В современных условиях компании различных отраслей деятельности сталкиваются с необходимостью решения множества задач по обеспечению безопасности данных. После пандемии коронавируса возросла потребность в расширенном использовании удалённого доступа к корпоративным сетям, что создало новые вызовы для кибербезопасности. В результате администраторы и пользователи с особыми полномочиями могут скрывать свои действия, включая несанкционированные, что представляет угрозу для безопасности всех информационных систем организации.
Сценарии вторжения могут возникать как из-за непреднамеренных ошибок, так и по злому умыслу. Действия привилегированных пользователей способны привести к нарушению функционирования информационных сервисов и систем компании. Присутствие в информационной системе пользователей с расширенными или неконтролируемыми полномочиями создает дополнительные угрозы ИБ. Это повышает вероятность утечки информации или взлома аккаунтов злоумышленниками, что ставит под угрозу всю информационную инфраструктуру организации.
Редакция CISOCLUB решила поговорить с экспертами отрасли на тему управления привилегированными пользователями. Мы спросили их про основные технологии и процессы, применяемые для эффективного управления привилегированными пользователями, про ключевые риски и проблемы, связанные с этим процессом, про пересмотр и обновление привилегий пользователей, а также задали множество других вопросов. С нами пообщались:
- Алексей Исаев, руководитель направления технического сопровождения проектов NGR Softlab.
- Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC.
- Артем Назаретян, руководитель BI.ZONE PAM.
- Глеб Верди, Специалист по ИБ «Астрал.Безопасность».
- Дарья Сафонова, руководитель направления отдела развития бизнеса информационной безопасности компании Axoft.
- Дмитрий Орленок, менеджер по развитию бизнеса Центра технологий кибербезопасности ГК «Солар».
- Дмитрий Михеев, технический директор компании «АйТи Бастион».
Какие примеры известных инцидентов безопасности связаны с недостаточным управлением привилегированными пользователями?
Дарья Сафонова, руководитель направления отдела развития бизнеса информационной безопасности компании Axoft:
«Не будет преувеличением сказать, что фактически все громкие инциденты информационной безопасности связаны с недостатками в управлении привилегированными пользователями: злоумышленнику, попавшему в сеть, требуется завладеть учетной записью с достаточным объемом привилегий или повысить привилегии имеющейся – для последующего горизонтального перемещения и достижения цели атаки.
Инсайдеру, который решил похитить, например, базу данных клиентов у уже нелюбимого работодателя либо хватает привилегий это сделать, или он находит способ повышения привилегий (возможно, воспользовавшись учетной записью коллеги, которая была записана на стикере рядом с монитором). Всё это – примеры недостаточного управления привилегированными пользователями».
Дмитрий Михеев, технический директор компании «АйТи Бастион»:
«Например, в России это:
· 2016 год, инцидент со Сбербанком. Сотрудники посредством привилегированного доступа скопировали и продали конфиденциальные данные клиентов, что привело к значительным утечкам личной информации.
· 2017 год, атаки на крупные банки через систему SWIFT. Киберпреступники, используя учетные записи с повешенными правами, провели незаконные переводы через систему SWIFT в российских банках, что привело к крупным финансовым потерям.
· 2021 год, инцидент с Яндекс.
За границей — 2018 год, инцидент с концерном Tesla. Недовольный сотрудник с привилегированным доступом изменил код операционной системы и экспортировал конфиденциальные данные, что привело к финансовым и репутационным потерям».
Какие ключевые технологии и процессы используются для реализации эффективного управления привилегированными пользователями и как они работают на практике?
Алексей Исаев, руководитель направления технического сопровождения проектов NGR Softlab:
«Когда речь заходит об эффективном управлении привилегированными пользователями, на практике это означает использование нескольких ключевых технологий и процессов, которые реально помогают поддерживать высокий уровень информационной безопасности.
В первую очередь, это создание учетных записей пользователей. Система должна уметь централизованно управлять учетными записями, иметь возможность загружать их из внешних служб каталогов или предоставлять API для управления внешним системам, например IDM. Актуальный, правильно сформированный список пользователей с корректным распределением по группам помогает эффективно выстраивать как ролевую модель, так и политику доступа. Это позволяет сделать процесс администрирования и эксплуатации системы более простым, прозрачным и безопасным.
Кроме того, в базовый функционал всех РАМ-систем встроен механизм работы с паролями и секретами, в котором настраиваются политики доступа, парольные политики, ответственные менеджеры и другие механизмы или сценарии использования. Наиболее безопасным является сценарий, при котором администратор системы не знает пароль от привилегированной учетной записи: оказавшись рядом с сервером логически или физически, он не сможет авторизоваться в обход PAM-системы.
Еще один важный аспект — управление активными сессиями, их мониторинг и логирование (в том числе про это расскажем на вебинаре 22 августа). Для предоставления доступа и построения сессий к конечным системам должны использоваться все доступные в решении механизмы, например список доступных для подключения систем и учетные записи на этих системах, список разрешенных или запрещенных команд или список доступных действий. Чем слабее настроена политика, тем менее эффективно работает система. Запись и мониторинг сессий привилегированных пользователей позволяют вести аудит в реальном времени или анализировать их позже. Это не только помогает выявить подозрительные действия, но и предоставляет ценные данные для расследования инцидентов ретроспективно.
