Контакты
Подписка 2025
Статьи по информационной безопасности

Создание безопасной траектории реализации привилегий

Андрей Акинин, 25/08/25

Ошибки привилегированных пользователей становятся заметной причиной ИБ-инцидентов. Современные PAM-системы предлагают эффективный подход – безопасные и удобные траектории доступа, которые не мешают работе, но исключают риски. Рассмотрим ключевые принципы такой модели и практические шаги к ее внедрению.

Автор: Андрей Акинин, генеральный директор Web Control

Практически все компании используют ИТ-инструменты, а работоспособность цифровой инфраструктуры имеет для них критическое значение. По этой причине защита информационных систем становится жизненно важным условием существования бизнеса.

Смысл любой системы безопасности заключается, прежде всего, в предотвращении ущерба. Обычно мы боремся со злоумышленниками, но большинство инцидентов так или иначе связано с ошибками в действиях собственных сотрудников. Исходя из этого, разумным подходом является создание ИТ-среды с безопасными траекториями поведения, минимизирующими вероятность такой ошибки.

Внедрение инструментов безопасности часто накладывает ограничения или усложняет работу ИТ-специалистов, что тормозит бизнес-процессы и увеличивает время устранения ИТ-сбоев. Поэтому современные производители систем безопасности стараются не только решить вопросы безопасности, но и оптимизировать работу персонала за счет автоматизации процессов. Таким образом, безопасность может быть не только надежной, но и эффективной. Производители стремятся создать удобные и безопасные траектории поведений в различных сферах. Хорошим примером могут быть системы быстрых электронных платежей, которые предоставляют высокий уровень безопасности и освобождают от необходимости заполнения множества форм, а то и похода в банк.

Современные PAM-системы создают удобные и безопасные траектории для привилегированных пользователей. При этом под привилегированным пользователем может пониматься не только ИТ-персонал, но и бизнес-пользователи, имеющие доступ к критическим бизнесфункциям. От безопасности действий этих пользователей зависит функционирование и прибыльность компании.

Принципы безопасных траекторий реализации привилегий

В основе безопасных траекторий реализации привилегий лежат пять принципов.

  1. Надежная идентификация пользователей.
  2. Предоставление привилегий в минимальном объеме на ограниченное время для выполнения конкретных согласованных задач.
  3. Использование только доверенных инструментов управления.
  4. Предоставление доступа в защищенной среде.
  5. Мониторинг и аудит действий пользователей.

Надежная идентификация пользователей

Большинство инцидентов кибербезопасности связаны с компрометацией учетных данных, особенно в унаследованных системах и старых интерфейсах управления. Эти недостатки исправляет использование многофакторной аутентификации (MFA).

MFA – это метод безопасности, требующий от пользователей предоставления не менее двух факторов аутентификации для доступа к системе: например, биометрию, одноразовые пароли или аппаратные токены. Чаще всего вторым фактором служит одноразовый пароль. Многофакторная аутентификация значительно затрудняет несанкционированный доступ злоумышленников в систему, что сделало ее стандартным компонентом системы информационной безопасности практически любой компании. Но ее применение не всегда возможно осуществить в старых системах. Использование многофакторной аутентификации при организации сеанса привилегированного доступа с помощью PAM-системы устраняет эту проблему.

Привилегии в минимальном объеме на ограниченное время для конкретных согласованных задач

Предоставление привилегий на ограниченное время в минимальном объеме предполагает, что для доступа к управлению ресурсами и данным сотрудник использует свою стандартную доменную учетную запись, у которой нет постоянных привилегий. Привилегии предоставляются только на время выполнения рабочих задач и сразу же отзываются, как только задачи завершены.

Для выполнения своих рабочих задач ИТ-персоналу нужен удаленный доступ к ИТ-ресурсам (серверам, сетевым устройствам, СУБД, базам данных, CRM, ERP, HR-системам, 1С и т.п.). Подключение к ним требует ввода учетных данных.

Для экономии времени ИТ-персонал часто использует один и тот же пароль/ключ, что входит в противоречие с парольными политиками компании, или самостоятельно установленные агенты для хранения ключей (теневое ИТ), что тоже может быть небезопасно. Бизнес-персонал, от которого требуют регулярной смены пароля, часто использует единый принцип формирования паролей, привязанный, например, к месяцу или системе. Обычной практикой является использование единого пароля для доступа к нескольким ресурсам. Это значит, что компрометация даже одной учетной записи может привести не только к проникновению в ИТ-инфраструктуру компании, но и к горизонтальному и вертикальному распространению по ней.

