Пять технологических тенденций развития PAM-систем

ИТ-инфраструктура современной компании предполагает наличие привилегированного доступа к ее данным и ИТ-сервисам для широкого круга пользователей.  К ним относятся ИТ-администраторы, сотрудники подразделений, а также сотрудники партнерских организаций и подрядчики, и их число которых постоянно растет. До недавнего времени управлять привилегированным доступом было легко, поскольку роли и запросы на доступ менялись не так уж часто, а число привилегированных пользователей было невелико. Цифровизация бизнеса изменила ситуацию.  Взрывной рост ИТ-инфраструктуры, объема данных, облачных технологий, числа привилегированных пользователей и привилегированных учетных данных на различных платформах предоставил киберпреступникам новые возможности для кражи данных и получения доступа к активам компании. В этих условиях PAM из нишевого продукта превращается в универсальный инструмент управления привилегиями.

В четвертом квартале 2024 года Gartner, KuppingerCole и Frost & Sullivan выпустили исследования рынка PAM, в которых назвали актуальные тренды развития рынка. Согласно их исследованиям, основными тенденциями стали развитие поддержки доступа «Just in Time», переход на микросервисную архитектуру, повышение требований к удобству его использования, развитие функционала управления правами на облачную инфраструктуру и применение ИИ и машинного обучения для аналитики.

PAM — инструмент для снижения угроз, связанных с привилегированным доступом

С ростом ИТ-инфраструктуры увеличивается число привилегированных учетных записей различных типов: пользовательских, служебных, машинных, облачных, DevOps. Несанкционированный и неконтролируемый доступ к ним несет угрозу сбоя в работе компании, кражи и потери важных данных. Для минимизации этих угроз используют системы управления привилегированным доступом (PAM), которые контролируют предоставление, использование и отзыв привилегий. PAM-системы являются основой современных стратегий ИБ компании, обеспечивая надежный контроль и защиту привилегированного доступа.

Инструменты управления привилегированным доступом помогают компаниям снижать риски доступа уже несколько десятилетий. Любой PAM-продукт, присутствующий на рынке, способен в той или иной мере удовлетворить сегодняшние потребности компании в организации контролируемого привилегированного доступа. Современные системы управления привилегированным доступом могут обладать широким функционалом. Они управляют учетными записями и паролями приложений, запускают сеансы контролируемого привилегированного доступа,  организуют их мониторинг и аудит и обеспечивают анализ поведений привилегированных пользователей, предоставляют доступ «Just in Time» с минимальными привилегиями и поддерживают одноразовые эфемерные учетные данные, создаваемые для выполнения конкретной задачи. В зависимости от потребностей компании PAM может быть инструментом предоставления контролируемого доступа подрядчиков, а может включать такой функционал, как управление паролями, безопасное хранилище паролей, управление правами на облачную инфраструктуру и обеспечение доступа «Just in Time».

Выбор продукта с перспективными возможностями продлевает его жизненный цикл и снижает вероятность необходимости его замены на другой продукт. А для оценки перспективности продукта нужно быть в курсе технологических тенденций развития PAM.

Тенденция 1. Развитие доступа «Just in Time» с минимальными привилегиями

Возможность решения предоставлять безопасный доступ к привилегированным ресурсам по требованию, который активируется только в случае необходимости (Just in Time), уже стал обязательным функционалом PAM. «Just in Time» позволяет минимизировать риски, связанные с длительным или ненужным доступом. Поддержка JIT — необходимое условия для включения решения в рейтинги Gartner и KuppingerCole и перспективное направление развития PAM.

Доступ «Just in Time» — это подход к управлению доступом, который позволяет в режиме реального времени предоставлять стандартным учетными записям повышенные привилегии для выполнения задач. Такой подход позволяет реализовать принцип наименьших привилегий в масштабах всей компании.

Для реализации возможности JIT-доступа в решении вендоры используют разные технологии: создают и удаляют временные аккаунты, автоматически добавляют и удаляют личную учетную запись из группы AD, отключают и активируют на необходимое время административные учетные записи, временно связывают стандартную учетную запись с административной и повышают привилегии посредством запуска сценариев с командами «RunAs» и «sudo» (имперсонация), управляют токенами доступа.

Есть мнение, что за подходом Just in Time будущее. Поэтому вендоры продолжают поиск инноваций в этой области и предлагать пользователям новые возможности. Аналитики Gartner в этом году даже выделили новый подкласс решения в области управления привилегированным доступом — JITP (Just in Time Privilege). JITP — это агентское решение, позволяющее запускать RDP-, HTML- или SSH-сеанс привилегированного доступа без запуска PAM-системы. Такие решения ориентированы на внутренних пользователей, главным образом разработчиков, инженеров и ИТ-пользователей. В отличие от классических PAM в них отсутствует хранилище учетных данных, они не обеспечивают их ротацию, потому что ориентированы на работу с эфемерными учетными данными.

Gartner не рекомендует использовать только JITP-инструменты для снижения рисков привилегированного доступа, поскольку в legacy-системах существуют постоянные привилегированные учетные записи root или admin, которые требуют традиционных возможностей PAM.  Примером JITP-решения является Teleport.

Тенденция 2. Переход на микросервисную архитектуру

В последние годы микросервисная архитектура стала популярным выбором для разработки и развертывания приложений. Она позволяют разбивать приложения на более мелкие и слабо связанные части (микросервисы), которые независимо тестируются, поддерживаются и развертываются. Использование микросервисной архитектуры обеспечивает масштабируемость и отказоустойчивость решения, повышая его общую производительность и надежность, и дает вендорам возможность быстрее разрабатывать и поставлять своим пользователям новый функционал.

