Контакты
Подписка 2024

Практика внедрения решений класса PAM и тренды их развития. Круглый стол

Редакция журнала "Информационная безопасность", 26/05/23

Российские решения класса PAM (Priveleged Access Management) активно развиваются: появляются новые системы, наращивается функциональность, увеличивается совместимость со смежными классами систем. Редакция журнала “Информационная безопасность” попросила разработчиков и интеграторов PAM поделиться видением и опытом по наиболее актуальным вопросам.

Участники:
Андрей Акинин, генеральный директор Web Control
Даниил Гусаров, инженер информационной безопасности АО “ДиалогНаука”
Артем Ильин, ведущий менеджер по техническому сопровождению продаж NGR Softlab
Константин Родин, руководитель направления по развитию продуктов, АйТи Бастион
Артем Туренок, руководитель отдела технических решений АО “ДиалогНаука”

ris1_w

В каком направлении будет развиваться функциональность систем класса PAM? Какие возможности будут востребованы через 2–3 года?

Константин Родин, АйТи Бастион: PAM – это давно не изолированный класс решений. Эти системы стоят на периметре критически важных систем и просто должны взаимодействовать с другими системами для быстрого реагирования на инциденты. Следовательно, будет активнее развиваться интеграция. Другая потребность – предоставление доступа в момент, когда он необходим, то есть Just-in-time. Третий вектор развития – выполнение сценарных задач без предоставления полных прав на доступ и, как следствие, – минимизация прав доступа. И тем самым PAM будет плотнее встраиваться в большинство бизнес-сценариев компании, станет бóльшим, чем просто средство информационной безопасности.

Андрей Акинин, Web Control: По моему мнению, PAM обязаны следовать тенденциям развития ИТ-систем, безопасность управления которыми они обеспечивают. Можно выделить три значимых направления. Во-первых, ИТ-системы становятся все более распределенными и многокомпонентными, набирает все большую популярность использование программных контейнеров и микросервисной архитектуры, поэтому очевиден рост сегмента PAM для межмашинного (не интерактивного) взаимодействия. Второй тенденцией является перенос информационных систем на платформу Linux, следовательно, уже сейчас востребована поддержка управления жизненным циклом привилегий и привилегированным доступом для Linux-систем. Я думаю, что в ближайшие пару лет этот функционал станет обязательным для любой PAM-системы. Третье направление связано с непрерывным ростом количества элементов ИТ-инфраструктуры, от которых зависит не только успех, но и само существование компании. Это приведет к развитию средств автоматизации.

Даниил Гусаров, ДиалогНаука: Вероятно, функционал PAM будет улучшаться в направлении интеграции с облачными и гибридными средами, расширения поддержки для DevOps и автоматизации, а также улучшения возможностей аналитики и отчетности. Особенно востребованными будут функции мультиоблачной поддержки, интеграции через API, управления доступом на основе ролей, механизмов динамической авторизации и аутентификации на основе рисков. Кроме того, решения PAM будут продолжать фокусироваться на безопасности и соблюдении нормативных требований, предлагая более сильное шифрование и более надежные аудит-трейлы.

Артем Ильин, NGR Softlab: В первую очередь будет расширен круг функциональных возможностей в части управления доступом как облачных решений и инфраструктуры, включая управление АСУ ТП, так и инструментов DevOps. Возможности, которые будут особенно востребованы через несколько лет: автоматизация рутинных процессов и задач, а также контроль доступа в части работы с БД.

Как правильно построить интеграцию системы PAM с системой DLP для усиления защиты от внутренних нарушителей?

Константин Родин, АйТи Бастион: Начнем с того, что DLP сама по себе критически важная информационная система. Защита ее конфигурации, ввода в эксплуатацию и других операций с ней должны быть под надежным контролем. То есть для начала все работы на ней должны быть обеспечены через PAM-систему. Другой сценарий взаимодействия – это использование PAM как части инфраструктуры DLP по передаче данных, будь то файлы либо события, в тех случаях, когда нет возможности установки DLP-агента на целевой или пользовательской машине.

Артем Туренок, ДиалогНаука: На текущий момент существует ряд типовых интеграций DLP с PAM-системами. Они позволят повысить уровень мониторинга и контроля за действиями сотрудников с расширенными правами, в том числе в аспекте управления самой DLP. Совместная работа обоих решений обеспечивает прозрачное управление инцидентами и проведение расследований при злоупотреблении правами со стороны привилегированных пользователей.

В случае развернутой DLP-системы на предприятии для правильной интеграции с PAM необходимо:

  • уточнить у вендоров систем о возможности их интеграции;
  • установить компоненты DLP системы на целевые системы и Jump-северы;
  • определить список запрещенных действий администратором на серверах DLP;
  • настроить интеграцию DLP-системы с PAM.
  • тем Ильин, NGR Softlab:

В данном случае агенты DLP разворачиваются на целевых серверах, куда переходят пользователи для выполнения своих задач. PAM взаимодействует с контролируемым сервером и рабочим местом, с которого происходит подключение, и позволяет ограничить передачу данных. Таким образом, добавляется новый слой событий (факт подключения/отключения, команды, нажатия, скачивание файлов, буфер обмена), которые могут обрабатываться совместно с событиями DLP в единой SIEM-системе.

Даниил Гусаров, ДиалогНаука: Необходимо определить, какие привилегированные аккаунты и роли имеют доступ к конфиденциальным данным, а также какую информацию необходимо защитить от утечки. Затем можно настроить PAM таким образом, чтобы она обеспечивала мониторинг действий пользователей с привилегированными правами и оповещала систему DLP в случае обнаружения потенциальных утечек данных. При этом следует убедиться, что система DLP может корректно интерпретировать информацию о действиях пользователей, полученную от системы PAM, и принимать необходимые меры для предотвращения утечек данных.

Назовите топ-3 ошибок при внедрении системы PAM, по вашему опыту.

Артем Ильин, NGR Softlab:

  1. Внедрять решение сразу на всю инфраструктуру. Нужно разделять: сначала подключать к PAM небольшие сегменты сети и/или информационные системы, постепенно включая все больше пользователей.
  2. Включать систему сразу и безальтернативно. Если у пользователей еще нет навыков использования PAM, то одномоментно образуется много вопросов по эксплуатации. Поэтому важно интегрировать ее постепенно.
  3. Внедрение без интеграции с SIEM или ожидание, что РАМ устранит все проблемы. По опыту, PAM – это дополнительный блок в сложном механизме информационной безопасности компании и оставлять его без связей с другими системами ИБ опасно.

Артем Туренок, ДиалогНаука:

  1. Отсутствие документа "Матрица доступа", описывающего учетные записи (УЗ) пользователей, привилегированные УЗ, целевые системы, протокол подключения.
  2. Отсутствие интеграции решения PAM с системами контроля сетевого доступа (контроль сетевого доступа с Jump-серверов не осуществляется).
  3. Отсутствие точного понимания параметров, вроде количества сессий в час, что влияет на сложность подготовки архитектурного решения системы.

Андрей Акинин, Web Control:

  1. С точки зрения безопасности ИТ главная ошибка при внедрении PAM – это частичное внедрение, когда PAM закрывает только часть каналов управления ИТ-инфраструктурой и системами. Это как поставить забор на охраняемой территории только с одной стороны.
  2. Внедрение системы через выкручивание рук ее пользователям – айтишникам. Это приводит к активному противодействию, ведь айтишники найдут способ работы в обход системы.
  3. Выбор наиболее известной системы с максимальным функционалом, а не той, которая подходит под конкретные задачи заказчика. Как правило, внедрение такой системы затягивается, а имеющийся функционал используется лишь частично. При этом стоимость такой системы иногда на порядок выше.

Даниил Гусаров, ДиалогНаука:

  1. Неправильная реализация управления доступом на основе ролей приводит к предоставлению чрезмерных привилегий отдельным лицам или группам, что может привести к несанкционированному доступу и утечке данных.
  2. Отсутствие регулярной проверки и обновления средств контроля доступа, оставление устаревших разрешений и повышение риска внутренних угроз.
  3. Недостаточное обучение системных администраторов и других заинтересованных лиц, приводящее к неправильному пониманию цели и области применения системы PAM и способам ее эффективного использования.

