедрение без интеграции с SIEM или ожидание, что РАМ устранит все проблемы. По опыту, PAM – это дополнительный блок в сложном механизме информационной безопасности компании и оставлять его без связей с другими системами ИБ опасно.

Артем Туренок, ДиалогНаука:

1. Отсутствие документа "Матрица доступа", описывающего учетные записи (УЗ) пользователей, привилегированные УЗ, целевые системы, протокол подключения.
2. Отсутствие интеграции решения PAM с системами контроля сетевого доступа (контроль сетевого доступа с Jump-серверов не осуществляется).
3. Отсутствие точного понимания параметров, вроде количества сессий в час, что влияет на сложность подготовки архитектурного решения системы.

Андрей Акинин, Web Control:

1. С точки зрения безопасности ИТ главная ошибка при внедрении PAM – это частичное внедрение, когда PAM закрывает только часть каналов управления ИТ-инфраструктурой и системами. Это как поставить забор на охраняемой территории только с одной стороны.
2. Внедрение системы через выкручивание рук ее пользователям – айтишникам. Это приводит к активному противодействию, ведь айтишники найдут способ работы в обход системы.
3. Выбор наиболее известной системы с максимальным функционалом, а не той, которая подходит под конкретные задачи заказчика. Как правило, внедрение такой системы затягивается, а имеющийся функционал используется лишь частично. При этом стоимость такой системы иногда на порядок выше.

Даниил Гусаров, ДиалогНаука:

1. Неправильная реализация управления доступом на основе ролей приводит к предоставлению чрезмерных привилегий отдельным лицам или группам, что может привести к несанкционированному доступу и утечке данных.
2. Отсутствие регулярной проверки и обновления средств контроля доступа, оставление устаревших разрешений и повышение риска внутренних угроз.
3. Недостаточное обучение системных администраторов и других заинтересованных лиц, приводящее к неправильному пониманию цели и области применения системы PAM и способам ее эффективного использования.

Константин Родин, АйТи Бастион:

1. Отсутствие понимания, зачем систему внедряют: есть только задача внедрить, без установки цели. В результате PAM контролирует не те доступы, а действительно критичные системы имеют "запасной вход" или просто не контролируются.
2. Цель и плюсы системы не были объяснены пользователям, из-за чего возникают конфликты и внутренний саботаж. Цель PAM – не банальная слежка, а повышение безопасности и прозрачности процессов. Иногда пользы для пользователей больше, чем для контролеров.
3. Переусложнение политик доступа на этапе проектирования: хочется контролировать всех и точечно, но часто выработанные требования оказываются весьма далеки от реальных процессов.