PAM не предназначен для поиска слепых зон, а фокусируется на контроле доступа по заданным политикам. Обычно доступ к критически важным системам возможен только через PAM, что обеспечивает соблюдение внутренней стратегии безопасности. При этом внедрение PAM нередко вскрывает уязвимые участки, требующие отдельного внимания со стороны ИБ-специалистов.
В Infrascope существует возможность поиска и добавления привилегий в собственное хранилище со сменой пароля неподконтрольных учетных записей на целевых системах. Реализована также функция автоматизированного поиска устройств в сети, что позволяет своевременно выявлять неконтролируемые устройства.
После внедрения PAM слепые зоны остаются из-за теневых привилегий и обходных доступов. Чтобы устранить их, нужно действовать системно. Во-первых, использовать сканеры привилегий в целевых системах, а затем сравнивать результаты с данными PAM. Во-вторых, интегрировать PAM с системами управления конфигурациями (CMDB) и учетными записями (IDM), чтобы автоматически контролировать новые объекты. В-третьих, ограничить доступ к критическим системам в обход PAM и настроить отправку событий в SIEM или SOC.
Для автоматического выявления и устранения слепых зон в доступе PAM интегрируется с LDAP и IDM, что позволяет инвентаризировать пользователей и их учетные записи. Подключение к СОВ и анализ сетевых доступов помогают находить обходные пути и незарегистрированные подключения. Все привилегированные учетные записи централизованно хранятся в PAM без выдачи паролей администраторам, а их ротация осуществляется автоматически.
Чаще всего привилегированные учетные записи добавляются в РАМ централизованно и вручную, однако в масштабных геораспределенных инфраструктурах это бывает сложно обеспечить. В этих случаях для автоматического поиска и импорта в РАМ привилегированных учетных данных необходимо использование специализированных инструментов Account Discovery.
Для защиты PAM необходимо обеспечить строгий контроль доступа и четкое разграничение прав – только ограниченный круг пользователей управляет политиками и конфигурацией. Всем администраторам обязательна двухфакторная аутентификация. Система ведет детальный аудит действий с привилегированными учетными записями, включая изменения настроек, и отправляет события в SIEM для своевременного обнаружения несанкционированных изменений.
Для защиты PAM от внутренних злоумышленников реализован механизм контроля второй рукой. Все изменения конфигурационных элементов в разделе "Настройки системы" проходят через систему заявок: пользователь создает запрос на изменение, который должен быть одобрен другим уполномоченным сотрудником. То есть реализован принцип двойного контроля.
Для защиты PAM от внутренних злоумышленников реализован ряд механизмов: ролевые ограничения (RBAC) ограничивают доступ к критическим функциям. Все действия сопровождаются уведомлениями и анализируются с помощью поведенческой аналитики.
Обеспечивается контроль целостности и конфигураций системы. Администраторы PAM и ОС (например, Astra Linux) разделены, что снижает риск пересечения полномочий. Вся активность фиксируется во внутреннем журнале аудита с возможностью передачи событий в SIEM. Дополнительно применяется многофакторная аутентификация.
Защита PAM от внутренних угроз начинается с многофакторной аутентификации и строгого разграничения прав. В Indeed PAM реализована гибкая ролевая модель с возможностью создания кастомных ролей, что позволяет назначать только необходимые полномочия. Вся активность логируется, а логи защищены от изменений и могут передаваться в SIEM. Даже при попытке злоупотребления действия администратора будут зафиксированы и выявлены.
В sPACE PAM реализованы механизмы, предотвращающие несанкционированные действия как со стороны пользователей, подключающихся через систему, так и со стороны администраторов и аудиторов. Гибкая ролевая модель позволяет точно настраивать доступ к функциям PAM и создавать пользовательские роли в соответствии с политиками безопасности. Мультитенантность обеспечивает изоляцию: каждая зона имеет собственных администраторов, пользователей и целевые системы, оставаясь невидимой для остальных.
Управление правами доступа в облачной инфраструктуре (Cloud Infrastructure Entitlement Management, CIEM) является трендом на зарубежном рынке. В России же инициатива по интеграции PAM в облака зависит от крупных облачных провайдеров и темпов миграции заказчиков в облако. Российские решения активно развиваются и адаптируются под локальные и гибридные облачные среды, но мы не получали пока запросы на управление доступом в таких инфраструктурах.
Некоторые российские PAM уже интегрируются с облачными провайдерами через API, включая VK Cloud и Mail.ru. Однако глубина интеграции зависит от открытости API облаков. Инициатива – на стороне вендоров PAM, но требуется сотрудничество с провайдерами.
Клиенты облачных провайдеров уже используют PAM как сервис для обеспечения безопасного и контролируемого доступа собственных специалистов и подрядных организаций. Считаю, что на очереди – предоставление PAM облачными провайдерами для клиентов и собственного использования.
Если рассмотреть на примере BI.ZONE PAM, то технических препятствий нет. Однако поскольку облачные PAM-решения только набирают популярность в России, ключевой вопрос сейчас – это готовность компаний к такому формату. Важно также учитывать вопросы биллинга и тарификации.
Отечественные облачные провайдеры редко сталкиваются с четко выраженной потребностью клиентов в управлении при вилегированным доступом в облаке, а в случае появления такие задачи решаются клиентами точечно – с помощью РАМ, способных работать в облаке. Поэтому инициатива скорее находится на стороне РАМ-вендоров. По нашей оценке, крупные отечественные облачные провайдеры не часто сталкиваются с такими запросами, а в случае необходимости ожидают специализированных решений.
Инициатива по облачному PAM остается за вендорами. Пока спрос невысок, большинство компаний предпочитает on-premise-модель. Однако развертывание PAM в облаке возможно – например, на виртуальных машинах. Подобным образом мы уже реализовали облачный MFA в ответ на запросы клиентов.