Найти в Дзене
АйТи Бастион
6 подписчиков

Что такое PAM и зачем он нужен

2
13 мин
Всем привет! На связи Константин Родин из «АйТи Бастион». Сегодня речь пойдёт о выбранной нами много лет назад нише в сфере ИБ, а именно – контроле привилегированного доступа. То есть те самые PIM PAM PUM, про которые вы могли слышать, а могли и не слышать. Но и в том и другом случае – вы с вероятностью 99% сталкивались с привилегированным доступом и последствиями его недобросовестного использования. Вот уже почти 7 лет я смотрю изнутри на рынок систем контроля привилегированного доступа: прошёл путь от инженера техподдержки до руководителя отдела развития продуктов, строил комплексные интегрированные системы безопасного привилегированного доступа, видел, как при слове PAM закрывались двери (или меня просили закрыть дверь снаружи), а коллеги, связанные с АСУ ТП и КИИ, крутили пальцем у виска, комментируя эти три буквы невозможностью идти в тему внешних подключений, ибо их нет. Но тема PAM раскрывалась виток за витком, удалённый доступ стал нормой во время пандемии коронавируса, проблем
Оглавление

Всем привет! На связи Константин Родин из «АйТи Бастион». Сегодня речь пойдёт о выбранной нами много лет назад нише в сфере ИБ, а именно – контроле привилегированного доступа. То есть те самые PIM PAM PUM, про которые вы могли слышать, а могли и не слышать. Но и в том и другом случае – вы с вероятностью 99% сталкивались с привилегированным доступом и последствиями его недобросовестного использования.

Вот уже почти 7 лет я смотрю изнутри на рынок систем контроля привилегированного доступа: прошёл путь от инженера техподдержки до руководителя отдела развития продуктов, строил комплексные интегрированные системы безопасного привилегированного доступа, видел, как при слове PAM закрывались двери (или меня просили закрыть дверь снаружи), а коллеги, связанные с АСУ ТП и КИИ, крутили пальцем у виска, комментируя эти три буквы невозможностью идти в тему внешних подключений, ибо их нет.

Но тема PAM раскрывалась виток за витком, удалённый доступ стал нормой во время пандемии коронавируса, проблемы с ним перешли на новый уровень: цепочки поставок лидируют в отчётах по атакам, и мы с коллегами приняли решение раскрывать тему PAM для широкого круга и выйти за пределы классического мира ИБ.

Чтобы это не выглядело рекламой – сразу «на берегу» договоримся, что построить эффективную систему информационной безопасности в отдельно взятой компании можно, не покупая множество ИБ-решений, а ограничив этот набор минимально необходимым. Остаётся только связать всё это регламентами, процессами и исполнительными людьми, которые регламенты соблюдают и работают строго по процессам и правилам. Ну а для тех, кто знает, что всякое в жизни бывает, – и будет наш дальнейший лонгрид про флагманский продукт «АйТи Бастион» с ярким и запоминающимся названием СКДПУ НТ.

Итак, PIM-ы, PAM-ы и PUM-ы – это такие системы контроля, записи и поиска действий пользователей при удалённом доступе к серверам, сетевому оборудованию или же просто к бизнес системам (тут и веб-клиенты и 1С, и целый зверинец всего, что перечислять устанешь). Но речь не о простых пользователях, а тех, кто имеет такой уровень прав, что способны камня на камне не оставить, если воспользуются ими не во благо.

Начну с малого и постараюсь «на пальцах» показать, что это за системы, кому они нужны и какая магия скрыта под капотом PIM-PAM-PUM-ов.

На заре справедливости

Прежде чем говорить о самих системах, давайте посмотрим, что мы знаем о привилегированных учётных записях.

Если составить список типов пользователей, то получится вот такой богатый перечень:

  • Технические
  • Системные
  • Для управления устройствами
  • Администраторы
  • Разработчики и DevOps-ы
  • Приложения
  • Базы данных
  • Бизнес-пользователи (тут и генеральные директора тоже бывают)

Одним словом – почти все, кто в среднестатистическом офисе живёт, работает и появляется.

Ну а теперь про сами системы PIM PAM PUM.

Отдельным решениям контроля доступа привилегированных пользователей в ранние годы становления рынка ИБ не придавалось должного внимания. Это, с одной стороны, было вызвано особой спецификой их работы, небольшим «привилегированным» кругом лиц, к которым обычно есть безусловное доверие, и относительно небольшим «охватом» решаемых задач. С другой стороны, именно это и сформировало их уникальное положение на рынке.

Сама идея необходимости контроля привилегированных пользователей обусловлена стремительным ростом масштабов и сложности информационной инфраструктуры: с каждым годом число критических систем растёт, а следовательно, и людей, которые имеют к ней доступ. Для компаний данный факт создаёт дополнительные риски – финансовых и репутационных потерь, а в некоторых случаях даже и существования бизнеса в принципе.

Возникла ситуация, когда систем «общего назначения», к примеру SIEM, стало уже не хватать. IDM только управлял правами, а не событиями внутри доступов, логирование с целевых систем было полезно, но не эффективно, ведь привилегированный доступ это +- 10% от всех пользователей, а в некоторых случаях итого меньше.

А реальность всё била рекорды по целевым атакам через привилегированные учётки.

И тут мы оказываемся в 2024 году: в большинстве публичных кейсов утечек и взломов (а сколько таких историй удаётся скрыть!) крупные атаки начинались именно с привилегированного пользователя и его привилегированного доступа.

Вот так утекали учётки, согласно данным PositiveTechnologies:

Из отчёта PositiveTechnologies
Из отчёта PositiveTechnologies

Если кто-то ещё сомневается, что доступ надо контролировать, то вот ещё пара графиков наших коллег по цеху за 2024 год, где в явном виде показывается, что ваши учётки – самое ценное в мире компьютерной преступности. Большинство успешных атак начинается с их покупки, а далее, используя известные (и 0-day тоже) уязвимости, «злодеи» получают доступ к инфраструктуре с высоким уровнем (ВНИМАНИЕ) привилегий. Ну а потом крадут всё, до чего дотянутся, останавливают всё, что можно остановить, и шифруют всё, что шифруется.

Из отчёта PositiveTechnologies
Из отчёта PositiveTechnologies

А вот здесь исследователи Positive Technologies демонстрируют последствия:

Из отчёта PositiveTechnologies
Из отчёта PositiveTechnologies

Да, конечно, не все атаки были осуществлены через привилегированную учётку с самого начала, но так или иначе многие из них идут через удалённый доступ и учётку с нужными привилегиями, доступом в контур и возможностью повышать привилегии. То есть зачастую доступ пользователя с привилегиями используется на полную катушку.

Не пытаюсь никого напугать, просто информирую тех, кто не штудирует отчёты и популярные тренды атак. В общем, будьте бдительны, а я продолжу.

PIM PAM PUM: лига справедливости и контроля

Основная идея таких систем заключается в обеспечении полного контроля над происходящим во время сеансов работы на целевых устройствах (информационных системах, сетевом оборудовании и других ресурсах), к которым имеет доступ сотрудник, ответственный за их корректное функционирование, или обладающий неограниченным доступом. Основной акцент ранее делался на контроле доступа с использованием протоколов удалённого доступа RDP и SSH, но также возможен контроль доступа через HTTP(S) и клиентские приложения. Но в последнее время всё больше задач возникает с более точечным контролем бизнес-процессов и операций в ходе их выполнения. Тут речь уже идёт и о точечном контроле запросов к базам данных, и вызове API-запросов или же просто автоматизированных операциях между двумя информационными системами.

Но давайте по пунктам, зачем эти системы используются чаще всего:

1. Управление привилегированным доступом: PAM-решения регулируют привилегированный доступ всех сотрудников, партнёров, внешних поставщиков и других лиц, допущенных к информационной инфраструктуре. Они контролируют привилегированные сессии, осуществляют мониторинг и запись сеансов работы пользователей с повышенными правами, а также могут прерывать сессии в случае подозрительных действий.

2. Реализация принципа минимально достаточных полномочий: PAM-системы помогают контролировать пользователей с расширенными полномочиями, чтобы при необходимости можно было оперативно сузить круг прав для конкретных сотрудников.

3. Защита учётных записей и паролей: PAM-системы предотвращают утечку паролей, контролируя их хранение и смену, а также автоматически подставляя нужные пароли при аутентификации.

4. Формирование детализированной отчётности: PAM-системы предоставляют офицерам службы безопасности информацию о ситуации в периметре, что позволяет проводить быстрые и эффективные расследования инцидентов, связанных с привилегированным доступом.

5. Интеграция с другими ИБ-системами: PAM-решения легко интегрируются с разными классами продуктов информационной безопасности, такими как IdM, SIEM и DLP, что позволяет им совместно решать задачи обеспечения безопасности и контроля доступа.

Коротко о том, как они это делают: встают между пользователей и целевой системой – могут как прокси, а могут и просто хранить в себе пароль от целевой системы и никому не рассказывать, что напрямую подключиться нельзя. Так они становятся единой точкой доступа – пароли вводят сами при подключении, токены прокидывают, события фиксируют, на аномалии реагируют.

А теперь давайте заглянем под капот и посмотрим, что же там скрывается, и за счёт чего PAM стал таким востребованным?

Да-да – PAM это новый NGFW на рынке инфобеза России, да и мира в целом. В конце будет краткий пересказ отчёта ушедшего Gartner, если кто о таком ещё помнит.

PASM (Privileged Account and Session Management)

Все без исключения «контролёры контролёров» умеют «сессии строить и логи собирать», в мире это зовётся PASM.

И это история про то, чтобы была дополнительная аутентификация: сперва проверили на PAM, что пользователь вообще имеет право подключаться к важным системам, а заодно собрали полезные для анализа события.

Чем это полезно?

Есть админ Василий. У него есть разрешённый доступ к PAM. Логин в PAM у него может быть совсем не тот, что в его родном домене компании (может, конечно, быть любой, но мы сейчас про очень безопасную безопасность). Доступ Василия на PAM через УЗ vasya. Есть у него также доступ к трём серверам, но не просто доступ, а рутовый под учёткой root.

Если вы уже тут хотите сказать, что так делать нельзя, и у него должна быть своя именная учётка, то спешу разочаровать – так бывает далеко не всегда, и сейчас я описываю граничный сценарий.

Как же без PAM понять, кто у нас сегодня root? В общем виде – никак. А PAM позволит сказать, что под учёткой root работает именно vasya.

Конечно, чаще всего сценарии сильно сложнее, но концепция, когда доступа к серверам и оборудованию напрямую нет, – достаточно распространённая. То есть существует разделение между доступом в одну сеть под доменом, который связан с PAM, и другим доменом, который изолирован, а доступ можно получить только через дополнительный контроль.

-5

Но и это ещё не вся задача PAM-системы при доступе. Мало кто хочет, чтобы пользователи просто так гуляли туда-сюда. У нас же большая компания и есть бизнес-процессы. А значит, нужно это всё автоматизировать и сделать так, чтобы просто так без заявки на работы никто не подключался к критически важной системе. И тут на помощь приходят механизмы подтверждения доступа.

Согласовывать доступ можно как во время обращения к ресурсу, так и заранее. Важно, что учитывается не только возможность запроса доступа, но и определение нескольких подтверждающих (например, кворум голосов или цепочки согласования), что может быть полезным при доступе к информационным системам, находящимися на границе владения нескольких служб. А если сделать интеграцию с внешними сервисами, такими как системы заявок, то это снижает необходимость ручного контроля и позволяет эффективно использовать ресурсы.

Ну вот Василий подключился и теперь дело за малым – собрать всю информацию о его действиях. Здесь у проверенного в боях PAM-а следующие возможности:

  • клавиатурный ввод
  • заголовки окон
  • содержимое буфера обмена, включая текст и файлы
  • информация о процессах
  • текстовое содержимое элементов интерфейса (чекбоксы, табы и прочее, до чего можно дотянутся)
  • видео всего, что происходило

Картинка как доказательство, что не шутим:

-6

Анализ и контроль возможен вне зависимости от используемого протокола, будь то

  • RDP и xRDP
  • SSH
  • Telnet
  • VNC
  • RawTCP
  • SQL
  • HTTP(S)

Secrets Manager

Секреты – наше всё, потому хранить их надо надежно и менять регулярно.

-7

И вот, чтобы пользователя не мучать количеством месяцев, а их учётки имели надёжный пароль – появляется на сцене Менеджер паролей. Он и хранит у себя пароли и меняет их регулярно: и по расписанию, и по событию (к примеру, при закрытии сессии доступа). Посмотреть его тоже даёт, если права и разрешения на это есть.

А менять пароли можно много где: в винде и линуксе, сетевом оборудовании, гипервизорах и т.п. Одним словом, куда PAM-у дали доступ на удалённую смену и управление паролями.

На этом про менеджер паролей всё.

UBA

Раз пользователя пустили и события записали, то надо и сотруднику отдела ИБ помочь с этими данными разобраться. Так мы пришли к возможностям анализа поведения.

В простейшем случае – это реакция на события, например, подключение, а в более продвинутом – собственная аналитическая система, способная на основе математических моделей или механизмов машинного обучения детально анализировать события в привязке пользователь-событие-цель. Целей здесь несколько, и самая очевидная – превентивная реакция на действия пользователя. Переход от исторической модели «пока гром не грянет» к «обнаружению аномалии, анализу аномалии и предотвращению значительного ущерба до возникновения инцидента».

До недавнего времени такой функционал был доступен только в иностранных решениях, и это просто исторический факт – там этот класс продуктов развивался раньше, и интерес к автоматизации в принятии решений «машиной» тоже. Но недавно ситуация изменилась, и отечественные системы также начали предлагать достойные реализации такого подхода.

Какой профит для конкретного сотрудника, ответственного за предоставление доступа?

Во-первых, отсутствие необходимости вручную просматривать все сессии подряд или выбирать случайные сессии в надежде найти проблемы. Система выделит те сессии, в которых будут обнаружены аномалии в действиях. Конечно, полноценный ИИ ещё не используется, но даже такие модели могут обучаться, в том числе на информации от сотрудника, который обрабатывает их как ложные или положительные срабатывания. Таким образом, вы экономите своё время и повышаете скорость реакции на потенциальные инциденты.

Во-вторых, поскольку события связаны с конкретным пользователем, накапливается его цифровой профиль, что помогает быстрее анализировать не события, а конкретного человека на предмет правильности его действий в инфраструктуре. Это также позволит проводить анализ на совершенно другом уровне без использования других решений.

В-третьих, если система позволяет собирать информацию со всех точек доступа в инфраструктуру, то это отличный централизованный механизм поиска, анализа и мониторинга, который найдёт своё место во внутреннем центре реагирования.

Предитог

Чтобы у читателя была возможность не перечитывать весь этот длинный текст, а тезисно записать основное про PAM:

  • Идентификация и аутентификация пользователей с расширенным набором прав
  • Мониторинг деятельности административных аккаунтов
  • Сбор статистики, ведение журнала
  • Анализ аномальной активности, выявление действий, которые могут нести угрозу ИБ
  • Организация защищённого хранилища учётных записей
  • Предоставление единой точки входа с разными механиками
  • Адаптивное понижение разрешений до уровня, достаточного для выполнения задачи
  • Блокировка использования неизменяемых логинов и паролей в сторонних приложениях
  • Уход от бесконтрольного использования разделяемых учётных записей (root, admin)

Всё это вместе позволит построить хорошую и надёжную систему безопасности с Just-in-Time, ZeroTrust и NG уровнями управления привилегированными пользователями, как на иллюстрации.

-8

Будущее, как видим его не только мы

Выше я обещал рассказать про зарубежных коллег, но сразу оговорюсь, что ничего уж слишком необычного они не говорят.

Рынок PAM-систем растет год от года. У нас, кстати, тоже. Производители стараются сделать свои решения удобнее и эффективнее не только для офицеров безопасности, но и для пользователей. Все развивают то, что востребовано, в порядке живой очереди:

В первую, они рассуждают о том, что вот-вот наступит «облачное счастье». Чтобы оно было радужным, то и там должен появится PAM для доступа к облачным сервисам – CIEM (Cloud Infrastructure Entitlement Management). Сказать, что в России это произойдёт совсем скоро, крайне сложно, но рано или поздно мы тоже можем погрузится в облачную жизнь с головой. Так что мы готовимся.

Во вторую, развитие концепции Just in Time Privilege. То есть активное развитие технологий предоставления доступа к привилегированной сессии, в том числе без прямого доступа через PAM-систему. А это значит, что появляются дополнительные агенты, которые помогают решать подобную задачу. Ничего удивительного в этом нет – будущее за простыми и дружелюбными подходами к работе. Ждём, надеемся и разрабатываем.

В третью, отмечается тенденция более явного выделения эскалации привилегий. Возможность не новая, но максимально зарекомендовавшая себя для удобства работы и прозрачного повышения привилегий, в том числе при работе в концепции Just in Time. Здесь российские разработчики не отстают – любим, практикуем, развиваем.

В целом все PAM-системы, вне зависимости от страны происхождения, смотрят в сторону удобства, масштабируемости и интеграции с другими сервисами. Один в поле не воин, вместе веселее и т.п.

Безопасного вам привилегированного доступа!