Также для дополнительного повышения уровня безопасности используется многофакторная аутентификация (MFA). Каждый раз, когда кто-то пытается войти в систему или подключиться к целевому серверу, ему необходимо подтвердить свою личность с помощью OTP-токена или SMS-кода. Это значительно усложняет задачу потенциальным злоумышленникам и косвенно может защищать даже скомпрометированные учетные записи».
Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC:
«Наиболее эффективным решением для контроля привилегированных пользователей являются системы класса Privileged Access Management (PAM), которые сочетают в себе ряд технологий, обеспечивающих комплексный подход:
· Управление учетными записями. РАМ разделяет учётки пользователей и аккаунты для доступа к целевым системам. Пользователи подключаются к РАМ при помощи персонализированных учетных записей, которые могут быть заданы локально в системе либо получены путем интеграции, например, при помощи LDAP. Далее РАМ проверяет права пользователя и предоставляет ему список доступных ресурсов, подключение к которым РАМ выполняет от своего имени при помощи учетных записей, имеющих отношение к целевым системам.
· Многофакторная аутентификация. Система обеспечивает надежную аутентификацию пользователей при помощи дополнительных методов, таких как одноразовые коды или смарт-карты.
· Системы управления паролями. Платформа управления привилегированным доступом автоматизирует создание, хранение и ротацию паролей для целевых систем, тем самым снижая нагрузку административного персонала.
· Управление сессиями. РАМ реализует контроль сессий пользователей путем ввода ограничений, таких как продолжительность, автоматическое завершение по тайм-ауту и контроль действий пользователя внутри сессии. К примеру, сотруднику может быть запрещено вводить определенные команды либо разрешено использовать их только из «белого» списка.
· Мониторинг и аудит. Система ведет запись сессий, введенных команд и действий пользователей, что значительно облегчает процесс расследования инцидентов. При помощи журналов РАМ будет легко установить кто выключил, например, сервер или коммутатор ядра сети.
Таким образом, РАМ позволяет осуществлять всесторонний контроль и будет полезным не только для мониторинга собственных привилегированных пользователей, но и для управления доступом подрядчиков и внешних аутсорсеров. Кроме того, в нашей практике есть ряд внедрений РАМ в том числе для организации удаленной работы собственных сотрудников. Системы класса Privileged Access Management популярны на отечественном рынке – в нашем портфеле решений более 10 продуктов как российского, так и зарубежного производства».
Дмитрий Орленок, менеджер по развитию бизнеса Центра технологий кибербезопасности ГК «Солар»:
«Для реализации эффективного управления привилегированными пользователями используется несколько классов решений — PAM, MFA, NGFW, DLP, UEBA, SIEM, Антивирусы, IdM/IGA-системы.
· PAM выступает как единая точка входа для администраторов, фиксирует передачу данных и действия привилегированных пользователей и анализирует их на предмет соответствия политикам ИБ.
· Связка MFA + PAM обеспечивает централизованную аутентификацию пользователей.
· NGFW обеспечивает защиту от сетевых атак и предотвращает доступ к защищаемым ресурсам, расширяя возможности PAM-систем.
· DLP в связке с PAM обеспечивает контроль выгружаемых файлов и выявляет утечки конфиденциальной информации.
· Антивирусы в связке с PAM проверяют загружаемые файлы на наличие вредоносного ПО.
· SIEM и UEBA в связке с PAM обнаруживает аномальную активность привилегированных пользователей и выявляет индикаторы вторжения.
· IdM/IGA-платформы в свою очередь обеспечивают единообразное согласование и управление доступом по заявкам, на определенный срок, при этом реализует своевременный пересмотр прав доступа».
Дмитрий Михеев, технический директор компании «АйТи Бастион»: «Ключевые технологии и процессы для управления привилегированными пользователями:
1. PAM (Privileged Access Management). Управляет доступом, предоставляя временные учетные данные и записывая действия для аудита.
2. MFA (Multi-Factor Authentication). Требует несколько форм подтверждения личности, снижая риск несанкционированного доступа.
3. PoLP (The Principle of Least Privilege). Принцип наименьших привилегий, который ограничивает права доступа только необходимыми задачами.
4. Zero trust. Концепция, подразумевающая физическую и логическую сегментацию доступа, а также повсеместное применение средств безопасности, в том числе внутри периметра компании.
5. Мониторинг и запись сессий. Запись сессий для анализа и обнаружения подозрительных действий.
6. Регулярные аудиты и проверки соответствия. Проверка соответствия политикам и нормативам безопасности, выявление уязвимостей.
7. Кадровая политика и обучение (повышение общей осведомленности по ИБ).
На практике эти технологии и процессы работают в комплексе, создавая многоуровневую систему безопасности, которая в том числе защищает критические ресурсы от злоупотреблений привилегированными доступами».
