Привилегированные аккаунты принадлежат сотрудникам, у которых много прав в системе — изменять важные настройки, раздавать доступы другим сотрудникам, создавать и править важные документы. Они принадлежат руководителям отделов, системным администраторам, офицерам безопасности, генеральному директору и его замам.
Внедрение PAM-решений — важный шаг для безопасности, который воспринимается как акт недоверия. Вместо объяснения необходимости и проведения границ, бизнес часто решает просто не злить сотрудников, отказываясь от PAM на корню. А это опасно, и вот почему.
Риски безопасности
Тезисно на примерах о возможных сценариях, затем подытожим:
- Заместитель главного бухгалтера очень разозлился, что не занял вакантную должность начальника и остался замом, а потому теперь приторговывает конфиденциальными данными или просто работает вполсилы.
- Взломав аккаунт операционного директора с паролем qwerty123, хакер обнаружил, что такой же пароль у него в мессенджере, почте и на корпоративном облаке, вроде Google Диска или OneDrive.
- Сисадмин-интерн случайно удалил все бэкапы системы, когда ему надо было просто откатить настройки роутера. Весь отдел до утра будет возвращать все в исходное положение.
- Юрист на испытательном сроке удалил папку с отчетами бухгалтерии, которую собирали пять лет, просто по неопытности, не разобравшись в том, куда надо было нажимать. Теперь нужно как-то восстановить, хотя юрист даже не должен был иметь туда доступ.
Разумеется, примеры утрированы, а продолжать можно бесконечно, но суть одна: неопытные сотрудники не сломают то, к чему не имеют доступ; записи сессий помогут быстро провести расследование, а двухфакторная аутентификация обезопасит от слабых паролей.
Операционные риски
Не нужно следить за каждым шагом сотрудников, но необходимо иметь такую возможность. В больших компаниях каждый день кто-то увольняется, кого-то нанимают, кто-то переходит между отделами и двигается по карьерной лестнице. Корректировать доступы в таких условиях — значит обезопасить себя от ситуаций, описанных выше.
Второй важный аспект — работа с подрядчиками. Просто попробуйте ответить: на каком уровне кибербезопасность у ваших подрядчиков? насколько ответственно они хранят пароли в вашу систему? защищены ли их устройства? как бы вы оценили безопасность соединения? работали ли они неделю над проектом, как было заявлено и оплачено, или пару часов/дней? сколько людей заходили в систему под одной учетной записью? и так далее.
Мы не пытаемся подорвать ваши отношения с подрядчиками, намекая, что все ответы — отрицательные. Проблема в другом: «я не знаю» — вот самый популярный ответ на заданные вопросы. Мы настаиваем, чтобы вы были в курсе происходящего.
Каких задач прибавил переход на удаленную работу?
Слабая информированность чревата серьезными рисками даже в спокойное время — когда все работают в офисе по графику. Переход на удаленную работу еще больше уменьшает пространство для контроля. Что-то можно решить рабочими компьютерами — выдали сотрудникам девайсы, настроенные по нужным параметрам, и уровень безопасности достиг хотя бы базовых значений.
Но удаленка связана с работой на личных устройствах. «Домашние» девайсы — это смешивание рабочих и личных задач, неопределенное количество пользователей одним устройством, угрозы для данных и учетных записей и многое другое. Это же касается и подрядчиков — теперь они и вовсе работают неизвестно где, с какого устройства, сети и так далее.
Как компании решают эти проблемы?
Один из двух вариантов — внедрение PAM-решений, подробно о которых пойдет речь уже совсем скоро. Но как решают все вышеуказанные проблемы те бизнесы, которые не используют PAM? Никак.
Отсутствие понимания базовых процессов внутри инфраструктуры воспринимается как норма. Это даже работает в очень небольших компаниях, там, где цена ошибки невысока, а злоумышленникам нечем нажиться.
Но этот путь не подходит банкам, телеком-компаниям, IT-компаниям, крупным юридическим и бухгалтерским фирмам, бизнесу в сфере логистики или компаниям, выполняющим госзаказы. По-сути, они и являются главными пользователями PAM.
Что такое PAM и какими они бывают?
PAM (Privileged Access Management) — это такое программное обеспечение, которое умеет решать вышеуказанные проблемы. Речь идет об управлении доступами, но единого портрета PAM не существует.
Прежде чем выбрать PAM, следует знать:
- Все PAM обладают разным набором функций: одни имеют миллион гибких настроек, другие решают лишь несколько ключевых вопросов. Все это отражается на цене, потому не бросайтесь в финансовые крайности, а выбирайте то, что подходит именно вам.
- Некоторые PAM умеют предотвращать вредоносные действия. Это может стать дополнительным уровнем безопасности в связке с другими технологиями.
- Часто PAM требуют установки агента — это клиент программы, который ставится на каждое устройство или работает централизованно на сервере. Агентские PAM потребуют установки агента на личные компьютеры сотрудников. Если вы используете только корпоративные ноутбуки и можете дать их домой удаленным сотрудникам — ставьте агенты и отдавайте. Если же такой возможности нет, то агентские PAM не для вас.
- Многие PAM потребуют от вас изменение процессов, например, получение доступа только через специальные подключения или ПО. Также помните, что развернуть и обслуживать PAM бывает сложно из-за их глубокой интеграции в инфраструктуру. Будьте готовы к тому, что сисадмины и безопасники потратят часть времени на внедрение и настройку PAM.
Ultra Technologies и их партнер-дистрибьютор BAKOTECH развивают один продукт из класса PAM, а именно — One Identity (OI) Safeguard. Еще до начала партнерства каждая из компаний искала себе PAM-решение в портфель. Выбор пал на OI и вот почему:
- Три модуля для контроля паролей, записи сессий и аналитики действий пользователей. Можно использовать только необходимые, исходя из потребностей.
- Гибкость в настройке политик позволяет настроить доступы до мелких деталей: помимо запретов и разрешений также настраивается и время предоставления доступа, прописываются допустимые подключения (например, запрет входа через VPN или напротив — вход только через VPN).
- Широкие возможности для безопасности: модуль аналитики OI Safeguard создает профиль пользователя на основе типичных действий и биометрических данных, таких как особенности набора текста, движения курсора и так далее. При входе в систему злоумышленника система увидит нетипичное поведение, аналитика тут же даст сигнал тревоги и это позволит специалистам блокировать вредоносные действия.
- Запись и хранение сессий, а также навигация по ним. Можно сортировать записи сессий по действиям и даже ключевым словам, упростив расследование инцидентов.
- Контроль бизнес-пользователей. В условиях удаленной работы и работы с подрядчиками вы сохраняете все возможности контроля, как при офисном формате.
- Безагентная архитектура. Расширяет контроль на уровень домашних устройств, упрощает администрирование и не мешает устоявшимся процессам.
- Простота развертывания. Решение разворачивается на крупных инфраструктурах в пределах одного дня, имплементация и настройка — до двух недель, что для PAM — отличный показатель.
Это создает ситуацию, в которой все в плюсе: клиент получает решение проблем, интегратор получает клиента, а вся сделка закрывается быстро благодаря простоте эксплуатации самого решения и его гибкости. По-сути, каждый отдельный аспект OI — это то, на что стоит вам ориентировать в выборе PAM. Не все, что есть у OI, должно быть в вашем PAM, но то, что в нем уже есть, пусть будет как у OI.
Вместо выводов
PAM — история не про тоталитаризм. Это про элементарную осведомленность и возможность быть спокойным за свой бизнес, не допустить проблему или быстро решить ее, раз уж она все-таки произошла.
Успех реализации PAM-проекта во многом зависит от интегратора. Получить консультацию по внедрению данного решения в вашей компании и провести пилот для его проверки помогут специалисты компаний Ultra Technologies и BAKOTECH. Больше деталей на сайтах ultra.az и bakotech.com.