При использовании PAM-системы происходит автоматическая проверка: разрешен ли сотруднику доступ, например, к СУБД или маршрутизатору в целом и в данное время в частности; запускается сеанс удаленного доступа к ресурсу. При этом данные привилегированной учетной записи пользователю неизвестны, они подставляются автоматически, что снимает с него задачи по управлению жизненным циклом привилегированных учетных записей. Таким образом происходит снижение объема постоянных привилегий, что уменьшает поверхность атаки.

Использование только доверенных инструментов управления

Использование доверенных инструментов управления предполагает, что доступ к управлению ИТ-ресурсами осуществляется посредством исключительно тех приложений, которые были проверены службой ИБ и размещены на защищенном сервере.

Для удаленного подключения к управлению ИТ-ресурсами администраторы используют разные инструменты различных версий в зависимости от личных предпочтений администраторов. Однако эти инструменты могут оказаться устаревшими (старые версии) и содержать уязвимости, могут быть загружены из Интернета уже взломанными. Проблема решается формированием репозитория доверенных инструментов, проверенных специалистами по информационной безопасности.

Использование только доверенных инструментов позволяет четко контролировать поверхность атаки. Современный PAM дает возможность автоматизировать этот процесс, предоставляя доступ только с помощью тех инструментов, которые размещены на защищенном сервере.

Предоставление доступа в защищенной среде

Для снижения риска компрометации учетных данных инструменты управления изолируются от потенциально скомпрометированной рабочей станции пользователя.

ИТ-пользователь – это, как правило, высококвалифицированный сотрудник. У него есть доступ в Интернет и полные права на своей рабочей станции, поэтому повышается вероятность ее компрометации. Таким образом среда рабочей станции администратора является недоверенной, то есть нельзя гарантировать отсутствие на ней вредоносного ПО.

А наличие вредоносного ПО – прямой путь к компрометации учетной записи. Для снижения вероятности компрометации учетных данных нужно изолировать их использование от потенциального вредоносного ПО недоверенной среды рабочей станции. Это требует запуска сеансов привилегированного доступа в защищенной среде на специальном сервере.

PAM-системы предоставляют такую возможность, в результате секреты учетных записей не доступны на рабочей станции пользователя, и это снижает риск их компрометации.

Мониторинг и аудит действий пользователей

Траектория безопасной реализации привилегий предполагает фиксацию действий пользователя, в том числе и видеофиксацию. Это позволяет проводить расследование в случае киберинцидентов, выявлять несанкционированный доступ, аномалии привилегированного доступа и первопричины рискованных событий.

Как быстро и безболезненно внедрить траектории?

Траектории безопасной реализации привилегий будут работать в компании только в том случае, если они станут не только повышать безопасность, но и окажутся удобными для пользователей. Создать такие траектории позволяет современная PAM-система с гибкими адаптивными сценариями запуска доверенных привилегированных инструментов. В этом случае пользователи не будут пытаться получить доступ в обход PAM-системы.

Системы управления привилегированным доступом эволюционировали из менеджеров паролей администраторов в универсальную систему привилегированного доступа к любым ИТ-ресурсам. Они перестали быть прерогативой исключительно ИТ-специалистов. Сегодня PAM предоставляет безопасный контролируемый доступ и для ИТ-, и для бизнес-пользователей, и для межмашинного взаимодействия. Это предъявляет новые требования: он должен быть простым в развертывании, удобным в использовании и гибким в интеграции со сторонними системами.

Простой в развертывании

Системы управления привилегированным доступом – сложные корпоративные системы, часто требующие "предполетного" обучения и развертывания в течение длительного (до полутора лет) срока. Бывают случаи, когда полное развертывание не доводится до конца, либо использование системы требует длительного обучения, что оставляет негативное впечатление от взаимодействия с PAM. Об этом говорят и исследования зарубежных агентств, например, в отчете Gartner Magic Quadrant for Privileged Access Management 2023 аналитики отметили, что при внедрении компании испытывают трудности, когда выходят за пределы базового функционала. Причем объем этих трудностей разнится от вендора к вендору.

Зная это, разработчики PAM-систем, появившихся на рынке в последние годы, стараются сделать свое решение простым и легким в управлении, чтобы сократить срок ввода в эксплуатацию и расходы на обучение и обслуживание. В основе таких систем лежит следующий принцип: обеспечить ИБ и пользователей простым и удобным инструментом безопасного управления ИТ-ресурсами с необходимыми возможностями, не навязывая избыточный функционал.