Как многофакторная аутентификация интегрируется в системы управления привилегированным доступом и какие примеры успешной интеграции вы можете привести?
Дмитрий Михеев, технический директор компании «АйТи Бастион», уверен, что для защиты информации системы требуют от пользователя аутентификации и авторизации доступа и действий. Для этого обычно используются пароли («что-то, что я знаю»), токены доступа («что-то, что у меня есть»), а также могут применяться средства биометрии («что-то, что я есть»). Применение нескольких разных факторов для одного сеанса доступа называется «многофакторной авторизацией».
Эксперт также отметил, что многофакторная аутентификация (MFA) интегрируется в системы доступа, в том числе в системы управления привилегированным доступом (PAM) путем добавления дополнительного уровня проверки личности пользователей, требующего несколько форм подтверждения (например, пароль и биометрия или пароль и одноразовый код). Такие интеграции успешно снижают риски подбора паролей, в свою очередь снижая риск несанкционированного доступа к критически важным ресурсам.
«Например, многие популярные сервисы для доступа кроме пароля требуют дополнительного подтверждения через push сообщения или sms. Это и есть дополнительный фактор безопасности, отправленный по отдельному каналу связи».
Глеб Верди, специалист по ИБ «Астрал.Безопасность», указал на то, что многофакторная аутентификация (MFA) является критически важным компонентом в системах управления привилегированным доступом (PAM). Ее интеграция в PAM-системы позволяет существенно повысить уровень безопасности за счет дополнительного слоя проверки личности пользователя.
«Интеграция многофакторной аутентификации (MFA) в системы управления привилегированным доступом (PAM) происходит следующим образом. Первоначально, когда пользователь пытается войти в PAM, он вводит свои учетные данные, такие как логин и пароль. После этого PAM отправляет запрос на сервер MFA для подтверждения дополнительного фактора аутентификации.
Сервер MFA, в свою очередь, отправляет пользователю запрос на второй фактор аутентификации, например, одноразовый пароль, SMS-код, push-уведомление в приложении или биометрический фактор. PAM ждет подтверждения от сервера MFA о том, что второй фактор был успешно пройден.
После успешной аутентификации с помощью MFA пользователь получает доступ к своим привилегированным учетным записям в PAM. PAM-система предоставляет доступ только после получения подтверждения от сервера MFA.
Все действия привилегированных пользователей записываются и анализируются для мониторинга и аудита. Информация о прохождении MFA фиксируется в журналах для последующего аудита, обеспечивая дополнительный уровень безопасности и прозрачности в управлении доступом».
Дмитрий Орленок, менеджер по развитию бизнеса Центра технологий кибербезопасности ГК «Солар», отметил, что для администраторов, как правило, используется более строгая аутентификация, защищающая от кражи паролей и методов социальной инженерии. Все современные PAM-системы используют как встроенные, так и внешние технологии MFA.
Какие основные проблемы и риски управления привилегированным доступом в облачных средах и как их можно минимизировать?
Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC, считает, что основным риском управления привилегированным доступом в облачных средах является тот факт, что ресурсы облака принадлежат сторонней организации, и в ряде случаев приходится использовать механизмы контроля облачного провайдера, о которых нет детальной информации. К примеру, если облачные ресурсы предоставляются как IaaS (Infrastructure as a Service), который является, по сути, арендой вычислительных мощностей, то возможно использовать систему класса РАМ аналогично собственной инфраструктуре.
В случае варианта SaaS (Software as a Service) провайдер предоставляет готовые сервисы, и здесь контроль пользователей чаще реализуется собственными механизмами провайдера. В этом случае необходима коммуникация с ним для уточнения параметров работы используемой системы контроля пользователей.
Дмитрий Михеев, технический директор компании «АйТи Бастион», заявил, что основная проблема облачных сред заключается в том, что вы (как пользователь) не полностью контролируете платформу, и не даром говорят, что облако – это «чужой компьютер». Вокруг вашего облачного ресурса есть гипервизор, на котором он работает и который полностью его контролирует. Между вами и вашими данными есть несколько слоев сетевых доступов, программного обеспечения и процессов поддержки, которые вы не выполняете сами, а покупаете – кто-то кроме вас имеет над ними контроль с привилегированным доступом.
«В облачных средах могут быть привилегированные учетные записи, которые могут быть уязвимы для атак, могут иметь ошибочную конфигурацию доступа, ведущую к несанкционированному доступу, отсутствие видимости и контроля. Это создает трудности в мониторинге и управлении доступом, а также сложность соблюдения нормативных требований, требующих соответствия множеству стандартов и регуляций.
Способы минимизации рисков – активное использование кодирования данных, разделения и обезличивания данных в хранении и использовании, использование PAM-решений для управления и контроля привилегированного доступа, внедрение MFA для дополнительной защиты учетных записей, регулярные аудиты и мониторинг для постоянного отслеживания и проверки привилегированного доступа, а также автоматизация управления конфигурациями для автоматической проверки и исправления настроек. Эти меры помогают повысить уровень ИБ и снизить риски в управлении привилегированным доступом в «облаках».
