Обзор РАМ-решений на российском рынке

Сергей Мирзоян 
Специалист направления информационной безопасности Группы компаний «Борлас»

В последнее время вопрос защиты критических данных в организациях становится все более актуальным. Особенно эту проблему обострила возрастающая популярность удаленной работы, что значительно повышает риск утечки информации.

Все больше компаний стремятся обезопасить критические для себя данные, применяя разные организационные методы, такие как разграничение прав доступа по ролям и тому подобные. Но это в целом не решает проблему, а лишь ее минимизирует.

Нередко утечки конфиденциальной информации происходят попросту из-за пресловутого человеческого фактора, когда сотрудники не соблюдают «цифровую гигиену». Здесь может иметь место злой умысел или банальное незнание правил кибербезопасности.

Чтобы это предотвратить, у руководителей организаций возникает потребность в инструменте, позволяющем не только отслеживать действия пользователей, но и гибко настраивать их права доступа. Для задач, связанных с контролем работы привилегированных пользователей, помогут специализированные решения, о которых далее и пойдет речь.

Что такое PAM?

PAM (Privilege Access Management) — это совокупность решений для обеспечения мониторинга и контроля учетных записей сотрудников с высоким уровнем доступа к конфиденциальной информации. Это могут быть руководители IT-подразделений, системные администраторы, специалисты сторонних организаций, осуществляющих поддержание жизнеобеспечения внутренней инфраструктуры организации. Помимо аббревиатуры «PAM», для обозначения этого класса решений употребляются и другие наименования:

• Privileged User Management (PUM) - Управление привилегированным доступом;
• Privileged Identity Management (PIM) - Управление привилегированными идентификационными данными;
• Privileged Password Management (PPM) - Управление привилегированными паролями;
• Privileged Account Security (PAS - Безопасность привилегированной учетной записи).

PAM предназначен для снижения рисков от несанкционированного доступа к учетным записям привилегированных пользователей. Это пользователи, которые имеют доступ к конфиденциальным данным компании, а также те пользователи, которым требуется временный привилегированный доступ, в рамках проекта или проверки, например.

Всем ли нужен PAM?

PAM – это достаточно дорогостоящее решение. Как правило, его используют крупные компании с большим штатом ИБ и ИТ-специалистов. Помимо этого, для обеспечения работы PAM требуется технически развитая инфраструктура, которая, в свою очередь, требует дополнительных затрат.

Однако сейчас идет тренд на внедрение подобных решений в облачные инфраструктуры организаций. Это не только снимет вопросы, связанные с эксплуатацией оборудования, но и уменьшит конечную стоимость самого PAM, что обеспечит доступность этого класса решений.

Российские решения

Российский рынок представлен рядом решений класса PAM.

Zecurion PAM – российское решение, обеспечивающее единую точку входа в систему, что является незаменимым вариантом для внутренней корпоративной сети. Применяется, чтобы управлять привилегированными аккаунтами, а также осуществлять мониторинг всех действий, которые проводятся с такими учетными записями в различных приложениях и в различных ОС. Предусмотрена возможность централизованного управления всеми компонентами через веб-интерфейс. Система ведет запись всех действий сотрудников, в том числе параметров входа, отправленных команд, а также позволяет демонстрировать экран пользователя в режиме онлайн и производить видеозапись. Стабильная защита осуществляется на всех уровнях информационной системы. Модульная организация позволяет «набрать» подходящие продукты для решения конкретных задач.

Ключевые функции:

• Платформонезависимость:
• Современная консоль управления;
• Простой процесс установки и настройки;
• Удобные отчеты;
• Гибкое управление доступом;
• Агентонезависимая технология;
• Контроль каналов для протоколов SSH и RDP. 

SafeInspect от компании «НТБ» обеспечивает дополнительную авторизацию привилегированных пользователей и запись их действий, дополнительное разграничение полномочий (особенно для администраторов, использующих общие аккаунты суперпользователя - например, root).

