Цикл статей: PAM на практике: как защитить привилегированные доступы и взять их под контроль
Почему привилегированный доступ — главный риск современной инфраструктуры
Введение
Представим ситуацию в крупной компании:
Администратор баз данных выполнял стандартную задачу — подготовку копии базы клиентов для тестирования новой системы. По ошибке он выгрузил резервную копию в облачное хранилище с настройками доступа «Для всех». Через несколько дней автоматические сканеры обнаружили открытую базу данных, и в сеть попала чувствительная информация о клиентах.
Вскоре компания столкнулась с жалобами пользователей на спам и фишинговые рассылки от её имени. Репутация начала стремительно ухудшаться, а регуляторы инициировали проверки и возможные штрафные санкции за утечку персональных данных.
Рассмотрим другой сценарий:
Компания привлекла подрядчика для настройки CRM-системы. Специалист получил доступ к внутренней инфраструктуре и во время работы подключил заражённый внешний носитель. Как результат вредоносное ПО распространилось по сети и привело к атаке вируса-шифровальщика. Компании пришлось останавливать бизнес-процессы, восстанавливать данные и вести переговоры с злоумышленниками. Итог: финансовые потери, простой сервисов и репутационный ущерб.
В обоих сценариях причиной инцидента стала не эксплуатация технической уязвимости. Ключевым фактором стал привилегированный доступ.
Администратор баз данных выполнял стандартную задачу — подготовку копии базы клиентов для тестирования новой системы. По ошибке он выгрузил резервную копию в облачное хранилище с настройками доступа «Для всех». Через несколько дней автоматические сканеры обнаружили открытую базу данных, и в сеть попала чувствительная информация о клиентах.
Вскоре компания столкнулась с жалобами пользователей на спам и фишинговые рассылки от её имени. Репутация начала стремительно ухудшаться, а регуляторы инициировали проверки и возможные штрафные санкции за утечку персональных данных.
Рассмотрим другой сценарий:
Компания привлекла подрядчика для настройки CRM-системы. Специалист получил доступ к внутренней инфраструктуре и во время работы подключил заражённый внешний носитель. Как результат вредоносное ПО распространилось по сети и привело к атаке вируса-шифровальщика. Компании пришлось останавливать бизнес-процессы, восстанавливать данные и вести переговоры с злоумышленниками. Итог: финансовые потери, простой сервисов и репутационный ущерб.
В обоих сценариях причиной инцидента стала не эксплуатация технической уязвимости. Ключевым фактором стал привилегированный доступ.
Основные векторы компрометации инфраструктуры
По оценкам отраслевых аналитиков, до 80% всех нарушений безопасности связано с компрометацией привилегированных учетных записей (данные Forrester Research).
Отсутствие контроля может открывать злоумышленникам двери для трех классических векторов атак:
Контроль над учётными записями фактически означает контроль над всей инфраструктурой компании. При этом речь идёт не только об администраторах.
К привилегированным доступам относятся:
Эти желанные места для хакеров являются таковыми не просто так, они часто настроены неверно или неправильно управляются.
Это приводит к многим рискам безопасности: полный контроль над системой, постоянные права, редкая ротация паролей, невозможность отследить действия сотрудников.
Причем классические меры защиты тут бессильны.
Ситуация осложняется тем, что инфраструктура внутри компаний только растет. Организации используют облачные сервисы, микросервисные архитектуры, Kubernetes, DevOps-подходы и похожие технологии, которые требуют привилегированного доступа.
Дополнительный риск создаёт расширение цепочек поставок.
Компании всё чаще привлекают подрядчиков и внешние команды, которым требуется доступ к внутренним ресурсам. Согласно последним новостям, атаки на цепочки поставок остаются трендом последних лет. Злоумышленникам часто проще скомпрометировать менее защищённого подрядчика, чем атаковать крупную организацию напрямую. При этом компрометация одного звена цепочки может привести к доступу к инфраструктуре основной компании.
Чем больше внешних участников и сложнее инфраструктура, тем выше риск утечки привилегированных доступов.
В таких условиях защищать необходимо не только периметр сети или пользовательские устройства, но и сами привилегированные доступы — кто, когда и как их использует.
Именно так сформировался класс решений РАМ, предназначенный для управления такими доступами.
Отсутствие контроля может открывать злоумышленникам двери для трех классических векторов атак:
- Горизонтальное перемещение. Попав на рабочую станцию рядового сотрудника, например через фишинг, хакер ищет сохраненные пароли или открытые сессии администраторов. Эти учетки часто разбросаны по скриптам и локальным машинам. Завладев ими, злоумышленник получает полный доступ к домену.