Мировые лидеры сегодня предлагают решения, построенные на архитектуре микросервисов, даже если изначально были основаны на традиционной архитектуре. Это связано, в первую очередь, с развитием облачных решений. Кроме того, микросервисы позволяют сократить время развертывания и повысить модульность их возможностей. В некоторых решениях есть возможность самостоятельной настройки микросервисов для создания индивидуальных интеграций и сервисов, что может быть востребовано крупными компаниями, в которых есть соответствующий ресурс.

Тенденция 3. Повышение требований к удобству использования

В этом году аналитики и Gartner, и KuppingerCole при составлении рейтинга решений оценивали удобство развертывания и использования. Эксперты определяли, насколько интуитивно понятна и удобна система, а также насколько эффективно пользователи могут ориентироваться в ней и выполнять поставленные задачи.

Современные PAM-решения лежат на стыке ИТ и ИБ.  Они учитывают потребности ИТ-администраторов, которых обеспечивает сервисом, и выполняют задачи безопасности. Функциональность решений должна быть такой, чтобы не возникало потребности обходить систему или внедрять PAM частично для доступа только к критическим ресурсам. Учитывая степень связности ИТ-систем в компании, предоставление доступа к новой системе, интегрированной с защищенными старым системами, — это нарушение ИБ. Классический пример — атака через цепочку поставщиков.

Пользователями таких систем теперь являются не только ИТ-администраторы, но и разработчики, бизнес-пользователи, партнерские компании. Появляются новые сценарии использования. Если первые PAM-системы, вышедшие из менеджеров паролей, были фактически ориентированы на предоставление доступа к административным учетным данным, то современные решения способны фиксировать действия пользователей, отслеживать списки защищенных команд, обеспечивать динамический доступ и многое другое.

Расширение области применения PAM привело к  тому, что при выборе решения вопросы интеграции, удобства использования и требования к обучению персонала становятся приоритетными.

Тенденция 4. Поддержка управления правами при доступе к облачной инфраструктуре (CIEM)

Компании используют облачные сервисы, доступ к этим сервисам открыт для сотрудников, партнерских компаний и поставщиков, поскольку совместная работа и обмен данными становятся повсеместными. Появление машинных учетных записей, получающих доступ к облачным ресурсам, также является важной частью новой среды. Традиционные системы управления идентификацией и доступом, такие как IdM, IAM, PAM, не предназначены для работы в условиях постоянно меняющихся рабочих нагрузок и высоких скоростей. Это особенно актуально, когда требуется мониторинг в реальном времени всех облачных ресурсов, сервисов и приложений. В прошлом году Gartner дополнил свою систематизацию PAM-инструментов новой категорией — CIEM, Cloud infrastructure entitlement management, управление правами на облачную инфраструктуру. CIEM-решения предназначены для динамического предоставления привилегий для доступа к облачным ресурсам, сервисам и управления облаком.

CIEM-решения являются безагентскими. Они обеспечивают централизованное управление правами на облачные сервисы различных провайдеров: предоставляют доступ «Just in Time» пользователям, машинам и службам, способны обнаружить учетные записи в различных облаках, позволяют применить принцип наименьших привилегий при управлении облачными ресурсами, ведут запись сеансов, позволяют применять политики доступа. Такие инструменты используют аналитику, машинное обучение и другие методы для обнаружения аномалий в правах учетных записей, таких как накопление привилегий, а также неактивных и ненужных разрешений.

Лидеры рынка PAM из отчетов Gartner и KuppingerCole поддерживают функционал CIEM, новые стартапы возникают именно в этой области. И даже вендоры, не обладающие полноценными возможностями CIEM, стараются обеспечить управление доступом к секретам облачной инфраструктуры и динамическую настройку ролей в той или иной степени.

Тенденция 5. Использование ИИ/машинного обучения

Растущая миграция в облака и потребность в динамичной облачной среде требуют использования возможностей ИИ и машинного обучения. С их помощью компании могут повысить эффективность обнаружения угроз и их митигации, автоматизировать ИТ-задачи, облегчить прогнозную аналитику и улучшить контроль доступа.

Заключение

Рынок PAM продолжает развиваться. Системы управления привилегированным доступом перестают быть нишевыми решениями. Появляются новые игроки, которые предлагают специализированные решения PAM. Решения крупных вендоров развиваются в сторону платформ Identity Security, которые включают и PAM, и CIEM, и ITDR. Компании с высокой зрелостью PAM стремятся распространить принципы безопасной траектории работы на обычных пользователей, это приводит к появлению в портфеле вендоров PAM смежных решений, таких как Workforce Password Management, например.

Workforce Password Management — это корпоративный менеджер паролей, который позволяет централизованно управлять учетными записями бизнес-приложений, хранить учетные данные в защищенном хранилище, предоставлять доступ к приложений через единый портал и фиксировать действия пользователей. Решения этого класса не подходят для управления и контроля привилегированного доступа из-за нехватки ряда функционала. В частности, они не могут управлять служебными учетными записями, не позволяют повышать права по требованию, не устанавливают сеансы привилегированного доступа без раскрытия учетных данных пользователю и не позволяют просматривать и прерывать сеансы в режиме реального времени.

Решения менее крупных вендоров развиваются в направлении расширения возможностей Just in Time-доступа и CIEM. Доступ «Just in Time» стал обязательным функционалом PAM-решения Появляются продукты, которые ориентированы именно на предоставление JIT-доступа.

Эксперты предупреждают, что стоимость внедрения и владения решений крупных вендоров может оказаться высокой для малых и средних компаний. Компании могут не нуждаться в некоторых функциях, особенно если потребность в них уже закрыта другими системами, в которые уже были сделаны инвестиции.