Какие методы и технологии наиболее эффективны для мониторинга и аудита действий привилегированных пользователей в режиме реального времени? Можете привести примеры?
Артем Назаретян, руководитель BI.ZONE PAM:
«Для мониторинга и аудита действий привилегированных пользователей в режиме реального времени необходимо применять целый комплекс технических и организационных мер защиты информации.
В целом для мониторинга и аудита можно использовать средства защиты информации известных и распространенных классов:
- межсетевые экраны и решения класса next-generation firewall для контроля и мониторинга сетевых соединений по административным протоколам;
- решения для защиты конечных узлов (endpoint protection platform или endpoint detection & response);
- серверы аутентификации — как контроллеры домена, так и решения для многофакторной аутентификации;
- системы предотвращения утечек (data leak prevention, DLP) и мониторинга активности рабочего времени персонала (employee monitoring products & services, EMPS);
- системы мониторинга и корреляции событий (security information & event management) и решения для выявления аномалий в действиях сотрудников (user behavioral analytics) (для дополнительного анализа собираемых логов и данных).
К сожалению, все эти решения применимы только в ограниченной форме и в узкоспециализированных сценариях. К примеру, DLP- и EMPS-решения, хотя и позволяют фиксировать действия пользователей в разных форматах, все же работают локально на рабочей станции или на целевом ресурсе. Эта особенность работы, в свою очередь, дает привилегированным пользователям возможность отключения или нейтрализации мер защиты.
Общепризнанным и наиболее эффективным подходом является применение специализированных решений — продуктов класса privileged access management (PAM), которые включают исчерпывающий набор технических мер для мониторинга и аудита действий привилегированных пользователей в самом продукте. При этом в архитектуре решений класса PAM предусмотрены специализированные меры, актуальные и наиболее эффективные как раз для привилегированных пользователей.
Например, в отличие от DLP-решений, PAM-решения находятся посредине между рабочей станцией привилегированного пользователя и целевым ресурсом. Запись действий пользователей в формате видео- и текстовых команд, как и хранение этой информации, происходит тоже на промежуточном ресурсе. Это защищает записи и само решение от воздействия со стороны привилегированного пользователя».
Дмитрий Орленок, менеджер по развитию бизнеса Центра технологий кибербезопасности ГК «Солар», подчеркнул, что это, в первую очередь, использование PAM-систем, которые ведут контроль по белым и черным спискам команд, фиксируют триггеры необычных действий пользователей (например попытки обхода PAM-систем через jump-хосты), контроль запуска команд и процессов, контроль передаваемых (внутрь и вовне) данных на содержание конфиденциальной информации и вредоносного ПО, поведенческий анализ. Примеры отечественных PAM-систем: Solar SafeInspect, СКДПУ НТ, Indeed PAM.
Дмитрий Михеев, технический директор компании «АйТи Бастион», рассказал, что наиболее эффективные методы и технологии для мониторинга и аудита действий привилегированных пользователей в режиме реального времени это:
1. SIEM-системы (Security Information and Event Management). Сбор и анализ данных безопасности в реальном времени.
2. PAM-решения с функцией мониторинга. Запись и анализ сессий привилегированных пользователей.
3. UEBA (User and Entity Behavior Analytics). Анализ поведения пользователей для выявления аномалий.
4. Мониторинг сети и трафика. Использование систем обнаружения и предотвращения вторжений (IDS/IPS).
По словам эксперта, эти технологии обеспечивают оперативное выявление подозрительной активности и защиту критических систем.
Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC, отметил, что для мониторинга и аудита действий привилегированных пользователей рекомендуется использовать специализированные системы класса Privileged Access Management (PAM), которые реализуют функционал не только контроля пользователей в реальном времени, но также ведут запись сессий, введенных команд и действий, что позволяет значительно облегчить процесс расследования инцидентов. К примеру, в случае подключения пользователей к целевой системе при помощи CLI РАМ создаст запись сессии в текстовом виде, а при подключении по RDP – проведет видеозапись. При этом современные системы РАМ способны распознать активность пользователя и будут записывать только действительно ценную информацию и исключать время, в течении которого сессия была неактивна, что положительно скажется на ресурсах хранилища и ускорит поиск момента возникновения инцидента.
Как часто следует пересматривать и обновлять привилегии пользователей, и какие процессы и инструменты могут это автоматизировать?
Дмитрий Орленок, менеджер по развитию бизнеса Центра технологий кибербезопасности ГК «Солар», убеждён, что это нужно делать при любых кадровых перемещениях, реорганизациях организационных структур и инфраструктуры, на регулярной основе хотя бы раз в полгода. Очень полезная практика – выдавать доступ в рамках конкретных задач, на ограниченный срок, особенно для внешних пользователей (администраторов, подрядчиков и т.д.) В этом может помочь заявочная система в самой PAM-системе и интеграция с IdM (предпочтительно), Service Desk.
Дарья Сафонова, руководитель направления отдела развития бизнеса информационной безопасности компании Axoft: «Если мы рассматриваем «лучшие практики», то следует придерживаться принципа минимально возможных привилегий и, если говорить шире – концепции нулевого доверия.
Я не призываю полностью отказаться от существования привилегированных пользователей (это достаточно утопично), но минимизация (как по времени, так и по объему) выдаваемых пользователю привилегий – очень хорошая идея, которая сокращает поверхность атаки и препятствует возможному перемещению злоумышленников по сети в случае компрометации учетной записи привилегированного пользователя. Если говорить про основные технические и административные средства – PAM, IAM, MFA, сегментация сети».
Дмитрий Михеев, технический директор компании «АйТи Бастион», уверен, что привилегии пользователей следует пересматривать и обновлять как минимум раз в 2-3 месяца и/или непосредственно при изменении ролей и обязанностей. Для автоматизации этого процесса на постоянной основе следует внедрить какой-либо ИБ-инструмент / процесс: например, IAM-системы (для автоматического обновления и пересмотра прав доступа), РАМ-системы (для регулярного аудита и управления привилегиями), политики управления жизненным циклом доступа (для предоставления, пересмотра и отзыва привилегий на основе ролей и сроков). Такие меры помогут поддерживать актуальность и безопасность доступа.
«Но надо понимать, что инструменты безопасности здесь только помощь и автоматизация рутины. От огрехов в логике процессов, планировании и управлении, в подготовке и подборе персонала они не спасут в 100% случаев».
Как сегментация сети и контроль доступа помогают повысить безопасность привилегированного доступа? Можете привести конкретные примеры?
Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC: «Использование системы класса Privileged Access Management (PAM) помогает повысить общий уровень безопасности путем минимизации следующих рисков:
- Пользователи имеют только свою персонализированную учетную запись. Они не обладают информацией об аккаунтах целевых систем и не смогут ими воспользоваться в обход РАМ.
- При подключении пользователи проходят многофакторную аутентификацию, которая позволяет удостовериться что человек действительно тот, за кого себя выдает.
- Сессии и действия пользователей контролируются, поэтому злоумышленник не сможет ввести запрещенную команду, что позволит снизить риск диверсий. Запись сессий ускорит расследование инцидентов.
Сегментация сети уменьшает площадь атаки при успешном проникновении в сеть. В случае компрометации какой-либо системы злоумышленник не сможет получить доступ в другие сегменты сети, тем самым ограничив вредоносное воздействие только одним. Для сегментации рекомендуется использовать межсетевые экраны класса Next-Generation Firewall (NGFW), которые обеспечивают глубокую проверку и контроль сетевого трафика. Межсетевой экран – обязательный элемент сетевой безопасности, поэтому каждый третий наш проект содержит в себе NGFW».
Дмитрий Орленок, менеджер по развитию бизнеса Центра технологий кибербезопасности ГК «Солар», уточнил, что сегментация сети позволяет разделить сеть на сегменты, ограничить каналы передачи данных, в том числе разграничить зоны ответственности администраторов. Средства, обеспечивающие сегментацию сети, могут обнаруживать и пресекать попытки обращения к защищаемым серверам в обход PAM-систем.
Дарья Сафонова, руководитель направления отдела развития бизнеса информационной безопасности компании Axoft, заявила, что сегментация и микросегментация сети – это отличный способ не только уменьшить возможную поверхность атаки, но и способ осознанно подходить к инвестициям в информационную безопасность, подбирать адекватные средства защиты. Смысл сегментации сети можно продемонстрировать на простом примере: на кораблях внутри корпуса используются переборки, позволяющие разделить объем на изолированные отсеки.
«Такой подход в том числе обеспечивает непотопляемость судна. Аналогично и в случае с ИТ-ресурсами компании: внедряя сегментацию, мы изолируем друг от друга отдельные сегменты сети, и наш «корабль» уже сложнее утопить. Добавляя к выбранным сегментам сети PAM-решение, мы обеспечиваем защищенный и контролируемый доступ к целевым ресурсам, а также препятствуем возможному горизонтальному перемещению злоумышленников внутри сети».
Дмитрий Михеев, технический директор компании «АйТи Бастион»: «Сегментация сети и контроль доступа – это базовые меры, с которых и начинается управление рисками ИБ. Разделение полномочий, инфраструктуры и данных на логические части делает их проще, понятнее и минимизирует риски ошибок конфигурации, снижает последствия несанкционированного или злоумышленного доступа в системы и распространения атак.
Этот подход на самом деле несложный и недорогой. Как правило, его можно начать реализовывать без привлечения специализированных средств и выделения дополнительного персонала, поэтому эти подходы рекомендуют как базовые меры по обеспечению безопасности.
Как можно это сделать? К примеру, выделить отдельные учетные записи для выполнения сервисных работ на разных информационных системах, чтобы сведения о доступах на одну систему не приводили к предоставлению доступа на другие. Выделите для этого учетные записи с минимально возможными правами, чтобы не раздавать права администратора высокого уровня доступа там, где это реально не требуется. Сократите количество людей, которые постоянно имеют высокие административные права и регулярно меняйте пароли учетных записей с высоким уровнем привилегий.
