Обзор решений по управлению привилегированным доступом (Privileged Access Management)

Управление доступом привилегированных пользователей (Privileged Access Management или PAM) — весьма важная задача для обеспечения информационной безопасности предприятия. Для крупных организаций данный вопрос может быть серьезным вызовом. Ведь в отличие от компаний МСБ, в крупных организациях людей с высоким уровнем доступа зачастую очень много, и в ручном режиме управлять их учетными записями довольно проблематично. Именно для решения этой проблемы и существуют платформы Privileged Access Management.

Давайте для начала разберемся, кто такие привилегированные пользователи. Нет, это не генеральный директор и его заместители, как можно сразу подумать. Ими являются те, кто имеет доступ к критическим системам с правами администратора. Например, человека, у которого есть возможность создавать новые учетные записи в корпоративной сети, можно назвать привилегированным пользователем. То же касается и сотрудников, которые могут менять настройки систем, устанавливать и удалять ПО, иметь доступ к конфиденциальным данным и т. д. Как нетрудно догадаться, такой высокий уровень доступа к корпоративной ИТ-системе открывает возможности для злоупотреблений и даже саботажа. И не стоит забывать — чем больше организация, тем больше в ней привилегированных аккаунтов. Вот почему за такими учетными записями тоже нужен контроль, который обеспечивают PAM-платформы.

Что они умеют? Обратим внимание, что многие из присутствующих на рынке вендоров таких платформ представляют комплексные решения, состоящие из множества отдельных инструментов. То есть, в рамках одной платформы вы можете приобрести только те средства, которые необходимы. Таким образом, если вам нужен только менеджер паролей, то не обязательно переплачивать за ненужные продукты — можно купить только его.

Если говорить глобально, то инструментарий PAM-платформ можно разделить на три категории. Первая — это управление доступом. Через продукты данной категории определяются политики доступа пользователей к тем или иным системам и регулируются их возможности. С помощью средств управления доступом можно создавать, редактировать и удалять права доступа конкретных учетных записей или их групп к сегментам корпоративной ИТ-инфраструктуры.

Вторая — управление сессиями. Инструменты данной категории позволяют отслеживать действия пользователей в системах, куда они имеют доступ. Эти средства также помогают при проведении расследований инцидентов, ведь они четко показывают, кто и какие действия совершил в заданное время в конкретной системе.

Третья — управление паролями и процедурами входа в систему. Сюда относится их хранение, сброс и восстановление. Продвинутые системы умеют предоставлять доступ привилегированным учетным записям, не сообщая пользователям пароль. Это предотвращает утечки паролей и несанкционированный доступ третьих лиц. Кроме того, PAM-решения поддерживают и средства мультифакторной аутентификации.

Выбор инструментов PAM целиком зависит от потребностей компании, а именно масштаба инфраструктуры и имеющихся в наличии средств контроля. На рынке присутствует немало предложений, в нашем обзоре мы расскажем о лучших по версии Gartner, а в сравнительной таблице вы найдете их основные характеристики и сможете сравнить функциональность.

CyberArk Core Privileged Account Security

Компания CyberArk предлагает пользователям несколько комплексных PAM-решений. Самое функциональное среди них называется Core Privileged Account Security. Как нетрудно догадаться по названию, сам разработчик позиционирует свой продукт как ключевой и основополагающий. Данное средство предлагает централизованную защиту привилегированных учетных записей и их параметров в разнообразных средах, включая конечные точки на Windows, Linux и Unix, локальные сети, облачное окружение, а также гибридную инфраструктуру и рабочие группы. У него есть модули управления учетными записями, сессиями, а также надежное хранилище паролей и средства шифрования.

Core Privileged Account Security имеет средство анализа угроз и кибератак, которые осуществляются на критические учетные записи. Оно работает в режиме реального времени и при помощи алгоритмов собственной разработки компании обеспечивает надежную защиту учетных записей, а также своевременное информирование администраторов о подобных происшествиях. Для этого используются самообучающиеся алгоритмы, которые со временем изучают типичное поведение пользователя и замечают отклонения от его обычных действий, что может быть признаком взлома учетной записи. При необходимости, сессия учетной записи с подозрительными действиями может быть автоматически прервана и заблокирована. Таким образом обеспечивается дополнительная безопасность системы.

BeyondTrust Privileged Access Management Platform

Компания BeyondTrust предлагает своим клиентам многофункциональную платформу с настраиваемыми возможностями управления привилегированными сеансами. Данное решение состоит из нескольких продуктов и отлично подойдет для больших компаний, которым нужно решать разнообразные задачи по управлению доступом учетных записей с высоким уровнем привилегий. Платформа работает с конечными точками, Windows, Linux и Unix серверами, сетевыми устройствами, а также предоставляет привилегированный удаленный доступ, что облегчает работу в организациях со множеством офисов.