- Инсайдерские угрозы. Это не всегда злой умысел. Забытая учетная запись уволенного сисадмина или подрядчика, который уволился полгода назад — классическая дыра в безопасности. Без единого реестра доступов такие «мертвые души» живут в системе годами.
- Атака через цепочку поставок. Это один из самых опасных и растущих трендов. Злоумышленнику не нужно взламывать вашу защищенную «крепость» — ему достаточно взломать вашего подрядчика, которому вы доверяете.
- Доступ через вендора: часто IT-интеграторы или разработчики имеют постоянный VPN-доступ к сетям десятков клиентов для техподдержки. Компрометация одного такого интегратора дает хакерам ключи сразу ко всем его заказчикам (как это было в атаках на MSP-провайдеров).
- Или рассмотрим другой случай: Злоумышленники могут внедрить вредоносный код в обновление популярного софта или библиотеку, которую используют ваши разработчики. Администратор скачивает обновление, и вредоносный код запускается с его высокими привилегиями внутри периметра. Без контроля сессий такие действия выглядят как штатная работа сотрудника, пока не станет слишком поздно.
Контроль над учётными записями фактически означает контроль над всей инфраструктурой компании. При этом речь идёт не только об администраторах.
К привилегированным доступам относятся:
- Доменные админы
- Root/sudo
- Доступы к сетевому оборудованию
- Доступ к БД
- Учетки подрядчиков
- Сервисные учетки
Эти желанные места для хакеров являются таковыми не просто так, они часто настроены неверно или неправильно управляются.
Это приводит к многим рискам безопасности: полный контроль над системой, постоянные права, редкая ротация паролей, невозможность отследить действия сотрудников.
Причем классические меры защиты тут бессильны.
- VPN защищает канал, но не контролирует действия пользователя внутри инфраструктуры.
- Парольный менеджер позволяет безопасно хранить данные, но не обеспечивает контроль сессии и механизмов временного доступа (JIT).
- IAM системы управляет идентификацией, но не контролируют привилегии.
Ситуация осложняется тем, что инфраструктура внутри компаний только растет. Организации используют облачные сервисы, микросервисные архитектуры, Kubernetes, DevOps-подходы и похожие технологии, которые требуют привилегированного доступа.
Дополнительный риск создаёт расширение цепочек поставок.
Компании всё чаще привлекают подрядчиков и внешние команды, которым требуется доступ к внутренним ресурсам. Согласно последним новостям, атаки на цепочки поставок остаются трендом последних лет. Злоумышленникам часто проще скомпрометировать менее защищённого подрядчика, чем атаковать крупную организацию напрямую. При этом компрометация одного звена цепочки может привести к доступу к инфраструктуре основной компании.
Чем больше внешних участников и сложнее инфраструктура, тем выше риск утечки привилегированных доступов.
В таких условиях защищать необходимо не только периметр сети или пользовательские устройства, но и сами привилегированные доступы — кто, когда и как их использует.
Именно так сформировался класс решений РАМ, предназначенный для управления такими доступами.
Что такое PAM и зачем он нужен
PAM (Privileged Access Management) — система управления привилегированны доступом. Ее основная задача заключается в том, чтобы минимизировать риски, связанные с использованием учётных записей с повышенными правами, и обеспечить прозрачность действий пользователей внутри инфраструктуры.
PAM-системы позволяют компаниям:
Эти системы также поддерживают концепцию Zero-Trust и принципа минимальных привилегий, что и способствовало популяризации класса решений в ру сегменте.
PAM обеспечивает безопасность с помощью централизованного управления учетными записями и доступами к целевым ресурсам.
К таким целевым ресурсам относятся:
Основная идея такой системы — отобрать знание пароля привилегированной учетной записи к целевой системе у пользователя.
Если ему требуется подключение к ресурсу, то администратор PAM-системы выдает ему разрешение на подключение к конкретной системе под конкретной заранее настроенной учетной записью. Эти разрешения тоже очень гибко настраиваются, начиная от белых и черных списков команд, заканчивая временными ограничениями разрешения (JIT).
Вся аутентификация происходит «под капотом» и пользователю остается только зайти в свою учетную запись PAM-системы и выбрать нужное подключение. Кроме того, в зависимости от настроек системы, можно гибко отслеживать действия пользователя в системе. Например, вести журнал его действий в системе в формате текста, фото или видео.
PAM-системы позволяют компаниям:
- Контролировать права пользователей
- Упростить разбор инцидентов
- Предотвратить злоупотребление доступом
- Предотвратить утечки чувствительных данных через скомпрометированные учетные записи
- Выявлять подозрительную активность
Эти системы также поддерживают концепцию Zero-Trust и принципа минимальных привилегий, что и способствовало популяризации класса решений в ру сегменте.
PAM обеспечивает безопасность с помощью централизованного управления учетными записями и доступами к целевым ресурсам.