Среди преимуществ этого решения:

• Мониторинг привилегированных сессий, в том числе с детальным разбором протоколов SSH и RDP, поддержкой HTTP/HTTPS и Telnet-соединений;
• Протоколирование в текстовый журнал и видеофиксация действий пользователей с быстрой индексацией архива;
• Собственное хранилище паролей с возможностью автоматической ротации ключей;
• Система гранулированного доступа, позволяющая гибко настраивать правила и сценарии работы для любых категорий привилегированных пользователей — собственных сотрудников, подрядчиков и аудиторов. Разделение доступа по ресурсам, расписанию и разрешенным операциям;
• Механизм подстановки собственных токенов авторизации. SafeInspect перехватывает аутентификацию пользователя и авторизуется на целевом ресурсе при помощи собственных ключей и паролей. Такой принцип исключает возможность обхода системы и несанкционированного доступа;
• Удобство интеграции со сторонними IPS-, DLP- и SIEM-решениями, в частности, с российскими.

В высококритичных инфраструктурах можно реализовать отказоустойчивую и масштабируемую инфраструктуру SafeInspect с использованием технологий «холодного» (hot-standby) резервирования, кластеризации (оба устройства в работе) и с помощью размещения нескольких коллекторов в разных местах инфраструктуры, обеспечивая тем самым надежный доступ привилегированных пользователей к контролируемой архитектуре даже в случае отказов единичных шлюзов.

Зарубежные решения

На российском рынке также доступны и зарубежные PAM-решения.

Senhasegura PAM – бразильский разработчик ПО для управления привилегированными пользователями. Имеет высокие оценки решения в KuppingerCole и Gartner. Решение предоставляет комплексную платформу для управления привилегированными пользователями:

• Хранение и управление паролями, обнаружение учетных записей, SSH ключей, SSL сертификатов;
• Контроль подрядчиков и администраторов по протоколам RDP\SSH\HTTP(s)\X11\VNC и тд;
• Поведенческий анализ;
• Управление привилегиями пользователей и запускаемыми приложениями;
• Управление секретами DevSecOps.

Krontech – турецкий производитель PAM-решений. Компания была основана в 2008 году и имеет свое представительство в России.

Поддерживает следующий функционал:

• Управление доступом пользователей:

o Многофакторная аутентификация с помощью Android и iOS приложений ОТР (одноразовые пароли)

o Управление аккаунтами для общего доступа

o Управление жизненным циклом паролей

o Работа в сети при полной идентификации пользователей

• Аналитика:

o Поддержка оптического распознавания символов (OCR)

o Анализ действий пользователей

• Отчетность и аудит:

o Логирование и запись сессий по протоколам SSH, RDP, HTTP/S, SFTP

• Технологическая поддержка:

o Автоматизация процессов обнаружения сетевых устройств и серверов

o Полная поддержка протоколов TACACS+ и РАДИУС

o Поддержка Multi-tenancy (разделение на «тенантов» - разные организации)

• Интеграция:

o Поддержка всех современных версий ОС UNIX, LINUX, WINDOWS

Принцип работы:

Схема работы:

Какое решение выбрать?

Каждое из представленных решений обладает своими достоинствами и особенностями. Выбор подходящего решения должен прежде всего базироваться на задачах и условиях, которые стоят перед Вашим бизнесом.

Предлагаем сравнительную таблицу:

Зарубежные решения не подходят для Госсектора. Тем не менее они ориентированы на большую аудиторию, включающую в себя как крупный, так и малый бизнес, а также имеют более широкий диапазон технических возможностей.

Для государственных предприятий, а также для предприятий, связанных с выполнением госзаказов, подойдут российские решения, поскольку здесь важно наличие сертификатов, выданных соответствующими организациями (ФСТЭК, ФСБ).

В целом, РАМ-решения полезны не только с точки зрения защиты информации, но и с точки зрения расследования инцидентов безопасности, что только повышает ценность этого класса решений. Поэтому так важно ответственно подходить не только к выбору самого РАМ-продукта, но и к квалификации сотрудников, эксплуатирующих эту систему.