Обзор рынка систем управления привилегированным доступом (PAM) 2022

• Предоставлять ограниченный по времени, гранулированный и защищённый доступ к целевым системам.
• Реализовывать принцип «just-in-time», временно выдавая конкретному пользователю необходимый набор прав для работы с определённым ресурсом.
• Вести протоколирование и запись сеанса работы, его мониторинг в настоящем времени, а также хранить полные данные для последующего аудита и расследования.
• Управлять паролями — хранить их в защищённой базе данных, генерировать и обновлять их в соответствии с политиками безопасности, по запросу или заранее установленному расписанию.
• Реализовывать принцип единого входа (Single Sign-On, SSO), избавляя от необходимости вводить учётные данные для доступа к целевым системам после авторизации на портале PAM.
• Проводить поведенческий анализ действий пользователя и осуществлять реагирование на аномальную активность.

• Решения Privileged Account and Session Management (PASM) предназначены для управления доступом пользователей к целевым системам — от ввода учётных данных до мониторинга и записи сессии. Это — «классические» функции PAM, зачастую обогащённые возможностями управления паролями и предоставления удалённого привилегированного доступа.
• Системы Privilege Elevation and Delegation Management (PEDM) представляют собой агентские решения, выдающие пользователям привилегии в рамках одного хоста. Обычно такие продукты способны самостоятельно обнаружить локальные учётные записи на уровне как системы, так и конкретных приложений. Стимулами развития инструментов PEDM нередко являются требования регулирующих органов по соответствию стандартам для ряда отраслей (PCI DSS, SOX и т. п.).
• Secrets Management — средства управления жизненным циклом паролей, ключей SSH, одноразовых токенов и других секретных кодов. Подобные системы позволяют безопасно хранить и использовать пользовательские пароли, а также обмениваться учётными данными между приложениями. Ещё одной востребованной функцией этих решений является работа с паролями в цикле DevSecOps.
• Сервисы Cloud Infrastructure Entitlement Management (CIEM) обеспечивают идентификацию пользователя и управление его правами доступа в мультиоблачной среде, а также обнаружение аномалий в правах облачных учётных записей и реализацию политики минимальных привилегий.

• ARCON Privileged Access Management.
• BeyondTrust Password Safe.
• CyberArk Privileged Access Manager.
• Delinea Secret Server.
• Fudo PAM.
• Krontech Single Connect.
• One Identity Safeguard.
• Senhasegura PAM Core.
• Symantec Privileged Access Management.
• Wallix Bastion.

• Privileged Access Management почти не попадает в область государственного регулирования, которое является одним из главных стимулов для рынка в нашей стране. По сути, PAM является полезным, но необязательным дополнением к системе ИБ.
• Процесс импортозамещения сосредоточен сейчас на наиболее востребованных продуктах в ключевых сегментах. Срочные задачи замены зарубежных систем в первую очередь касаются продуктов и сервисов, которые (опять же) попадают в сферу действия нормативных актов. До всего остального пока не доходят руки — ни у заказчиков, ни у вендоров.

• Indeed Privileged Access Manager.
• SafeInspect.
• Web Control sPACE.
• СКДПУ НТ.

• Механизм многофакторной аутентификации (MFA) для доступа ко всем защищаемым ресурсам.
• Единая точка входа (SSO) для подключения ко всем целевым системам без повторного ввода пароля.
• Высоконадёжное хранилище паролей, которое генерирует сложные динамические пароли и автоматически меняет их в соответствии с заданными настройками.
• Возможность автоматически генерировать временные права доступа на основе правил и ролей через консоль Amazon Web Services (AWS) или интерфейс командной строки.
• Мониторинг сеанса в режиме реального времени для контроля всех привилегированных действий через единый командный центр.

• Интеграция в экосистему BeyondInsight с расширенными возможностями анализа угроз.
• Собственный API для интеграции с целевыми системами и подключения любых приложений к системе единого входа. 
• Поддержка концепции «just-in-time» — предоставление привилегий в зависимости от контекста (день, дата, время и место обращения к ресурсам).
• Ролевая модель доступа (Role-Based Access Control, RBAC), интеграция с Active Directory и LDAP.
• Возможность подключения без использования агентов (привилегированный сеанс SSH через службу DirectConnect).

• Адаптивная система многофакторной аутентификации и SSO.
• Данные привилегированных аккаунтов находятся в защищённом от несанкционированного доступа хранилище.
• Безопасная аутентификация пользователей без необходимости организации VPN-канала — через веб-портал.
• Возможность развернуть решение в рамках собственной инфраструктуры или в публичном облаке.
• SaaS-модель, сертифицированная по SOC 2 Type 2.

• Гибкое масштабирование системы — от небольшого PAM-кластера до распределённых решений масштаба предприятия.
• Подключение большого количества баз данных, целевых приложений, гипервизоров и сетевых устройств «из коробки». 
• Поддержка концепции Extended PAM, которая рассматривает всех пользователей как привилегированных и расширяет принципы PAM на всю площадь потенциальной атаки.
• Управление запросами на доступ в ручном или автоматическом режиме.
• Модуль поведенческого анализа с возможностью интеграции с SIEM-системами.

• Встроенная система управления паролями, с гибкими политиками смены секретных кодов.
• Три сценария аутентификации: вход с оригинальными учётными данными, подмена реквизитов входа и подмена пароля.
• Удобный портал самообслуживания, через который пользователь может безопасно подключаться к нужным ему ресурсам, а также запрашивать разовый доступ.
• Встроенный модуль анализа продуктивности работы пользователя для контроля трудозатрат внешних подрядчиков и обнаружения аномальных всплесков активности сотрудников.
• Автоматическое сканирование Active Directory для быстрого добавления пользователей или помещения их в карантин.

• Управление паролями по принципу «application-to-application» — аутентификация на основе надёжных токенов для доступа сторонних приложений к хранилищу секретных кодов.
• Технология маскировки данных для контроля доступа и журналирования сеанса на уровне конкретной базы данных.
• Различные варианты открытия сессий — через веб-портал, через клиент Single Connect, через собственные клиенты (CLI, SQL и другие).
• Контекстозависимые политики безопасности с возможностью запрещать выполнение определённых команд в зависимости от заданных условий.
• Единая точка входа (SSO) для всех целевых систем.

• Разбор основных протоколов (сRDP, SSH, Citrix, SQL) без использования агентов и промежуточных серверов.
• Возможность распознавания русского языка в сессии.
• Запрос и согласование доступа, а также подстановка паролей непосредственно в сессию с возможностью адаптации интерфейса под сценарии заказчика.
• Возможность использования как виртуального устройства, так и защищённого аппаратного комплекса для организации сейфа паролей.
• Полный анализ содержимого экрана, включая введённые команды и заголовки окон, в процессе сеанса.
• Отслеживание динамики нажатия клавиш и движения мыши.
• Модель минимальных привилегий для Active Directory.
• Предоставление отдельных консолей для управления AD без необходимости администраторского доступа.
• Слой контроля для AD в отношении любых изменений и контроль соблюдения политик.
• Прямая интеграция аутентификации для Unix, Linux и macOS через Kerberos.

• Безопасное хранение и ротация SSH-ключей и паролей, контроль доступа к ним.
• «Прозрачный» прокси-сервер с возможностью записи и хранения сессий доступа к целевым ресурсам.
• Модуль поведенческого анализа для реагирования на аномальные действия привилегированных пользователей.
• Управление локальными правами доступа в средах Windows, Linux и Unix без установки агента на оконечное устройство.
• Функция Livestream — мониторинг сессии в режиме реального времени с возможностью блокировки соединения.

• Защищённое хранилище учётных данных привилегированных пользователей с доступом по модели «нулевого доверия».
• Собственная подсистема анализа угроз на базе машинного обучения и автоматизированных средств блокирования потенциально небезопасных событий.
• Управление доступом на уровне операционной системы хоста, обеспечивающее защиту критически важных серверов и контейнеров с помощью средств контроля действий пользователей.
• Управление паролями уровня «application-to-application» с возможностью гибкой настройки.
• Возможность вести видеозапись всех действий привилегированного пользователя для оперативного проведения расследования и сбора доказательной базы.

• Выявление подозрительного поведения пользователя на основании записей сеансов, ключевых слов и метаданных, полученных из других инсталляций системы и SIEM.
• Использование собственной зашифрованной базы данных или внешней системы для хранения паролей.
• Безопасный доступ ко критически важным ресурсам DevOps и Robotic Process Automation (RPA).
• Система интегрируется с Ansible, Terraform и другими инструментами, предоставляя им возможность защищённой работы с паролями, хранящимися в репозитории Wallix Bastion.
• Блок анализа эффективности работы пользователей.
• Интеграция со внешними решениями для SSO и многофакторной аутентификации.

• Защищённое хранилище паролей и SSH-ключей учётных записей.
• Поддержка протоколов RDP, SSH, HTTP, SCP, SFTP, а также других через публикацию соответствующих приложений (браузер, толстый клиент).
• Автоматический поиск привилегированных аккаунтов в целевых системах Windows, Linux, Active Directory, СУБД, Cisco IOS, Inspur BMC.
• Двухфакторная аутентификация с использованием одноразового пароля.
• Формирование событий по безопасности по результатам мониторинга действий привилегированных пользователей.

• Работа в изолированной среде, защищённой от внешних проникновений. SafeInspect поддерживает автономный и распределённый режим сбора информации для обеспечения доступности и непрерывности мониторинга.
• Протоколирование в текстовый журнал и видеофиксация действий пользователей с быстрой индексацией архива.
• Механизм подстановки собственных токенов авторизации. SafeInspect перехватывает аутентификацию пользователя и авторизовывается на целевом ресурсе при помощи собственных ключей и паролей. Такой принцип исключает возможность обхода системы и получения несанкционированного доступа.
• Интеграция со сторонними IPS-, DLP- и SIEM-решениями. Собранные данные поступают в системы Big Data для анализа и обработки. Информация передаётся в виде чистого расшифрованного потока, включая файлы и буфер обмена.
• Технология единого входа (SSO).

• Доступ к целевым системам с использованием изолированной защищённой среды, а также безопасное хранение паролей и управление их жизненным циклом.
• Автоматизация доступа к целевой инфраструктуре на основании ролевой модели и политик безопасности.
• Онлайн-мониторинг привилегированного сеанса с возможностью его экстренного прерывания, а также возможность разбора и аудита завершённых сессий.
• Организация контролируемого удалённого доступа через веб-сессию или протоколы RDP и SSH.
• Двухфакторная аутентификация с использованием одноразовых паролей или аппаратных токенов.

• Мониторинг действий привилегированных пользователей на целевых ресурсах — серверах, приложениях, сетевых устройствах.
• Интеграция со службами каталогов Active Directory и LDAP для получения информации об учётных записях.
• Запись сеансов работы пользователей с возможностью распознавания текстов (OCR).
• Возможность автоматизации предоставления доступа с помощью встроенного REST API.
• Встраивание в работу с ресурсами DevOps для защищённой работы с паролями.