Разделить сетевую инфраструктуру физически или логически, с помощью VLAN (Virtual Local Area Network), разбив ее на отдельные сегменты, где критические системы будут разделены друг от друга, от внешнего мира и от других частей сети. Использовать межсетевые экраны, хотя бы и встроенные в ОС, для ограничения доступа к определенным сегментам сети, сделав его доступным только для авторизованных пользователей. Применять принцип минимального доступа (zero trust), когда каждый запрос на доступ требует авторизации, независимо от того, внутренний это запрос или запрос извне. Эти меры уже снизят риски безопасности, а в случае проблем – помогут ограничить последствия инцидента».
Как интеграция PAM с другими СЗИ может повысить общий уровень информационной безопасности организации?
Дмитрий Михеев, технический директор компании «АйТи Бастион», указал на то, что безопасность требует системного подхода и постоянного улучшения. Ни одно отдельное средство не обеспечит полного покрытия всех рисков в должной мере. Развитая архитектура безопасности не только контролирует много разных процессов и ресурсов, но и выстроена, как оборона «в глубину», от периметра и далее до конкретных конечных точек и сервисов. Интеграция разных средств защиты информации, таких как SIEM, DLP, PAM и IAM, позволяет создать более скоординированный и эффективный подход к безопасности. Такие интеграции позволяют усилить контроль, улучшить «видимость» угроз и своевременно реагировать на них, повышая общий уровень безопасности бизнеса.
«Поэтому наша компания поддерживает обширную сеть технологических партнеров и постоянно интегрирует их решения с нашими системами, обеспечивая тем самым высокую степень совместимости и непрерывное улучшение уровня ИБ».
Артем Назаретян, руководитель BI.ZONE PAM: «Современные PAM-решения включают множество функций, адаптированных под задачи защиты и контроля привилегированного доступа. Однако сами по себе PAM-решения могут быть серьезно усилены за счет иных средств защиты информации с помощью совместного применения или интеграции.
Например, решения для управления жизненным циклом учетных записей (identity management) могут быть интегрированы с PAM-решениями с целью автоматизации доставки учетных данных от привилегированных аккаунтов на PAM-решение, а также для последующей смены паролей.
В роли PAM-агента могут выступать специализированные продукты для реагирования на кибератаки на конечных узлах (endpoint detection & response), которые существенно расширяют возможности фиксации активностей пользователей и ограничения их действий на целевых ресурсах (к примеру, запрет запуска конкретных приложений).
Все собираемые PAM-решениями записи действий после их предварительной обработки могут быть переданы в решения для мониторинга и корреляции событий безопасности (security information & event management) или в решения для выявления аномалий действий сотрудников (user behavioral analytics). Такая интеграция позволяет выявлять сложные сценарии атак либо обнаруживать подозрительные паттерны активности со стороны привилегированных пользователей (например, несвойственное конкретному пользователю подключение в ночное время).
PAM-решения также могут участвовать в автоматизированном и автоматическом реагировании, инициированном со стороны платформы для управления инцидентами и для оркестрации решениями безопасности (incident management platform и security orchestration, automation and response).
Сценарии совместного применения особенно актуальны в случаях, когда требуется реализация непрофильной для решений класса PAM функциональности, например проверки на наличие вредоноса в передаваемом в рамках административной сессии файле. Безусловно, можно разработать собственный антивирусный движок и подготовить сигнатуры внутри PAM-решения, но более эффективно было бы передавать перехваченный файл в антивирусное ПО для последующего анализа.
И наоборот: в случае скачивания с целевого ресурса определенных данных полезно их параллельно передавать в решение для предотвращения утечек (data leak prevention) для выявления фактов скачивания чувствительных данных.
В целом такой подход позволяет существенно повысить эффективность всего процесса защиты привилегированного доступа и закрыть пробелы, возникающие, когда два решения работают изолированно, хотя должны дополнять и подстраховывать друг друга».
Какие примеры успешного внедрения PAM-систем в крупных организациях вы можете привести?
Дарья Сафонова, руководитель направления отдела развития бизнеса информационной безопасности компании Axoft: «С большой долей вероятности та компания, название которой приходит к вам в голову, когда вы читаете словосочетание «крупная организация», уже использует PAM-систему. Эти решения перестали быть бутиковым (нишевым) продуктом и используются уже не только в крупных финансовых или государственных заказчиках, но и в компаниях, у которых и своего ИБ-отдела может не быть. Драйверами здесь выступают ужесточение законодательства и требований регуляторов, развитие предложения на рынке MSSP и, не в последнюю очередь, естественно, забота о своих данных в ситуации увеличивающегося числа угроз».
Дмитрий Михеев, технический директор компании «АйТи Бастион»: «Все наши проекты представляют собой успешные внедрения нашей PAM-системы в инфраструктуру заказчиков, включая крупный и крупнейший бизнес. Наши клиенты охватывают широкий спектр отраслей, таких как нефтегазовая промышленность, энергетика, финансовые учреждения, медицинские организации и многие другие. Мы гордимся тем, что наш продукт эффективно интегрируется в их системы, обеспечивая надежную защиту и управление привилегированным доступом.
Увы, не все кейсы можно публичить».