Константин Родин, АйТи Бастион:

  1. Отсутствие понимания, зачем систему внедряют: есть только задача внедрить, без установки цели. В результате PAM контролирует не те доступы, а действительно критичные системы имеют "запасной вход" или просто не контролируются.
  2. Цель и плюсы системы не были объяснены пользователям, из-за чего возникают конфликты и внутренний саботаж. Цель PAM – не банальная слежка, а повышение безопасности и прозрачности процессов. Иногда пользы для пользователей больше, чем для контролеров.
  3. Переусложнение политик доступа на этапе проектирования: хочется контролировать всех и точечно, но часто выработанные требования оказываются весьма далеки от реальных процессов.

Каковы перспективы развития облачных систем PAM в России?

Артем Ильин, NGR Softlab: Пока сложно говорить о быстром росте облачных систем РАМ, но уже есть предпосылки развития и перехода этого класса решений в облако. В первую очередь набирает популярность функционал контроля сторонних организаций, когда необходимо предоставить доступ к ресурсам компании.

Константин Родин, АйТи Бастион: Перспективы облачных PAM тесно связаны с переходом инфраструктуры заказчиков в облака. Будет активная миграция в облако у заказчиков – станет развиваться и облачный PAM. Мы уже несколько лет развиваем это направление у отдельных облачных провайдеров. Да, пока движение нельзя назвать бурным, но оно происходит. Чем более крупные и важные объекты будут перемещаться в облачную инфраструктуру, тем и PAM будет облачнее. Думаю, через один-два года тренд будет более заметен.

Андрей Акинин, Web Control: С распространением облачных сервисов системы PAM с поддержкой управления правами доступа в облачной инфраструктуре становятся все более актуальным. Мы уже видим запрос рынка по этой теме. Однако применение облачных PAM, скорее всего, будет ограничено сегментом облачных сервисов.

Даниил Гусаров, ДиалогНаука: С одной стороны, растет осознание важности кибербезопасности и потребности в эффективных PAM-решениях в России, что может стимулировать спрос на облачные PAM-системы. С другой стороны, нормативно-правовая база в России может создать проблемы для внедрения облачных решений, особенно если есть опасения по поводу суверенитета и безопасности данных.

Артем Туренок, ДиалогНаука: Облачные решения в России активно развиваются: малому и среднему бизнесу это позволит сократить расходы на приобретение и внедрение PAM. Но крупный бизнес пока не готов к переходу в облако.

Может ли PAM помочь в обеспечении соответствия требованиям законодательства в области персональных данных и как?

Андрей Акинин, Web Control: Защита персональных данных – это комплекс мероприятий, строго говоря PAM эту задачу напрямую не решает. Но является необходимым компонентом в части безопасности управления системами, работающими с персональными данными, как, впрочем, и любыми критичными ИТ-системами.

Даниил Гусаров, ДиалогНаука: Системы PAM могут помочь с соблюдением требований к персональным данным, предоставляя элементы управления для ограничения доступа к конфиденциальным данным и отслеживания активности привилегированного доступа. Системы PAM также могут способствовать соблюдению правил защиты данных за счет применения политик доступа и аудита привилегированного доступа. Кроме того, PAM может поддерживать соответствие внутренним политикам безопасности и отраслевым стандартам, предоставляя детальный контроль доступа и регулярные проверки доступа.

Константин Родин, АйТи Бастион: Начнем с того, что PAM позволяет идентифицировать факт работы с системами хранения ПДн. А далее PAM может идентифицировать и показать, что именно это был за доступ, кто и что сделал. РАМ-системы могут также "поймать" факт выгрузки и передачи файлов и выгрузок из БД к себе на личный компьютер. То есть фактически дать фактуру по доступу к персональным данным. Разумеется, PAM – это не "серебряная пуля" против всех проблем и утечек, но система сможет снизить риски или свести их к минимуму. А если применять PAM совместно с другими решениями, то и эффект будет заметным.

