Практика внедрения решений класса PAM и тренды их развития. Круглый стол
Российские решения класса PAM (Priveleged Access Management) активно развиваются: появляются новые системы, наращивается функциональность, увеличивается совместимость со смежными классами систем. Редакция журнала “Информационная безопасность” попросила разработчиков и интеграторов PAM поделиться видением Ри опытом по наиболее актуальным вопросам.
-
Андрей Акинин, генеральный директор Web Control
-
Даниил Гусаров, инженер информационной безопасности АО “ДиалогНаука”
-
Артем Ильин, ведущий менеджер по техническому сопровождению продаж NGR Softlab
-
Константин Родин, руководитель направления по развитию продуктов, АйТи Бастион
-
Артем Туренок, руководитель отдела технических решений АО “ДиалогНаука”
В каком направлении будет развиваться функциональность систем класса PAM? Какие возможности будут востребованы через 2–3 года?
Константин Родин, АйТи Бастион:
PAM – это давно не изолированный класс решений. Эти системы стоят на периметре критически важных систем и просто должны взаимодействовать с другими системами для быстрого реагирования на инциденты. Следовательно, будет активнее развиваться интеграция. Другая потребность – предоставление доступа в момент, когда он необходим, то есть Just-in-time. Третий вектор развития – выполнение сценарных задач без предоставления полных прав на доступ и, как следствие, – минимизация прав доступа. И тем самым PAM будет плотнее встраиваться в большинство бизнес-сценариев компании, станет бóльшим, чем просто средство информационной безопасности.
Андрей Акинин, Web Control:
По моему мнению, PAM обязаны следовать тенденциям развития ИТ-систем, безопасность управления которыми они обеспечивают. Можно выделить три значимых направления. Во-первых, ИТсистемы становятся все более распределенными и многокомпонентными, набирает все большую популярность использование программных контейнеров и микросервисной архитектуры, поэтому очевиден рост сегмента PAM для межмашинного (не интерактивного) взаимодействия. Второй тенденцией является перенос информационных систем на платформу Linux, следовательно, уже сейчас востребована поддержка управления жизненным циклом привилегий и привилегированным доступом для Linux-систем. Я думаю, что в ближайшие пару лет этот функционал станет обязательным для любой PAMсистемы. Третье направление связано с непрерывным ростом количества элементов ИТ-инфраструктуры, от которых зависит не только успех, но и само существование компании. Это приведет к развитию средств автоматизации.
Даниил Гусаров, ДиалогНаука:
Вероятно, функционал PAM будет улучшаться в направлении интеграции с облачными и гибридными средами, расширения поддержки для DevOps и автоматизации, а также улучшения возможностей аналитики и отчетности. Особенно востребованными будут функции мультиоблачной поддержки, интеграции через API, управления доступом на основе ролей, механизмов динамической авторизации и аутентификации на основе рисков. Кроме того, решения PAM будут продолжать фокусироваться на безопасности и соблюдении нормативных требований, предлагая более сильное шифрование и более надежные аудит-трейлы.
Артем Ильин, NGR Softlab:
В первую очередь будет расширен круг функциональных возможностей в части управления доступом как облачных решений и инфраструктуры, включая управление АСУ ТП, так и инструментов DevOps. Возможности, которые будут особенно востребованы через несколько лет: автоматизация рутинных процессов и задач, а также контроль доступа в части работы с БД.
Как правильно построить интеграцию системы PAM с системой DLP для усиления защиты от внутренних нарушителей?
Константин Родин, АйТи Бастион:
Начнем с того, что DLP сама по себе критически важная информационная система. Защита ее конфигурации, ввода в эксплуатацию и других операций с ней должны быть под надежным контролем. То есть для начала все работы на ней должны быть обеспечены через PAM-систему. Другой сценарий взаимодействия – это использование PAM как части инфраструктуры DLP по передаче данных, будь то файлы либо события, в тех случаях, когда нет возможности установки DLP-агента на целевой или пользовательской машине.
Артем Туренок, ДиалогНаука:
На текущий момент существует ряд типовых интеграций DLP с PAM-системами. Они позволят повысить уровень мониторинга и контроля за действиями сотрудников с расширенными правами, в том числе в аспекте управления самой DLP. Совместная работа обоих решений обеспечивает прозрачное управление инцидентами и проведение расследований при злоупотреблении правами со стороны привилегированных пользователей.
В случае развернутой DLP-системы на предприятии для правильной интеграции с PAM необходимо:
-
уточнить у вендоров систем о возможности их интеграции;
-
установить компоненты DLP системы на целевые системы и Jump-северы;
-
определить список запрещенных действий администратором на серверах DLP;
-
настроить интеграцию DLP-системы с PAM.
Артем Ильин, NGR Softlab:
В данном случае агенты DLP разворачиваются на целевых серверах, куда переходят пользователи для выполнения своих задач. PAM взаимодействует с контролируемым сервером и рабочим местом, с которого происходит подключение, и позволяет ограничить передачу данных. Таким образом, добавляется новый слой событий (факт подключения/отключения, команды, нажатия, скачивание файлов, буфер обмена), которые могут обрабатываться совместно с событиями DLP в единой SIEMсистеме.
Даниил Гусаров, ДиалогНаука:
Необходимо определить, какие привилегированные аккаунты и роли имеют доступ к конфиденциальным данным, а также какую информацию необходимо защитить от утечки. Затем можно настроить PAM таким образом, чтобы она обеспечивала мониторинг действий пользователей с привилегированными правами и оповещала систему DLP в случае обнаружения потенциальных утечек данных. При этом следует убедиться, что система DLP может корректно интерпретировать информацию о действиях пользователей, полученную от системы PAM, и принимать необходимые меры для предотвращения утечек данных.
Назовите топ-3 ошибок при внедрении системы PAM, по вашему опыту.
Артем Ильин, NGR Softlab:
-
Внедрять решение сразу на всю инфраструктуру. Нужно разделять: сначала подключать к PAM небольшие сегменты сети и/или информационные системы, постепенно включая все больше пользователей.
-
Включать систему сразу и безальтернативно. Если у пользователей еще нет навыков использования PAM, то одномоментно образуется много вопросов по эксплуатации. Поэтому важно интегрировать ее постепенно.
-
Внедрение без интеграции с SIEM или ожидание, что РАМ устранит все проблемы. По опыту, PAM – это дополнительный блок в сложном механизме информационной безопасности компании и оставлять его без связей с другими системами ИБ опасно.
Артем Туренок, ДиалогНаука:
-
Отсутствие документа "Матрица доступа", описывающего учетные записи (УЗ) пользователей, привилегированные УЗ, целевые системы, протокол подключения.
-
Отсутствие интеграции решения PAM с системами контроля сетевого доступа (контроль сетевого доступа с Jump-серверов не осуществляется).
-
Отсутствие точного понимания параметров, вроде количества сессий в час, что влияет на сложность подготовки архитектурного решения системы.
Андрей Акинин, Web Control:
-
С точки зрения безопасности ИТ главная ошибка при внедрении PAM – это частичное внедрение, когда PAM закрывает только часть каналов управления ИТ-инфраструктурой и системами. Это как поставить забор на охраняемой территории только с одной стороны.
-
Внедрение системы через выкручивание рук ее пользователям – айтишникам. Это приводит к активному противодействию, ведь айтишники найдут способ работы в обход системы.
-
Выбор наиболее известной системы с максимальным функционалом, а не той, которая подходит под конкретные задачи заказчика. Как правило, внедрение такой системы затягивается, а имеющийся функционал используется лишь частично. При этом стоимость такой системы иногда на порядок выше.
Даниил Гусаров, ДиалогНаука:
-
Неправильная реализация управления доступом на основе ролей приводит к предоставлению чрезмерных привилегий отдельным лицам или группам, что может привести к несанкционированному доступу и утечке данных.
-
Отсутствие регулярной проверки и обновления средств контроля доступа, оставление устаревших разрешений и повышение риска внутренних угроз.
-
Недостаточное обучение системных администраторов и других заинтересованных лиц, приводящее к неправильному пониманию цели и области применения системы PAM и способам ее эффективного использования.
Константин Родин, АйТи Бастион:
-
Отсутствие понимания, зачем систему внедряют: есть только задача внедрить, без установки цели. В результате PAM контролирует не те доступы, а действительно критичные системы имеют "запасной вход" или просто не контролируются.
-
Цель и плюсы системы не были объяснены пользователям, из-за чего возникают конфликты и внутренний саботаж. Цель PAM – не банальная слежка, а повышение безопасности и прозрачности процессов. Иногда пользы для пользователей больше, чем для контролеров.
-
Переусложнение политик доступа на этапе проектирования: хочется контролировать всех и точечно, но часто выработанные требования оказываются весьма далеки от реальных процессов.
Каковы перспективы развития облачных систем PAM в России?
Артем Ильин, NGR Softlab:
Пока сложно говорить о быстром росте облачных систем РАМ, но уже есть предпосылки развития и перехода этого класса решений в облако. В первую очередь набирает популярность функционал контроля сторонних организаций, когда необходимо предоставить доступ к ресурсам компании.
Константин Родин, АйТи Бастион:
Перспективы облачных PAM тесно связаны с переходом инфраструктуры заказчиков в облака. Будет активная миграция в облако у заказчиков – станет развиваться и облачный PAM. Мы уже несколько лет развиваем это направление у отдельных облачных провайдеров. Да, пока движение нельзя назвать бурным, но оно происходит. Чем более крупные и важные объекты будут перемещаться в облачную инфраструктуру, тем и PAM будет облачнее. Думаю, через один-два года тренд будет более заметен.
Андрей Акинин, Web Control:
С распространением облачных сервисов системы PAM с поддержкой управления правами доступа в облачной инфраструктуре становятся все более актуальным. Мы уже видим запрос рынка по этой теме. Однако применение облачных PAM, скорее всего, будет ограничено сегментом облачных сервисов.
Даниил Гусаров, ДиалогНаука:
С одной стороны, растет осознание важности кибербезопасности и потребности в эффективных PAM-решениях в России, что может стимулировать спрос на облачные PAM-системы. С другой стороны, нормативно-правовая база в России может создать проблемы для внедрения облачных решений, особенно если есть опасения по поводу суверенитета и безопасности данных. Артем Туренок, ДиалогНаука: Облачные решения в России активно развиваются: малому и среднему бизнесу это позволит сократить расходы на приобретение и внедрение PAM. Но крупный бизнес пока не готов к переходу в облако.
Может ли PAM помочь в обеспечении соответствия требованиям законодательства в области персональных данных и как?
Андрей Акинин, Web Control:
Защита персональных данных – это комплекс мероприятий, строго говоря PAM эту задачу напрямую не решает. Но является необходимым компонентом в части безопасности управления системами, работающими с персональными данными, как, впрочем, и любыми критичными ИТ-системами.
Даниил Гусаров, ДиалогНаука:
Системы PAM могут помочь с соблюдением требований к персональным данным, предоставляя элементы управления для ограничения доступа к конфиденциальным данным и отслеживания активности привилегированного доступа. Системы PAM также могут способствовать соблюдению правил защиты данных за счет применения политик доступа и аудита привилегированного доступа. Кроме того, PAM может поддерживать соответствие внутренним политикам безопасности и отраслевым стандартам, предоставляя детальный контроль доступа и регулярные проверки доступа.
Константин Родин, АйТи Бастион:
Начнем с того, что PAM позволяет идентифицировать факт работы с системами хранения ПДн. А далее PAM может идентифицировать и показать, что именно это был за доступ, кто и что сделал. РАМ-системы могут также "поймать" факт выгрузки и передачи файлов и выгрузок из БД к себе на личный компьютер. То есть фактически дать фактуру по доступу к персональным данным. Разумеется, PAM – это не "серебряная пуля" против всех проблем и утечек, но система сможет снизить риски или свести их к минимуму. А если применять PAM совместно с другими решениями, то и эффект будет заметным.
Артем Ильин, NGR Softlab:
Например, Infrascope закрывает требования 152-ФЗ в части обработки и хранения персональных данных. В частности, дает возможность как ограничить доступ к данным, так и контролировать их целостность, фиксировать изменения, а также вести учет и ограничить список лиц, имеющих доступ.
Артем Туренок, ДиалогНаука:
PAM-системы могут реализовать ряд мер защиты в случае невозможности установки или использования сертифицированных средств защиты информации, такие как:
-
идентификация и аутентификация системных администраторов, разработчиков и иного ИТ-персонала при доступе к серверам;
-
управление идентификаторами и средствами аутентификации;
-
управление аккаунтами привилегированных пользователей, настройка прав доступа к устройствам;
-
предупреждение пользователя при его доступе к информационным ресурсам;
-
детальное протоколирование действий и событий на целевых системах, что в случае необходимости позволяет расследовать инциденты ИБ.
В каких компонентах PAM стоит ожидать появление элементов искусственного интеллекта?
Артем Туренок, ДиалогНаука:
На текущий момент российские вендоры PAM-решений предлагают модули поведенческого анализа собственной разработки, которые анализируют различные параметры действий администраторов, позволяя найти в этих действиях критичные отклонения от их стандартного поведения. Механизмы анализа данных построены на основе нейронных сетей, алгоритмов статистики и машинного обучения. Компоненты способны определять признаки сценариев аномального поведения.
Андрей Акинин, Web Control:
ИИ уже давно присутствует в некоторых PAM-системах. Элементы искусственного интеллекта уже используются для анализа поведенческих профилей пользователей, некоторые PAM используют алгоритмы распознавания образов для анализа содержимого сеансов. Я не берусь оценивать качество их работы и вклад в общую ценность системы, однако очевидно, что по мере развития технологий они станут неотъемлемой частью любого PAM-решения.
Даниил Гусаров, ДиалогНаука:
В рамках поведенческой аналитики ИИ может помочь в обнаружении аномального поведения пользователей с привилегированным доступом, активировать оповещения и потенциально снизить риск внутренних угроз. ИИ можно использовать для автоматизации рабочего процесса запросов и утверждений на доступ, что снижает нагрузку на администраторов-людей и повышает эффективность. ИИ целесообразно привлечь к анализу различных факторов и присвоения оценки риска каждому запросу на доступ, помогая расставлять приоритеты и ускорять утверждение запросов с низким уровнем риска, выделение запросов с высоким риском для дальнейшего изучения. ИИ может автоматически предоставлять права доступа на основе рабочих ролей и исторических моделей использования, повышая точность и эффективность управления доступом.
Константин Родин, АйТи Бастион:
Появление элементов ИИ стоит ожидать в аналитике, анализе поведения и построении отчетов. То есть там, где требуется работа с большими объемами данных и прогнозирование. Сейчас эти задачи тоже решаются, просто другими методами, и, стоит отметить, уже достаточно хорошо. Но всегда есть стремление к лучшему, и человеку требуется помощь в обработке больших массивов информации о сессиях и действиях в них, а именно ИИ сможет сделать это быстрее и точнее, предоставив человеку право принять решение. Хотя не исключено, что и к принятию решений ИИ будет тоже привлекаться. Другие задачи в основном решаются и без ИИ.
Артем Ильин, NGR Softlab:
Появление элементов искусственного интеллекта можно ожидать в первую очередь во всех компонентах, включающих аналитику, например поведенческом анализе или анализе угроз. Это возможно также в части построения правил и ограничений действий пользователей, исходя из их должности и обязанностей.
Ваш совет: как можно оптимизировать стоимость внедрения и эксплуатации системы РАМ?
Константин Родин, АйТи Бастион:
Начните с определения задач, которые будет решать PAM. Отсюда станет понятен минимальный набор компонентов системы и пути получения рабочего решения. Перед покупкой проведите анализ и пилотирование решений в условиях, приближенных к реальным: именно на этом этапе станет понятно, насколько эффективно вы вложите деньги и как сложно будет поддерживать систему. Иногда выгоднее переплатить, чем тратить ресурсы на поддержку и доработку решения. Главное – общайтесь с производителем, узнайте его мнение, так как ему выгодно, чтобы система была оптимальна по цене и качеству, и, как следствие, вам это выйдет дешевле на этапе внедрения и эксплуатации.
Андрей Акинин, Web Control:
Как практик, буду банален: для оптимизации стоимости внедрения и эксплуатации системы ее выбору должна предшествовать четко сформулированная и адекватная модель угроз, потенциальная поверхность атаки и выработан комплекс необходимых мер противодействия с определением роли и задач, которые должна решать PAM-система. В этом случае выбор будет максимально взвешенным и сбалансированным. А в ходе пилота можно будет проверить, в какой мере система решает сформулированные вами задачи. В противном случае велик риск неоправданных расходов на излишний, неиспользуемый функционал как в части приобретения лицензий, так и в части излишних затрат на внедрение и эксплуатацию.
Артем Туренок, ДиалогНаука:
На стоимость решения влияет количество серверов системы и количество одновременно подключаемых пользователей, целевых систем (включая способы подключения к ним). Для уменьшения стоимости владения системой рекомендуется выбрать оптимальную политику лицензирования (по пользователям, сессиям, устройствам), использовать Linux в качестве ОС для серверов системы и Jumpсерверов, а также вести документ "Матрица доступа" и регулярно сверять его с настройками системы для понимания точного количества подключаемых сотрудников и целевых систем. Для снижения стоимости эксплуатации стоит также рассмотреть возможность интеграции PAM с решениями класса IDM и IGA.
Артем Ильин, NGR Softlab:
Оптимизировать стоимость внедрения и эксплуатации РАМ можно только благодаря грамотному использованию системы и получению максимального эффекта с повышением информационной безопасности всей организации в целом. Оптимизацию стоит рассматривать не как цену владения (снизить ее можно и до нуля, просто не используя систему), а как определенный фронт работ в части использования системы. Например, улучшите автоматизацию рутинных задач, интеграцию со смежными решениями и грамотное выстраивание политик.
Даниил Гусаров, ДиалогНаука:
Рассмотрите возможность использования облачного решения вместо локального. Это устраняет необходимость в дорогостоящем оборудовании и затратах на техническое обслуживание. Кроме того, приоритизируйте функции, которые непосредственно устраняют наиболее важные риски и автоматизируют процессы, позволяя сократить объем ручных операций и повысить эффективность. Регулярно пересматривайте и обновляйте политики доступа, чтобы они оставались эффективными и действенными.