Опишите наиболее распространенные ошибки при внедрении PAM. Как их можно избежать?
Артем Назаретян, руководитель BI.ZONE PAM: «Один из важнейших аспектов внедрения PAM — грамотное документальное сопровождения нового процесса. Поэтому крайне не рекомендуется пренебрегать консалтинговым сопровождением. Продукт должен быть внедрен не только на уровне инфраструктуры, но и на уровне бизнес-процессов. Часто компании, даже крупные, пренебрегают такими дополнительными работами и получают продукт, но не его процессную обвязку.
Так, грубой ошибкой было бы не уделить внимания разработке матрицы доступа, которая помогает систематизировать и сбалансировать полномочия привилегированных пользователей, а также выявить категории так называемых суперадминистраторов.
Не стоит пренебрегать выработкой регламента распределения нагрузки. Проксирование административного трафика — очень требовательный с точки зрения вычислительных ресурсов процесс. Кроме того, наиболее популярной схемой лицензирования PAM-решений является лицензирование по административным сессиям. Для регулирования нагрузки на аппаратное обеспечение PAM имеет смысл разносить подключения по всему рабочему дню, что особенно актуально в случае подрядчиков. Такой подход позволит сэкономить и максимально эффективно использовать имеющуюся лицензию.
Еще одна распространенная ошибка — пытаться поставить на контроль сразу все категории привилегированных пользователей в компании. При планировании приобретения продукта PAM имеет смысл сначала сконцентрироваться на категориях, наиболее критичных для бизнес-процессов. Это также позволит избежать дополнительных трат.
Другая категория ошибок связана с техническими аспектами применения PAM-решений: клиенты часто игнорируют развитые функции PAM-решений по управлению секретами привилегированных учетных записей либо не принимают достаточных внешних мер защиты.
К таким ошибкам относятся, в частности, знание секрета привилегированной учетной записи пользователем и отсутствие ротации. Это позволяет администраторам бесконтрольно подключаться к PAM-решениям напрямую и существенно увеличивает вероятность угрозы компрометации привилегированных учетных записей.
Существенные риски создает также работа администраторов на рабочих станциях под теми же учетными записями, что используются для администрирования целевых систем.
Опасен и неполный контроль цепочки подключения, когда PAM-решение контролирует подключение по SSH и RDP только к серверу доступа PAM, но не к целевому ресурсу.
Среди других распространенных ошибок такого типа — отсутствие мер по отказоустойчивой и резервируемой эксплуатации PAM-решений, в том числе для аварийного извлечения секретов и аварийного выключения PAM-продуктов, а также мер по дополнительной защите серверных компонентов PAM-решений, хранилища секретов и базы данных».
Глеб Верди, специалист по ИБ «Астрал.Безопасность»: «Одной из распространенных ошибок является недостаточное планирование и подготовка перед внедрением PAM. Чтобы избежать этой ошибки, необходимо провести тщательный аудит текущих процессов управления доступом и определить все привилегированные учетные записи и системы, которые необходимо защитить. Также важно разработать четкую стратегию внедрения PAM с четко определенными целями, задачами и этапами, а также обучить всех сотрудников, которые будут работать с PAM-системой.
Другая распространенная ошибка — игнорирование существующих процессов и систем. Чтобы избежать этого, необходимо обеспечить интеграцию PAM-системы с существующими ИТ-системами и процессами, включая IAM, SIEM и другие средства безопасности, а также обновить или адаптировать текущие процессы управления доступом для соответствия новом PAM.
Отсутствие четких политик доступа также может снизить эффективность PAM. Для предотвращения этой ошибки необходимо разработать строгие политики управления привилегированным доступом, основанные на принципах наименьших привилегий и разделения обязанностей, а также обеспечить их регулярный пересмотр и обновление в соответствии с изменяющимися требованиями и угрозами.
Еще одной ошибкой является неполное покрытие привилегированных учетных записей. Чтобы избежать этого, важно идентифицировать все учетные записи, включая сервисные, встроенные и временные, и включить их в PAM-систему, а также использовать инструменты для автоматического обнаружения и управления привилегированными учетными записями.
Недостаточная аутентификация и контроль доступа также могут стать проблемой. Для предотвращения этой ошибки необходимо внедрить многофакторную аутентификацию (MFA) для всех привилегированных учетных записей и применять строгий контроль доступа, ограничивая его только необходимыми пользователями и устройствами.
Отсутствие мониторинга и аудита действий привилегированных пользователей также может снизить эффективность PAM. Чтобы избежать этого, необходимо внедрить мониторинг в реальном времени и использовать инструменты для мониторинга и записи сессий привилегированных пользователей, а также регулярно проводить аудиты действий привилегированных пользователей и анализировать логи для выявления аномалий и подозрительных действий.
Неполное управление жизненным циклом учетных записей также является распространенной ошибкой. Для ее предотвращения важно автоматизировать процессы создания, изменения и удаления привилегированных учетных записей, а также регулярно проверять все привилегированные учетные записи для выявления и удаления неактивных или избыточных учетных записей.