Удобный в использовании

Тренд современного мира – делать безопасные вещи удобными. Если раньше безопасность означала дополнительные сложности, то в современных продуктах это уже не так.

PAM предлагает централизованную панель управления доступом к любым ИТ-ресурсам и автоматизирует процессы согласования доступа. В отсутствие такого инструмента сотрудники подключаются к различным системам самыми разными способами: запуская скрипты и инструменты администрирования, авторизуясь в веб-приложениях. Для доступа к каждому ИТ-ресурсу нужно держать в голове уникальный секрет, регулярно его обновлять и запоминать новый. Инструменты администрирования необходимо обновлять для устранения уязвимостей. Все это отвлекает от выполнения основных задач. Согласование доступа также отнимает время. PAM автоматизирует эти процессы, делая удобным процесс доступа к ИТресурсам.

Быстрый в интеграции со сторонними системами

Контроль привилегий и привилегированного доступа все чаще становится темой межмашинного взаимодействия. По этой причине любая PAM-система должна предусматривать механизмы бесшовной интеграции с любой сторонней системой: как для контроля привилегий, контроля действительности привилегий, так и для обогащения информации о сеансе привилегированного доступа для SIEM и DLP, DCAP/DAG. Например, PAM может обогащать данные для DLP и использовать DCAP для управления доступом.

Безопасные траектории с помощью sPACE PAM

Бизнес требует от администраторов быстрого решения задач, а ИБ, в свою очередь, требует выполнения нормативов регуляторов и следования политикам безопасности, что замедляет скорость. Этот конфликт разрешают траектории безопасного поведения, и создание таких траекторий становится тенденцией, особенно в тех областях, где требования к безопасности высоки.

ris1-Aug-25-2025-04-01-37-9430-PM

Постановка автомобиля на охрану требует нажатия одной кнопки. Финансовые переводы пользователей больше не требуют заполнения многочисленных полей. Современные PAM должны быть такими же простыми. Они позволяют быстро организовать административный доступ к ИТ-инфраструктуре в нужный момент и делают это безопасно в соответствии с политиками компании и требованиями регулятора. Создавая нашу систему управления привилегированным доступом sPACE PAM [1], мы руководствовались именно этими принципами.

  1. http://s-pace.ru/ 
Темы:PAMsPACE PAMЖурнал "Информационная безопасность" №3, 2025

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Привилегии вне контроля и как с ними справиться
    После внедрения PAM в один прекрасный день выясняется, что значительная часть привилегий остается вне поля зрения системы. Почему появляются слепые зоны, кто должен их искать, и можно ли защитить сам PAM от внутренних угроз? Обсуждаем с экспертами, где пролегают границы ответственности PAM, чего не видно без интеграций, и каковы перспективы работы российских PAM-решений в облаке.
  • Как и зачем меняется PAM?
    PAM меняется вместе с инфраструктурой, рисками и ожиданиями бизнеса. Речь уже не просто о контроле привилегий, а о полноценном элементе архитектуры доверия. Редакция журнала “Информационная безопасность” спросила у экспертов, какие функции в PAM сегодня можно считать прорывными, как решаются задачи масштабирования и что помогает выявлять слепые зоны.
  • Avanpost SmartPAM: как устроено интеллектуальное управление привилегированным доступом
    Сергей Померанцев, владелец продукта Avanpost SmartPAM
    В Avanpost мы поставили перед собой амбициозную цель: предложить рынку инновационный продукт, обеспечивающий высокий уровень защиты за счет проактивного реагирования на угрозы. Кроме того, мы хотели усилить успешную линейку фокусирующихся на управлении доступом продуктов, поэтому в этом году анонсировали Avanpost SmartPAM – систему управления привилегированным доступом.
  • PAM – строим вместе
    Василий Окулесский, вице-президент по информационной безопасности ЦМРБанка
    Хороший продукт – это всегда плод совместных усилий производителя и пользователей. Чтобы продукт был успешным и востребованным, им должны пользоваться, давать обратную связь, и производитель должен реагировать на нее. Только тогда он станет по-настоящему полезным, конкурентоспособным, будет расти и развиваться.
  • Indeed Access Manager в Альфа-Банке: отечественное решение оказалось лучше западного
    Сергей Крамаренко, руководитель департамента кибербезопасности Альфа-Банка
    Беседуем с Сергеем Крамаренко, руководителем департамента кибербезопасности АльфаБанка, о реальном опыте внедрения российской системы многофакторной аутентификации пользователей Indeed Access Manager, которая не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности