Сергей Померанцев, 16/04/25
Avanpost SmartPAM – система управления привилегированным доступом: техническая составляющая, ключевые компоненты, возможности.
Автор: Сергей Померанцев, владелец продукта Avanpost SmartPAM
В Avanpost мы поставили перед собой амбициозную цель: предложить рынку инновационный продукт, обеспечивающий высокий уровень защиты за счет проактивного реагирования на угрозы. Кроме того, мы хотели усилить успешную линейку фокусирующихся на управлении доступом продуктов, поэтому в этом году анонсировали Avanpost SmartPAM – систему управления привилегированным доступом.
Рассмотрим ключевые компоненты Avanpost SmartPAM [1].
- Прокси, обеспечивающий изоляцию привилегированных пользователей от непосредственного взаимодействия с защищаемыми системами.
- Хранилище секретов (Vault), содержащее ключевую информацию о привилегированных учетных записях.
- Инструмент записи сессий, фиксирующий все действия, выполняемые привилегированными пользователями.
- Событийный движок, который получает от других компонентов системы данные о событиях, происходящих в привилегированных сессиях, и проверяет их на предмет наличия угроз.
- Искусственный интеллект, выявляющий аномалии в поведении привилегированных пользователей.
Привилегированные пользователи подключаются к защищаемым узлам не напрямую, а через прокси в составе Avanpost SmartPAM. При этом применяются типовые инструменты, такие как Putty или терминальный клиент Microsoft.
Аутентификация пользователей при доступе к ресурсам осуществляется от имени их персональных учетных записей, а ключами от групповых учетных записей ("root", "Администратор" и т. п.) оперирует
Avanpost SmartPAM. При такой организации процессов управления большинство привилегированных пользователей не владеют секретами от ИТ-инфраструктуры и, следовательно, не могут их скомпрометировать.
Avanpost SmartPAM выполняет запись всех действий, выполняемых привилегированными пользователями: фиксирует, кто и в какой момент времени применял ту или иную привилегированную учетную запись. Сохраненная информация впоследствии может быть использована при расследовании инцидентов.
Различные компоненты продукта отмечают события, происходящие в привилегированных сессиях: попытки выполнения команд, открытие файлов для чтения, редактирование документов, специфические паттерны сетевой активности и др. Детектированные события обрабатываются событийным движком:
- проводится корреляция – обобщение нескольких событий, которые сами по себе являются малозначительными, но в совокупности могут сообщать об угрозе;
- все множество событий (как исходных, полученных непосредственно из привилегированных сессий, так и обобщенных, сгенерированных в результате корреляции) проверяется на предмет соответствия сигнатурам – правилам, описывающим опасные паттерны;
- при выявлении опасной ситуации, в зависимости от настроек, могут предприниматься те или иные автоматические действия, направленные на митигацию рисков: блокирование команды или привилегированного пользователя, разрыв сессии, уведомление ответственных.
Информация из привилегированных сессий обрабатывается двухуровневой системой нейросетей на предмет наличия аномалий. Выявленные атипичные ситуации маркируются как риски, реагирование на них можно автоматизировать.
Мы подумали не только о технической составляющей продукта, но и об эмоциональной, – первое знакомство с ним должно пройти идеально. Не хотим, чтобы нашим заказчикам приходилось обращаться к дорогостоящему консалтингу при внедрении, поэтому в новом решении большой акцент сделан на простоте и удобстве развертывания.
Для повышения эффективности событийного движка мы разработали и предлагаем готовую библиотеку сигнатур. Она позволяет применять готовые правила, разработанные отраслевыми специалистами, не требуя от заказчиков усилий по их самостоятельному созданию.
Продукт Avanpost SmartPAM с встроенной кодовой базой самодостаточен, но в сочетании с другими решениями он дает синергетический эффект. Следует отметить, что комплексный подход, основанный на одновременном использовании нескольких продуктов информационной безопасности от Avanpost, позволяет заметно повысить эффективность.
Например, интеграция Avanpost SmartPAM с Avanpost FAM или Avanpost MFA+ обеспечивает многофакторную аутентификацию привилегированных пользователей при доступе к ресурсам, защищаемым Avanpost SmartPAM, включая Linux- и Windows-серверы.
Применение SmartPAM с центром управления учетными записями и правами доступа Avanpost IDM позволяет не только эффективно управлять жизненным циклом привилегированных учетных записей и контролировать доступ к ним, но и использовать мощный BPMN-движок, встроенный в IDM. Последнее открывает возможности для реализации сложных и многоступенчатых сценариев запроса, согласования и предоставления привилегированного доступа в рамках Avanpost SmartPAM.
Согласно статистике, более 60% компаний в России сталкиваются с угрозами безопасности от привилегированных пользователей. Справляться с такими рисками лучше в проактивном режиме, и в этом поможет Avanpost SmartPAM.
ООО «Аванпост». ИНН 7722778473. Erid2SDnjdJrRLZ