Артем Ильин, NGR Softlab: Например, Infrascope закрывает требования 152-ФЗ в части обработки и хранения персональных данных. В частности, дает возможность как ограничить доступ к данным, так и контролировать их целостность, фиксировать изменения, а также вести учет и ограничить список лиц, имеющих доступ.

Артем Туренок, ДиалогНаука: PAM-системы могут реализовать ряд мер защиты в случае невозможности установки или использования сертифицированных средств защиты информации, такие как:

  • управление идентификаторами и средствами аутентификации;
  • управление аккаунтами привилегированных пользователей, настройка прав доступа к устройствам;
  • предупреждение пользователя при его доступе к информационным ресурсам;
  • детальное протоколирование действий и событий на целевых системах, что в случае необходимости позволяет расследовать инциденты ИБ.

В каких компонентах PAM стоит ожидать появление элементов искусственного интеллекта?

Артем Туренок, ДиалогНаука: На текущий момент российские вендоры PAM-решений предлагают модули поведенческого анализа собственной разработки, которые анализируют различные параметры действий администраторов, позволяя найти в этих действиях критичные отклонения от их стандартного поведения. Механизмы анализа данных построены на основе нейронных сетей, алгоритмов статистики и машинного обучения. Компоненты способны определять признаки сценариев аномального поведения.

Андрей Акинин, Web Control: ИИ уже давно присутствует в некоторых PAM-системах. Элементы искусственного интеллекта уже используются для анализа поведенческих профилей пользователей, некоторые PAM используют алгоритмы распознавания образов для анализа содержимого сеансов. Я не берусь оценивать качество их работы и вклад в общую ценность системы, однако очевидно, что по мере развития технологий они станут неотъемлемой частью любого PAM-решения.

Даниил Гусаров, ДиалогНаука: В рамках поведенческой аналитики ИИ может помочь в обнаружении аномального поведения пользователей с привилегированным доступом, активировать оповещения и потенциально снизить риск внутренних угроз. ИИ можно использовать для автоматизации рабочего процесса запросов и утверждений на доступ, что снижает нагрузку на администраторов-людей и повышает эффективность. ИИ целесообразно привлечь к анализу различных факторов и присвоения оценки риска каждому запросу на доступ, помогая расставлять приоритеты и ускорять утверждение запросов с низким уровнем риска, выделение запросов с высоким риском для дальнейшего изучения. ИИ может автоматически предоставлять права доступа на основе рабочих ролей и исторических моделей использования, повышая точность и эффективность управления доступом.

Константин Родин, АйТи Бастион: Появление элементов ИИ стоит ожидать в аналитике, анализе поведения и построении отчетов. То есть там, где требуется работа с большими объемами данных и прогнозирование. Сейчас эти задачи тоже решаются, просто другими методами, и, стоит отметить, уже достаточно хорошо. Но всегда есть стремление к лучшему, и человеку требуется помощь в обработке больших массивов информации о сессиях и действиях в них, а именно ИИ сможет сделать это быстрее и точнее, предоставив человеку право принять решение. Хотя не исключено, что и к принятию решений ИИ будет тоже привлекаться. Другие задачи в основном решаются и без ИИ.

Артем Ильин, NGR Softlab: Появление элементов искусственного интеллекта можно ожидать в первую очередь во всех компонентах, включающих аналитику, например поведенческом анализе или анализе угроз. Это возможно также в части построения правил и ограничений действий пользователей, исходя из их должности и обязанностей.

Ваш совет: как можно оптимизировать стоимость внедрения и эксплуатации системы PAM?

Константин Родин, АйТи Бастион: Начните с определения задач, которые будет решать PAM. Отсюда станет понятен минимальный набор компонентов системы и пути получения рабочего решения. Перед покупкой проведите анализ и пилотирование решений в условиях, приближенных к реальным: именно на этом этапе станет понятно, насколько эффективно вы вложите деньги и как сложно будет поддерживать систему. Иногда выгоднее переплатить, чем тратить ресурсы на поддержку и доработку решения. Главное – общайтесь с производителем, узнайте его мнение, так как ему выгодно, чтобы система была оптимальна по цене и качеству, и, как следствие, вам это выйдет дешевле на этапе внедрения и эксплуатации.