К таким целевым ресурсам относятся:
- сетевое оборудование
- средства виртуализации
- СУБД
- операционные системы и прочее
Основная идея такой системы — отобрать знание пароля привилегированной учетной записи к целевой системе у пользователя.
Если ему требуется подключение к ресурсу, то администратор PAM-системы выдает ему разрешение на подключение к конкретной системе под конкретной заранее настроенной учетной записью. Эти разрешения тоже очень гибко настраиваются, начиная от белых и черных списков команд, заканчивая временными ограничениями разрешения (JIT).
Вся аутентификация происходит «под капотом» и пользователю остается только зайти в свою учетную запись PAM-системы и выбрать нужное подключение. Кроме того, в зависимости от настроек системы, можно гибко отслеживать действия пользователя в системе. Например, вести журнал его действий в системе в формате текста, фото или видео.
PAM и требования законодательства
Внедрение контроля привилегированных пользователей в текущих реалиях — это прямое требование законодательства РФ.
Если ваша компания подпадает под действие КИИ (Критической информационной инфраструктуры), работает с финансовыми данными или ПДн, вы обязаны контролировать действия администраторов на объектах информационной инфраструктуры.
Основные документы, закрываемые функционалом PAM:
Спрос на PAM-системы в России показал значительный рост в том числе в связи с усилением регуляторных требований, включая политику импортозамещения и обязательный переход на отечественные решения. Для государственных предприятий и предприятий связанных с выполнением госзаказов также существует ряд сертифицированных решений (ФСТЭК, ФСБ).
На российском рынке представлено несколько игроков с широкими функциональными возможностями.
Все решения хороши по-своему, и выбор зависит от задачи и инфраструктуры:
Если ваша компания подпадает под действие КИИ (Критической информационной инфраструктуры), работает с финансовыми данными или ПДн, вы обязаны контролировать действия администраторов на объектах информационной инфраструктуры.
Основные документы, закрываемые функционалом PAM:
- Приказ ФСТЭК № 239 (для КИИ): требует идентификации и аутентификации субъектов доступа, управления учетными записями и регистрации событий безопасности. PAM берет на себя логирование всех действий.
- ГОСТ Р 57 580 (для финсектора/ЦБ): регламентирует контроль логического доступа, использование временных прав и защиту от несанкционированного повышения привилегий.
- 152-ФЗ (ПДн) и Приказ № 21: требуют обеспечения доверенной среды при работе с персональными данными.
Спрос на PAM-системы в России показал значительный рост в том числе в связи с усилением регуляторных требований, включая политику импортозамещения и обязательный переход на отечественные решения. Для государственных предприятий и предприятий связанных с выполнением госзаказов также существует ряд сертифицированных решений (ФСТЭК, ФСБ).
На российском рынке представлено несколько игроков с широкими функциональными возможностями.
Все решения хороши по-своему, и выбор зависит от задачи и инфраструктуры:
- JumpServer
- Indeed Privileged Access Manager
- СКДПУ НТ
- Zecurion PAM и т.д.
Заключение
PAM-системы становятся все более важной частью защиты корпоративных систем, обеспечивая контроль, управление и безопасность привилегированных учетных записей. Без внедрения PAM любые другие средства защиты могут быть обойдены через легитимную учетную запись администратора.
Далее в цикле статей мы подробно рассмотрим JumpServer — Open Source решение корпоративного уровня, которое стремительно набирает популярность. Это решение позволяет технически реализовать строгий контроль доступа и меры защиты, аналогичные требованиям регуляторов, но при этом остается доступным и гибким. Оно закрывает большинство требований безопасности (запись сессий, сокрытие паролей, MFA), не требуя бюджетов уровня коммерческих Enterprise-гигантов.
В следующей статье мы заглянем «под капот» данной PAM-системы. Разберем ее модульную архитектуру, системные требования и пройдем путь от чистого сервера до готовой к бою системы.
До встречи на TS University!
Далее в цикле статей мы подробно рассмотрим JumpServer — Open Source решение корпоративного уровня, которое стремительно набирает популярность. Это решение позволяет технически реализовать строгий контроль доступа и меры защиты, аналогичные требованиям регуляторов, но при этом остается доступным и гибким. Оно закрывает большинство требований безопасности (запись сессий, сокрытие паролей, MFA), не требуя бюджетов уровня коммерческих Enterprise-гигантов.
В следующей статье мы заглянем «под капот» данной PAM-системы. Разберем ее модульную архитектуру, системные требования и пройдем путь от чистого сервера до готовой к бою системы.
До встречи на TS University!
Чеклист: нужен ли вам PAM прямо сейчас?
Если вы ответите «ДА» хотя бы на 2 вопроса, вам пора задуматься о внедрении JumpServer или аналогов: