Редакция журнала "Информационная безопасность", 20/08/25
После внедрения PAM в один прекрасный день выясняется, что значительная часть привилегий остается вне поля зрения системы. Почему появляются слепые зоны, кто должен их искать, и можно ли защитить сам PAM от внутренних угроз? Обсуждаем с экспертами, где пролегают границы ответственности PAM, чего не видно без интеграций, и каковы перспективы работы российских PAM-решений в облаке.
Эксперты
- Игорь Базелюк, операционный директор Web Control
- Алексей Дашков, директор центра развития продуктов NGR Softlab
- Илья Моисеев, руководитель продукта Indeed PAM (Компания “Индид”)
- Артем Назаретян, руководитель BI.ZONE PAM
- Любовь Смирнова, менеджер продукта PAM от Контур.Эгиды
- Алексей Ширикалов, руководитель отдела развития продуктов, компания "АйТи Бастион"
После внедрения PAM часто выясняется, что заметная часть привилегий остается вне зоны контроля. Как можно автоматизировать регулярный поиск и устранение таких слепых зон?
Илья Моисеев, "Индид"
PAM не предназначен для поиска слепых зон, а фокусируется на контроле доступа по заданным политикам. Обычно доступ к критически важным системам возможен только через PAM, что обеспечивает соблюдение внутренней стратегии безопасности. При этом внедрение PAM нередко вскрывает уязвимые участки, требующие отдельного внимания со стороны ИБ-специалистов.
Алексей Дашков, NGR Softlab
В Infrascope существует возможность поиска и добавления привилегий в собственное хранилище со сменой пароля неподконтрольных учетных записей на целевых системах. Реализована также функция автоматизированного поиска устройств в сети, что позволяет своевременно выявлять неконтролируемые устройства.
Артем Назаретян, BI.ZONE
После внедрения PAM слепые зоны остаются из-за теневых привилегий и обходных доступов. Чтобы устранить их, нужно действовать системно. Во-первых, использовать сканеры привилегий в целевых системах, а затем сравнивать результаты с данными PAM. Во-вторых, интегрировать PAM с системами управления конфигурациями (CMDB) и учетными записями (IDM), чтобы автоматически контролировать новые объекты. В-третьих, ограничить доступ к критическим системам в обход PAM и настроить отправку событий в SIEM или SOC.
Алексей Ширикалов, "АйТи Бастион"
Для автоматического выявления и устранения слепых зон в доступе PAM интегрируется с LDAP и IDM, что позволяет инвентаризировать пользователей и их учетные записи. Подключение к СОВ и анализ сетевых доступов помогают находить обходные пути и незарегистрированные подключения. Все привилегированные учетные записи централизованно хранятся в PAM без выдачи паролей администраторам, а их ротация осуществляется автоматически.
Игорь Базелюк, Web Control
Чаще всего привилегированные учетные записи добавляются в РАМ централизованно и вручную, однако в масштабных геораспределенных инфраструктурах это бывает сложно обеспечить. В этих случаях для автоматического поиска и импорта в РАМ привилегированных учетных данных необходимо использование специализированных инструментов Account Discovery.
Как вы защищаете PAM от внутренних злоумышленников, чтобы исключить несанкционированное изменение политик, логов и конфигурации?
Алексей Дашков, NGR Softlab
Для защиты PAM необходимо обеспечить строгий контроль доступа и четкое разграничение прав – только ограниченный круг пользователей управляет политиками и конфигурацией. Всем администраторам обязательна двухфакторная аутентификация. Система ведет детальный аудит действий с привилегированными учетными записями, включая изменения настроек, и отправляет события в SIEM для своевременного обнаружения несанкционированных изменений.
Артем Назаретян, BI.ZONE
Для защиты PAM от внутренних злоумышленников реализован механизм контроля второй рукой. Все изменения конфигурационных элементов в разделе "Настройки системы" проходят через систему заявок: пользователь создает запрос на изменение, который должен быть одобрен другим уполномоченным сотрудником. То есть реализован принцип двойного контроля.
Алексей Ширикалов, "АйТи Бастион"
Для защиты PAM от внутренних злоумышленников реализован ряд механизмов: ролевые ограничения (RBAC) ограничивают доступ к критическим функциям. Все действия сопровождаются уведомлениями и анализируются с помощью поведенческой аналитики.
Обеспечивается контроль целостности и конфигураций системы. Администраторы PAM и ОС (например, Astra Linux) разделены, что снижает риск пересечения полномочий. Вся активность фиксируется во внутреннем журнале аудита с возможностью передачи событий в SIEM. Дополнительно применяется многофакторная аутентификация.
Илья Моисеев, "Индид"
Защита PAM от внутренних угроз начинается с многофакторной аутентификации и строгого разграничения прав. В Indeed PAM реализована гибкая ролевая модель с возможностью создания кастомных ролей, что позволяет назначать только необходимые полномочия. Вся активность логируется, а логи защищены от изменений и могут передаваться в SIEM. Даже при попытке злоупотребления действия администратора будут зафиксированы и выявлены.
Игорь Базелюк, Web Control
В sPACE PAM реализованы механизмы, предотвращающие несанкционированные действия как со стороны пользователей, подключающихся через систему, так и со стороны администраторов и аудиторов. Гибкая ролевая модель позволяет точно настраивать доступ к функциям PAM и создавать пользовательские роли в соответствии с политиками безопасности. Мультитенантность обеспечивает изоляцию: каждая зона имеет собственных администраторов, пользователей и целевые системы, оставаясь невидимой для остальных.
Получится ли у российских PAM работать с облачной инфраструктурой или инициатива в этом вопросе полностью на стороне крупных облачных провайдеров?
Алексей Дашков, NGR Softlab
Управление правами доступа в облачной инфраструктуре (Cloud Infrastructure Entitlement Management, CIEM) является трендом на зарубежном рынке. В России же инициатива по интеграции PAM в облака зависит от крупных облачных провайдеров и темпов миграции заказчиков в облако. Российские решения активно развиваются и адаптируются под локальные и гибридные облачные среды, но мы не получали пока запросы на управление доступом в таких инфраструктурах.
Любовь Смирнова, Контур.Эгида
Некоторые российские PAM уже интегрируются с облачными провайдерами через API, включая VK Cloud и Mail.ru. Однако глубина интеграции зависит от открытости API облаков. Инициатива – на стороне вендоров PAM, но требуется сотрудничество с провайдерами.
Алексей Ширикалов, "АйТи Бастион"
Клиенты облачных провайдеров уже используют PAM как сервис для обеспечения безопасного и контролируемого доступа собственных специалистов и подрядных организаций. Считаю, что на очереди – предоставление PAM облачными провайдерами для клиентов и собственного использования.
Артем Назаретян, BI.ZONE
Если рассмотреть на примере BI.ZONE PAM, то технических препятствий нет. Однако поскольку облачные PAM-решения только набирают популярность в России, ключевой вопрос сейчас – это готовность компаний к такому формату. Важно также учитывать вопросы биллинга и тарификации.
Игорь Базелюк, Web Control
Отечественные облачные провайдеры редко сталкиваются с четко выраженной потребностью клиентов в управлении при вилегированным доступом в облаке, а в случае появления такие задачи решаются клиентами точечно – с помощью РАМ, способных работать в облаке. Поэтому инициатива скорее находится на стороне РАМ-вендоров. По нашей оценке, крупные отечественные облачные провайдеры не часто сталкиваются с такими запросами, а в случае необходимости ожидают специализированных решений.
Илья Моисеев, "Индид"
Инициатива по облачному PAM остается за вендорами. Пока спрос невысок, большинство компаний предпочитает on-premise-модель. Однако развертывание PAM в облаке возможно – например, на виртуальных машинах. Подобным образом мы уже реализовали облачный MFA в ответ на запросы клиентов.