Андрей Акинин, Web Control: Как практик, буду банален: для оптимизации стоимости внедрения и эксплуатации системы ее выбору должна предшествовать четко сформулированная и адекватная модель угроз, потенциальная поверхность атаки и выработан комплекс необходимых мер противодействия с определением роли и задач, которые должна решать PAM-система. В этом случае выбор будет максимально взвешенным и сбалансированным. А в ходе пилота можно будет проверить, в какой мере система решает сформулированные вами задачи. В противном случае велик риск неоправданных расходов на излишний, неиспользуемый функционал как в части приобретения лицензий, так и в части излишних затрат на внедрение и эксплуатацию.

Артем Туренок, ДиалогНаука: На стоимость решения влияет количество серверов системы и количество одновременно подключаемых пользователей, целевых систем (включая способы подключения к ним). Для уменьшения стоимости владения системой рекомендуется выбрать оптимальную политику лицензирования (по пользователям, сессиям, устройствам), использовать Linux в качестве ОС для серверов системы и Jumpсерверов, а также вести документ "Матрица доступа" и регулярно сверять его с настройками системы для понимания точного количества подключаемых сотрудников и целевых систем. Для снижения стоимости эксплуатации стоит также рассмотреть возможность интеграции PAM с решениями класса IDM и IGA.

Артем Ильин, NGR Softlab: Оптимизировать стоимость внедрения и эксплуатации РАМ можно только благодаря грамотному использованию системы и получению максимального эффекта с повышением информационной безопасности всей организации в целом. Оптимизацию стоит рассматривать не как цену владения (снизить ее можно и до нуля, просто не используя систему), а как определенный фронт работ в части использования системы. Например, улучшите автоматизацию рутинных задач, интеграцию со смежными решениями и грамотное выстраивание политик.

Даниил Гусаров, ДиалогНаука: Рассмотрите возможность использования облачного решения вместо локального. Это устраняет необходимость в дорогостоящем оборудовании и затратах на техническое обслуживание. Кроме того, приоритизируйте функции, которые непосредственно устраняют наиболее важные риски и автоматизируют процессы, позволяя сократить объем ручных операций и повысить эффективность. Регулярно пересматривайте и обновляйте политики доступа, чтобы они оставались эффективными и действенными.

Темы:Круглый столPAMЖурнал "Информационная безопасность" №1, 2023Контроль доступа

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.
  • Потеряет ли актуальность Vulnerability Management с повсеместным внедрением процессов безопасной разработки?
    C распространением процессов безопасной разработки (РБПО) встает вопрос: не потеряет ли актуальность традиционные способы управления уязвимостями? Редакция журнала "Информационная безопасность" поинтересовалась мнением экспертов.
  • Indeed Access Manager в Альфа-Банке: отечественное решение оказалось лучше западного
    Сергей Крамаренко, руководитель департамента кибербезопасности Альфа-Банка
    Беседуем с Сергеем Крамаренко, руководителем департамента кибербезопасности АльфаБанка, о реальном опыте внедрения российской системы многофакторной аутентификации пользователей Indeed Access Manager, которая не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение.
  • Какая функциональность будет востребована в системах Vulnerability Management
    Какая новая функциональность будет востребована в системах Vulnerability Management в ближайшие 2–3 года? Есть ли тренд на слияние VM с другими классами иБ-систем?
  • Три мифа о системах класса Vulnerability Management. Или не мифа?
    Cистемы класса Vulnerability Management (VM) постоянно развиваются. У них есть устоявшаяся, традиционная функциональность, но есть вызовы, на которые надо реагировать.
  • Блокчейн в России: взгляд сквозь призму практики
    Кажется, мы стали забывать, что блокчейн как технология обладает многогранным потенциалом и выходит далеко за рамки криптовалют. Практические российские проекты в этой сфере имеют свои особенности, учитывающие не только специфику предметной области и требования законодательства, но и опыт криптовалютных реализаций блокчейна, как позитивный, так и негативный.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...