Большое внимание уделяется работе с паролями. Для них присутствует безопасное хранилище с поддержкой протокола SSH, а также возможность удаленного управления, в том числе сброса и изменения. Средства аудита и поиска уязвимостей позволяют идентифицировать учетные записи и активы с высокой степенью риска. Для этого используются алгоритмы, которые совмещают в себе поведенческую аналитику и применение предустановленных политик и баз, что позволяет охватить широкий спектр уязвимостей.

Centrify Privileged Access Management Solution

Набор предложений от компании Centrify, объединенный в рамках платформы Privileged Access Management Solution, предлагает широкие возможности как для крупных компаний с гибридной инфраструктурой, так и для предприятий малого и среднего бизнеса. Решение состоит из четырех основных направлений — управление доступом, аутентификацией, ролями, а также аудитом и мониторингом. В сфере управления доступом платформа предлагает надежное хранилище паролей и расширенную работу с ними, безопасный удаленный доступ, менеджмент учетных записей, работу привилегированных аккаунтов с сетевыми устройствами, конечными точками и облачными средами через общие учетные записи. Средство работы с аутентификацией позволяет обрабатывать запросы не только от обычных пользователей, но и от устройств, разнообразных служб и API. При этом специальный алгоритм проверяет, кто запрашивает доступ, и решает, предоставлять его или нет.

Модуль управления ролями позволяет определять возможности доступа конкретных учетных записей, например, повысить обычную учетную запись до статуса привилегированной. Также он может предоставить временные права учетным записям, которые станут недействительными по прошествии определенного времени. Это очень удобно для тех компаний, которые часто пользуются услугами ИТ-аутсорсинга. В отношении всех привилегированных аккаунтов доступна функция записи сессий и детального аудита. Расширенные функции мониторинга дают администраторам много возможностей. Так, инструменты Centrify Privileged Access Management Solution позволяют даже запускать процессы и отслеживать целостность файлов. А продвинутая система обнаружения угроз может их отслеживать в том числе и по поведению пользователей.

 

One Identity Safeguard for Privileged Sessions

Данный продукт является вариантом комплексной защитной платформы One Identity Safeguard, который оптимизирован именно для работы с привилегированными сессиями. Он предназначен для контроля, отслеживания и записи сессий учетных записей с высокой степенью риска. С его помощью можно ограничивать доступ пользователей к определенным ресурсам, просматривать активные подключения, а также получать оповещения, если подключения превышают предварительно установленные временные ограничения. Safeguard for Privileged Sessions также может отслеживать сеансы в режиме реального времени и применять в их отношении различные действия. Так, если выполняется опасная команда или приложение, средство может либо просто отправить администратору предупреждение, либо заблокировать процедуру в автоматическом режиме.

Аудит и мониторинг сессий предусматривает самое тщательное отслеживание действий пользователей, вплоть до передвижения курсора по экрану. Собранные данные можно просматривать в качестве видео или в текстовом формате. Все собранные данные хранятся в зашифрованном виде, а доступ к ним имеют только уполномоченные лица. У продукта есть система управления паролями и возможность их хранения, поддерживается мультифакторная аутентификация при помощи разнообразных средств, в том числе смарт-карт. Так как инструмент работает в качестве прокси-шлюза для системы, таким образом можно защитить доступ даже к тем устройствам, которые сами по себе не поддерживают те или иные методы аутентификации.

 

ARCON Privileged Access Management

Компания ARCON, в отличие от многих других производителей, предлагает единый продукт для управления привилегированным доступом. Не смотря на такой подход, он весьма функционален. Средство позволяет централизованно управлять доступом, контролировать и ограничивать возможности учетных записей посредством централизованной политики на основе правил и ролей. Функции инструмента позволяют автоматизировать процесс утверждения доступа к системам для привилегированных учетных записей и их групп. С помощью функции единого входа пользователь, авторизировавшись в системе, сразу получает доступ ко всем ресурсам. При этом пропадает возможность входа через его учетную запись из других мест и в другие системы, что предотвращает несанкционированный доступ с вводом его логина и пароля. Попасть в систему также можно с помощью фирменного мобильного приложения, используя мобильное устройство как средство аутентификации.

ARCON PAM также предоставляет широкие возможности по аудиту пользовательских сессий и отчетности с предоставлением текстового анализа и видеоотчетов. Система предоставляет персонализированный и подробный анализ каждого привилегированного доступа к целевым системам. А контролировать текущее состояние дел в системе можно с помощью единой администраторской панели.

Wallix Bastion Enterprise

Компания Wallix предлагает свой продукт для управления привилегированными учетными записями в трех вариантах - Entry Level, Professional и Enterprise. Первый предназначен для небольших компаний, а самый продвинутый - Enterprise - для больших предприятий с разветвленной системой офисов и подразделений. Именно о последнем идет речь в нашем обзоре.

