Контакты
Подписка 2024

Критерии выбора системы PAM

Николай Валаев, 14/04/21

В контексте нормального функционирования процессов анализа данных и принятия решений важно, чтобы каждый участник для исполнения своих обязанностей был обеспечен доступом к необходимым и достаточным ресурсам. Не больше!

Автор: Николай Валаев, специалист по продуктам контроля привилегированного доступа компании Web Control

Для поддержания правильной работы информационной системы нужны администраторы, обладающие привилегией доступа ко всем ее подсистемам и компонентам. Возникает вопрос: как организовать выдачу прав доступа и установить ответственность для такой необычной категории пользователей? Чтобы структурировать доступ системных администраторов к корпоративным ресурсам, существуют системы контроля привилегированного доступа, PAM (Privilege Access Management).

Что нужно учесть при выборе PAM? Управляемая ИТ-инфраструктура должна быть достаточно сложной. Если у вас работают, к примеру, два сменных администратора, вполне можно обойтись стандартными средствами контроля доступа. Однако же если администраторов, серверов и систем больше двух десятков, если наблюдается текучка кадров, если вы привлекаете аутсорсеров, о которых зачастую известен лишь логин, если бизнесу необходимо защищать коммерческую тайну, и утечка может фатально повлиять на его жизнедеятельность, то следует серьезно задуматься о внедрении PAM. PAM динамически ограничивает привилегированный доступ временными рамками, назначенной задачей, целевым ресурсом и возможностью эскалации запроса на доступ к ответственным лицам. При этом в идеале PAM дает администраторам систем лишь минимально необходимые привилегии. Что PAM должна уметь?

  1. Следует серьезно задуматься о безопасности самой системы PAM, поскольку ее компрометация тождественна утечке доступа ко всем ресурсам.
  2. Нужна высокая доступность системы PAM и инструкция по действиям в случае ее отказа.
  3. Следует понимать, что специалисты, на деятельность которых влияет эта система, обладают повышенной экспертизой в ИТ, и это несет дополнительные риски в случае, если кто-то из них задумается об обходе системы.
  4. Не следует забывать о технологических учетных записях, которые, как правило, не имеют своего хозяина и оказываются вне фокуса внимания.
  5. PAM должна уметь работать в гетерогенной среде, иметь возможность управлять всем существующим и будущим набором систем и средств вашего ИТ-ландшафта.
  6. Система должна поддерживать весь набор привычных вашим администраторам инструментов.

Недоступность неограниченного доступа для пользователей обеспечивается за счет сокрытия паролей от привилегированных учетных записей. Система PAM сама создаст новую сессию, инжектирует логин и пароль в нужные окна и после авторизации выдаст готовую сессию пользователю. Если же необходимо раскрыть пользователю пароль, система сама поменяет этот пароль после использования. Поддерживается также контроль использования разделенных учетных записей. С помощью PAM вы без большого труда найдете того, кто, к примеру, пару недель назад неправомерно загрузил образ из-под root.

В системе PAM должна поддерживаться видеозапись и журналирование всех действий пользователей с возможностью последующего поиска с фильтрацией. Во избежание ненужной траты человеческого ресурса на мониторинг в режиме 24х7 должна поддерживаться автоматическая реакция системы на некорректные действия пользователей в виде уведомлений офицерам ИБ, предупреждений пользователям, блокировки или перехвата ввода либо полной блокировки учетной записи пользователя.

Темы:СКУДЖурнал "Информационная безопасность" №1, 2021PAM

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Кибербезопасность в новой реальности
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Участвуйте в онлайн-конференции!
Статьи по той же темеСтатьи по той же теме

  • Управление доступом и привилегиями: как обеспечить минимальный привилегированный доступ
    Константин Родин, руководитель отдела развития продуктов компании “АйТи Бастион”
    Растет запрос не просто на реализацию систем предоставления доступа, но и на построение сложных и надежных комплексов контроля доступа, которые позволяют объединять различные решения для создания доверенных сред между пользователями и конечными информационными системами
  • Программно-аппаратный PAM как важный компонент ИБ в небольших бизнес-масштабах
    Артемий Борисов, менеджер продукта “СКДПУ НТ Компакт”, “АйТи Бастион”
    Поговорим о компаниях небольшого размера и филиалах: обратим внимание на неочевидные выгоды от использования PAM для контроля привилегированного доступа
  • DLP: маловато будет. Защита персональных данных на протяжении всего жизненного цикла
    Рустэм Хайретдинов, заместитель генерального директора группы компаний “Гарда”
    При защите персональных данных самые мощные аналитические инструменты DLP-систем – контентный анализ и "цифровые отпечатки" недостаточно эффективны.
  • Практика внедрения решений класса PAM и тренды их развития. Круглый стол
    Российские решения класса PAM (Priveleged Access Management) активно развиваются: появляются новые системы, наращивается функциональность, увеличивается совместимость со смежными классами систем. Редакция журнала “Информационная безопасность” попросила разработчиков и интеграторов PAM поделиться видением и опытом по наиболее актуальным вопросам.
  • Роль систем класса PAM в реализации концепции Zero Trust
    Александр Булатов, коммерческий директор NGR Softlab
    Использование систем PAM для авторизации и аутентификации пользователей является одним из способов реализации концепции Zero Trust в информационной безопасности
  • 5 сценариев эффективного использования PAM в организации
    Игорь Базелюк, Операционный директор Web Control
    Лучшая система PAM – та, которую будут регулярно использовать пользователи, не пытаясь ее обойти. Поэтому для успешного внедрения РАМ необходимо определить реальные потребности: сформулировать задачи, которые вы планируете решить с помощью PAM, описать модель угроз и определить поверхность атаки на привилегии.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность в новой реальности
14 марта. Онлайн-конференция. Реагирование на инциденты по информационной безопасности
Участвуйте!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
21 марта. Российские платформы виртуализации
Жми, чтобы участвовать