Контакты
Подписка 2024

Контроль над правами: как управлять привилегированными учетными записями

Любовь Ермилова, 21/02/23

Скандал 2016 г. вокруг президентских выборов в США до сих пор вспоминают многие СМИ. Во влиянии на их результат обвиняли не только иностранные государства и хакерские группировки, но и социальные сети. Особенно отличилась компания Cambridge Analytica, которая использовала собранные личные данные пользователей одной из популярных социальных сетей, чтобы демонстрировать им релевантную политическую рекламу [1].

Авторы: 
Любовь Ермилова, менеджер по продукту, компания MONT
Антон Грязнов, технический эксперт по PAM-системам, компания MONT

В России утечки данных стали привычным явлением. Зафиксированы случаи кражи данных из Сбербанка, Альфабанка, Билайна, РЖД и других крупных компаний [2], но наиболее известным стал инцидент с сервисом "Яндекс.Еда" [3], а совсем недавно пострадали пользователи Почты России [4].

Компании крайне неохотно сообщают подробности таких происшествий, чаще всего объясняя их хакерскими атаками. Но наш опыт говорит о том, что во многих случаях сливы информации происходят через привилегированные аккаунты в информационных системах предприятий-жертв. Такие учетные записи становятся желанной целью киберпреступников.

Контроль за аккаунтом, права которого в системе почти не ограничены, позволяет получить доступ к конфиденциальным данным десятков тысяч пользователей, конфиденциальной информации компаний и настройкам информационных систем. Проникнув внутрь охраняемого периметра, преступники могут месяцами никак не выдавать своего присутствия, выбирая наиболее подходящее время для развития атаки.

Привилегированные пользователи и риски безопасности

Привилегированные пользователи есть в любой корпоративной инфраструктуре, к ним относятся системные и сетевые администраторы, администраторы баз данных, внешние разработчики (если они привлекаются для развития и поддержки систем) и даже подрядчики, которым делегируются расширенные права для управления приложением или базой данных.

Все обладатели подобных аккаунтов получают практически безграничные возможности: в их распоряжении оказываются данные и настройки систем. Без специализированных средств управления привилегированные пользователи могут действовать бесконтрольно.

Рисков, связанных с присутствием в инфраструктуре привилегированных пользователей, очень много, но существует два основных сценария, по которым развиваются негативные события.

В первом варианте злоумышленники получают доступ к привилегированному аккаунту – они активно охотятся за данными таких учетных записей. По сути, хакеры получают "ключ" ко всем дверям в организации, а целевая атака становится вопросом времени. Пара "логин-пароль" может быть использована непосредственно взломщиками или выставлена на продажу в Даркнете. В любом случае привилегированный аккаунт становится скомпрометированным и является серьезной брешью в корпоративной защите. Предотвращение атаки возможно, если утечка данных аккаунта будет обнаружена.

Во втором сценарии привилегированный пользователь сам, вольно или невольно, становится злоумышленником, такие случаи широко известны. Последствием превращения рядового сотрудника компании в киберпреступника может стать намеренное вмешательство в работу корпоративных систем, а также кража данных – достаточно вспомнить о многочисленных утечках, зафиксированных различными сервисами.

Системы управления привилегированным доступом

Для преодоления проблем контроля за использованием привилегированных аккаунтов существуют специализированные инструменты, такие как РАМ-системы (Privilege Access Management). Они позволяют предотвратить массовые утечки данных и конфиденциальных документов, а также контролировать использование паролей в организации, позволяя сэкономить на репутационных издержках.

РАМ-системы позволяют решить четыре очень важные задачи

  1. Управление привилегиями пользователей. Выдача расширенных прав производится только тем пользователям, которые для этого имеют весомые основания. Привилегированный отечественный рынок PAM-систем вполне насыщен и может предложить на выбор как минимум пять полноценных решений. Доступ дается не ко всем ресурсам, а только к тем, которые действительно необходимы пользователю, и срок действия привилегий строго ограничен по времени.
  2. Мониторинг действий привилегированных пользователей. Система записывает сеансы работы пользователя и хранит данные для возможного дальнейшего рассмотрения. Продвинутые решения РАМ ведут текстовый лог рабочих сессий и распознают текст (функция OCR).
  3. Управление паролями. Система хранит пароли, обновляет их и не дает пользователям доступа к этой информации.
  4. Поддержка сквозной аутентификации, которая позволяет пользователям не вводить пароль для доступа к каждому из корпоративных сервисов, а "войти" только один раз (принцип Single Sign-On).

Для каких компаний предназначены РАМ-системы?

PAM-системы актуальны для организаций любого масштаба, ведь привилегированные пользователи есть в любой организации. Аккаунтами с особыми правами обладают не только физические лица, но и организации – деловые партнеры, подрядчики, компании, осуществляющие поддержку информационных систем, сторонние системы, которые взаимодействуют с корпоративными без участия человека. Практически каждое предприятие хранит данные, требующие особой защиты (например, кадровое делопроизводство, в котором содержатся персональные данные сотрудников). Применимость РАМ-систем практически не ограничивается масштабами компании-пользователя.

Как внедрить PAM-систему?

Что касается установки и настройки РАМ-систем, то эти решения не требуют сложных интеграций и обеспечения совместимости с различными системами. Как правило, РАМ устанавливается "поверх" других информационных систем предприятия и превращается в своего рода "шлюз", через который все пользователи получают к ним доступ.

