Автор: Сергей Померанцев, владелец продукта Avanpost SmartPAM
Хотя IAM-/IDM-платформы обеспечивают централизованное управление учетными записями, правами входа и реализуют продвинутые сценарии аутентификации, они мало влияют на действия пользователей (в том числе привилегированных), выполняемые после входа в систему. С другой стороны, практические реализации SIEM не всегда обладают достаточным контекстом для точного выявления угроз в действиях привилегированных пользователей и могут быть существенно ограничены в возможностях оперативного реагирования на обнаруженные инциденты. Системы класса PAM как раз создают последний рубеж защиты – централизованный механизм для подключений с расширенными правами, продвинутые механизмы контроля в реальном времени, в идеале – работая совместно с SIEM и IAM.
Все дело в том, что без глубокого анализа привилегированных сессий, реализованного в PAM, остается слепая зона в своевременном понимании намерений пользователя. Анализ видео- или текстовых записей сессий может оказаться трудоемким делом, на практике реализуемым только в ситуациях, связанных с разбором уже состоявшихся инцидентов, уже реализованных угроз. Интеллектуальный анализ сессий усиливает PAM
Разработанная компанией Avanpost система SmartPAM1 обрабатывает не только сырые записи, но и семантически размеченные данные, выявляя в сессиях опасные события (вместо отдельных команд!) или даже их цепочки.
Детекция событий в сочетании с гибко настраиваемыми пользовательскими правилами, политиками выявления угроз и вариантами реагирования обеспечивает избирательное и точно настраиваемое обнаружение и пресечение нежелательных или опасных действий привилегированных пользователей. Достигается возможность учитывать, что одни и те же операции, выполняемые над различными объектами либо на различных управляемых ресурсах, могут в одних случаях быть маркерами угроз, тогда как в других – являться частью нормальной эксплуатации.
Опционально устанавливаемые агенты обеспечивают SmartPAM дополнительным контекстом о происходящем как в привилегированных сессиях, так и на защищаемых ресурсах в целом. С их помощью можно, например, выявлять сессии, установленные в обход PAM, отслеживать запуск процессов и фиксировать другие важные события, связанные с действиями привилегированных пользователей и представляющие интерес с точки зрения анализа и проактивного предотвращения угроз.
Реализуемая на базе ИИ аналитика поведенческих аномалий (UBA) в SmartPAM строит портрет нормальной рабочей активности: время входа, частоту и характер команд, самые распространенные хосты и пр. При отклонении от модели система автоматически помечает сессию для дополнительного аудита, прерывает ее в проактивном режиме или реализует другую из доступных реакций (например, уведомление ответственных либо блокирование пользователя). Такой интеллектуальный подход блокирует атаки нулевого дня и инсайдерские угрозы до того, как они перерастут в серьезный инцидент.
Существенным преимуществом PAM-системы является еe бесшовная интеграция с IAM. Например, при увольнении или переводе сотрудника важно, чтобы PAM автоматически обновляла политики и своевременно отзывала привилегированный доступ – без ручного вмешательства. Другим значимым аспектом взаимодействия с этим классом систем может явиться возможность делегировать IAM-системе аутентификацию привилегированных пользователей: это позволит применить различные варианты аутентификации с использованием второго фактора, а также воплотить продвинутые сценарии аутентификации.
При организации сценариев использования PAM-системы представляется важным ориентироваться на варианты, позволяющие достигать максимальной изоляции защищаемых ресурсов. Так, например, применение в составе PAM прокси-серверов исключает непосредственное воздействие привилегированных пользователей на ресурсы; а использование нескольких прокси позволит реализовать сегментацию, минимизируя тем самым горизонтальные перемещения (Lateral Movements) привилегированных учетных записей. Ограничение прямого доступа администраторов к секретам инфраструктуры – таким как пароли и SSH-ключи привилегированных учетных записей – существенно снижает риск их компрометации, в том числе при неформальном обмене этими данными между сотрудниками в целях решения рабочих задач.
Последняя мера, очевидно, предполагает хранение секретов в инфраструктуре PAM-системы, а значит, требует обеспечения ее собственной безопасности. Применение криптографически стойких алгоритмов для обратимого шифрования – мера необходимая, но недостаточная. Критически важно надежно управлять ключами, используемыми в этих алгоритмах. Недопустимо, чтобы ключи хранились в той же PAM-инфраструктуре: это создает риск, при котором компрометация системы позволит злоумышленнику расшифровать хранящиеся в ней секреты.
Внедряя современный PAM, организация получает не просто еще один элемент защитного стека, а полнофункциональный движок проактивной безопасности: семантический анализ сессий, UBA-аналитику, автоматическое реагирование на выявляемые угрозы. Интеграция с IAM-системами обеспечивает синергетический эффект, формируя единое, управляемое пространство Zero Trust.