Наконец, недостаточная поддержка и обновления могут снизить эффективность PAM. Чтобы избежать этой ошибки, необходимо обеспечить регулярные обновления PAM-системы для устранения уязвимостей и добавления новых функций, а также наличие специалистов, которые будут отвечать за поддержку и администрирование PAM-системы.
Дмитрий Михеев, технический директор компании «АйТи Бастион»: «Назовем наиболее распространенные ошибки при внедрении PAM-систем, а также меры, которые помогут минимизировать риски и обеспечить успешное внедрение таких решений:
- Недостаточная подготовка и планирование. В этом случае нужно провести тщательный аудит инфраструктуры и планирование этапов внедрения. И начинать с малого и расширять покрытие по мере освоения.
- Ограниченный охват пользователей и систем. Ограниченное внедрение позволяет минимизировать затраты, но оставляет много неконтролируемых мест. Внедрение PAM рекомендуется вести планово до максимального покрытия.
- Недостаточное обучение персонала. Ведь безопасность – это работа с людьми. Необходимо обучать сотрудников правильным подходам и порядку работы на регулярной плановой основе.
- Отсутствие постоянного мониторинга и обновлений. Все средства безопасности требуют внимания и обслуживания. На это нужно выделять ресурсы и проверять показатели работоспособности».
Дарья Сафонова, руководитель направления отдела развития бизнеса информационной безопасности компании Axoft: «На мой взгляд, самая большая ошибка при внедрении PAM-систем – непонимание практической пользы данных решений, а также неправильная оценка реальной ситуации с привилегированными пользователями в организации (например, всё еще достаточно часто от представителей заказчиков можно услышать: «PAM нам не нужен, у нас тут три админа»). Избежать этих ошибок, как и любых других, связанных с непониманием и незнанием, можно, задав вопросы разработчикам PAM-систем, дистрибуторам или интеграторам. Нужно помнить, что PAM-система, как и любая другая, очень плохо работает, если она куплена для того, чтобы лежать на полке. Поэтому внедрение решения желательно проводить с привлечением экспертов с проектным опытом в данной области».
Дмитрий Орленок, менеджер по развитию бизнеса Центра технологий кибербезопасности ГК «Солар»: «Первая ошибка при установке PAM-системы – это незакрытые обходные пути доступа к инфраструктуре.
Следующая ошибка – некорректное сопоставление учетных записей пользователей, так как администраторы смогут и будут ходить в обход PAM-системы.
Третья ошибка – настройка групповых прав доступа, в результате чего пользователи смогут неявно получить права на администрирование.
Помимо настройки записей пользователей, должны быть настроены черные и белые списки, триггеры необычного поведения, поведенческий анализ.
Еще одна ошибка – предоставление бессрочного доступа без регулярного пересмотра, так как права накапливаются, а риск растет.
Очень полезна интеграция PAM и IdM. Доступ будет назначаться своевременно, по необходимости, на ограниченный срок и немедленно прекращаться при увольнении и переводе администраторов. Можно настроить регулярный пересмотр привилегированного доступа».
Какие советы вы бы дали компаниям, только начинающим внедрять систему управления привилегированным доступом?
Дмитрий Михеев, технический директор компании «АйТи Бастион»: «Для компаний, начинающих внедрение РАМ-систем, можно рекомендовать несколько вещей. Очевидно, что, следуя нашим советам ниже, бизнес сможет минимизировать риски и эффективно внедрить PAM.
- Внимательно оценить имеющееся состояние инфраструктуры. Определить привилегированные учетные записи и потенциальные риски, от очевидных и явных до наименее заметных.
- Начать с посильного, получить результат и планово расширять покрытие далее. Внедрять PAM поэтапно, начиная с критически важных систем и пользователей.
- Обеспечить обучение и поддержку персонала. Обучить сотрудников правильному использованию системы и настроить оперативную поддержку.
- Настроить мониторинг и аудит. Регулярно отслеживать действия привилегированных пользователей и улучшать процессы доступа и управления привилегиями.
- Соблюдать принцип наименьших привилегий. Ограничивать доступ пользователей только необходимыми правами.
- Моделировать возможные риски. Важно помнить – нарушителю достаточно найти один сценарий эксплуатации, чтобы преуспеть. Защитникам необходимо определить и защитить по возможности все».
Дмитрий Орленок, менеджер по развитию бизнеса Центра технологий кибербезопасности ГК «Солар»: «После установки и настройки проверить, нет ли доступа у администраторов к защищаемым системам по прежним каналам. Выборочно проверить, какие данные сохраняют на сервера администраторы. Через полгода-год стоит проверить, работает ли процесс своевременного прекращения доступов, не копятся ли они. Проверить, не появились ли новых ресурсов, к которым администраторы имеют доступ, помимо PAM-системы.
И еще один совет – общайтесь с вендором, предоставляйте полную информацию о вашей инфраструктуре и особенностях работы администраторов, задавайте больше вопросов. Так получится выстроить эффективное взаимодействие и вместе решить поставленную задачу наилучшим образом».
Оригинал публикации на сайте CISOCLUB: "Управление привилегированными пользователями".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.