Продукт предоставляет полный контроль доступа привилегированных учетных записей на основе разнообразных правил. Они могут быть основаны на разных критериях и отвечать тем или иным корпоративным стандартам. Например, доступ может предоставляться, основываясь на учетных данных сотрудника, его местоположении, времени и т.д. При этом пользователи, войдя в систему, получают доступ ко всем разрешенным устройствам без необходимости повторной авторизации. А сам продукт функционирует в безагентном режиме, то есть для его работы нет необходимости установки модулей на каждое устройство, где осуществляется мониторинг. Система мониторинга действий пользователей может мониторить действия учетной записи после входа в систему как в реальном времени, так и предоставляя отчет постфактум. Кроме этого, Bastion Enterprise может интегрироваться со сторонними системами (например, SIEM), передавая туда полученную информацию для обработки.

  

Hitachi ID Privileged Access Manager

Инструмент от компании Hitachi ID Systems являет собой комплексное решение для обеспечения контроля привилегированным доступом. Это решение обеспечивает управление доступом учетных записей и групп пользователей высокого риска, а также высокий уровень безопасности их работы. Для этого, в качестве одного из подходов, Hitachi ID Privileged Access Manager заменяет обычные статические пароли на периодически меняющиеся случайные значения, которые используются для входа. А оригинальные пароли хранятся в надежном хранилище в зашифрованном виде.

Система умеет в автоматическом режиме подсчитывать риски, которые несет вход в систему той или иной учетной записи, и на основе этого принимать решение о допуске пользователя. Среди индикаторов: предыдущие входы, платформы, с которых они осуществлялись, количество входов и т. д. Если попытка входа показалась системе подозрительной, она временно заблокирует эту возможность для учетной записи и предоставит администратору возможность принять окончательное решение. Также инструмент ведет мониторинг активности аккаунтов и запись их сессий, что при необходимости позволяет проанализировать действия привилегированных учетных записей в будущем.

Thycotic Secret Server Platinum

Компания Thycotic предлагает четыре варианта своего продукта по управлению доступом привилегированных пользователей. Линейка начинается с бесплатного варианта с существенно ограниченной функциональностью до самого продвинутого под названием Secret Server Platinum, о котором и пойдет речь дальше. Принцип работы инструмента заключается в том, что учетные записи превращаются в «секреты», которые без знания ключа шифрования невозможно идентифицировать с реальными пользователями. Таким образом обеспечивается защита от несанкционированного доступа к привилегированным учетным записям. Причем связи между секретами и людьми гибко настраиваются, можно вводить ограничения или же разрешать доступ в зависимости от адресов и других параметров. Еще один инструмент защиты доступа к критическим учетным записям — это регулярная автоматическая смена паролей.

Продукт также предоставляет широкие возможности по отслеживанию действий привилегированных пользователей. Они могут быть записаны в текстовом и видеоформате, а также просматриваться в режиме онлайн. При необходимости администратор может прекратить сеанс учетной записи в любой момент. Кроме этого, в Thycotic Secret Server Platinum есть инструменты для подробного аудита и рассылки настраиваемых уведомлений. Администратор может задать конкретные события, после которых приходят уведомления, а также настроить план отчетов, чтобы получать их регулярно.

Fudo PAM

Компания Fudo Security предлагает самодостаточное PAM-решение корпоративного уровня, которое обеспечивает базовые потребности крупного бизнеса по управлению доступом привилегированных пользователей. Система очень быстро разворачивается (процедура занимает около часа) и доступна как в качестве аппаратного решения, так и виртуального устройства. Она обеспечивает надежный контроль за действиями пользователей и может задавать рамки их работы. Так, Fudo PAM позволяет привязать конкретные учетные записи администраторов к выбранным портам или IP-адресам, что не даст злоумышленникам возможности зайти в систему из неавторизованного места, даже если привилегированная учетная запись была взломана.

Одна из особенностей продукта — модуль бизнес-аналитики, который измеряет производительность сотрудников. Он собирает исчерпывающую информацию об их активности, например, когда рабочий компьютер работника простаивал без дела или какие действия в рамках рабочего процесса выполняла та или иная учетная запись. Для самих привилегированных пользователей существует специальный веб-портал, на котором присутствует список целевых систем, подключенных к Fudo PAM. Таким образом, администраторы могут подключаться к ним прямо с этого портала, просто выбрав необходимый ресурс.

Краткий итог

Несмотря на довольно большой выбор, большинство PAM-платформ весьма схожи между собой. Они предоставляют средства для управления доступом, работы с паролями, мониторинга сессий и проведения аудита. Подобные системы хоть и не являются критическими элементами корпоративных систем безопасности, могут принести немало пользы в инфраструктуре бизнеса. Среди главных плюсов выделим существенное снижение количества рисков, а в случае, если инцидент все-таки состоялся — возможность проведения детальных расследований и выявления нарушителей.