Способ внедрения зависит от компетенций организации и применяемого в ней подхода к развитию ИТ-инфраструктуры. Некоторые организации предпочитают использовать услуги подрядчиков, имея в штате только администраторов, занимающихся контролем работы систем, а другие имеют компетенции, достаточные для самостоятельного внедрения PAM-системы, которое подразумевает развертывание ее серверной части, организацию хранилища логов и данных, а также установку агентов на защищаемых узлах инфраструктуры. Эти операции вполне по силам множеству организаций и не занимают много времени: зачастую установка происходит буквально в несколько кликов. Настройка системы требует куда больше времени: проводится ревизия пользовательских аккаунтов, анализ их роли и распределение между ними прав доступа.

Но особенных сложностей в установке и настройке РАМ-систем нет. Справиться с этой работой вполне могут системные администраторы, которые ведут домен организации.

Если же требующихся компетенций в компании нет, то всегда можно обратиться к технологическому партнеру (например, MONT), который проведет технические консультации, демо, пилоты (что в особенности полезно клиентам SMB-сегмента), минимизирует затраты и даст беспристрастный анализ решения индивидуальной задачи.

Что предлагает рынок?

Несмотря на уход иностранных вендоров из России, отечественный рынок PAM-систем вполне насыщен и может предложить на выбор как минимум пять полноценных решений, таких как SafeInspect, Indeed PAM (эти продукты наиболее популярны), "Инфраскоп", WebControl и СКДПУ НТ. Все эти разработки принадлежат российским вендорам и могут применяться государственными организациями.

Многие заказчики, выбирая российские программные продукты, сравнивают их возможности с теми, которыми обладали решения иностранных вендоров, упуская из вида, что западные разработки перенасыщены излишней функциональностью. В основе выбора системы должны стоять функции, которыми организация будет пользоваться непосредственно, то есть наиболее актуальные для конкретной компании.

Некоторые российские PAM-решения оснащены функциями, которыми не обладают иностранные аналоги. Речь идет об OCR – оптическом распознавании образов текста. Эта функция полезна для осуществления контроля за действиями пользователей, она не просто записывает действия, но и распознает интерфейс систем, с которыми происходит взаимодействие, составляя анализируемые протоколы в текстовой форме. OCR фиксирует действия администратора и в режиме реального времени "понимает", что он делает. Иными словами, встроенная OCR дает возможность РАМ-системе не просто записывать, но еще и транскрибировать действия пользователя.


  1. https://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html 
  2. https://www.anti-malware.ru/analytics/Threats_Analysis/Top-10-data-leakage-in-Russia%23part22 
  3. https://www.interfax-russia.ru/moscow/news/kompaniya-yandeks-eda-priznana-poterpevshey-po-delu-ob-utechke-dannyh-klientov 
  4. https://xakep.ru/2022/07/30/pochta-leak/ 
Темы:PAMЖурнал "Информационная безопасность" №1, 2023Контроль доступа

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Indeed Access Manager в Альфа-Банке: отечественное решение оказалось лучше западного
    Сергей Крамаренко, руководитель департамента кибербезопасности Альфа-Банка
    Беседуем с Сергеем Крамаренко, руководителем департамента кибербезопасности АльфаБанка, о реальном опыте внедрения российской системы многофакторной аутентификации пользователей Indeed Access Manager, которая не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение.
  • Инновации и безопасность – приоритеты "Сколково"
    Игорь Соловьев, директор департамента информационных систем и сервисов “Сколково”
    ”Cколково” не просто помогает стартапам, это еще и целый город со своей инфраструктурой, образовательной системой, жилыми кварталами. О том, как обеспечить безопасность экосистемы, не жертвуя при этом развитием цифровизации, рассказал Игорь Соловьев, директор департамента информационных систем и сервисов “Сколково”.
  • Управление доступом и привилегиями: как обеспечить минимальный привилегированный доступ
    Константин Родин, руководитель отдела развития продуктов компании “АйТи Бастион”
    Растет запрос не просто на реализацию систем предоставления доступа, но и на построение сложных и надежных комплексов контроля доступа, которые позволяют объединять различные решения для создания доверенных сред между пользователями и конечными информационными системами
  • Программно-аппаратный PAM как важный компонент ИБ в небольших бизнес-масштабах
    Артемий Борисов, менеджер продукта “СКДПУ НТ Компакт”, “АйТи Бастион”
    Поговорим о компаниях небольшого размера и филиалах: обратим внимание на неочевидные выгоды от использования PAM для контроля привилегированного доступа
  • DLP: маловато будет. Защита персональных данных на протяжении всего жизненного цикла
    Рустэм Хайретдинов, заместитель генерального директора группы компаний “Гарда”
    При защите персональных данных самые мощные аналитические инструменты DLP-систем – контентный анализ и "цифровые отпечатки" недостаточно эффективны.
  • MULTIFACTOR: трудное время порождает сильные решения
    Роман Башкатов, коммерческий директор ООО “МУЛЬТИФАКТОР”
    Мы задали вопросы об истории резкого старта компании “МУЛЬТИФАКТОР”, ее сегодняшнем состоянии и, конечно же, планах и прогнозах коммерческому директору Роману Башкатову, который стоял у истоков проекта и продолжает активно участвовать в его развитии.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...