PAM-системы: что это и за...

PAM-системы: что это и зачем нужны

erid: 2SDnjcjDGxK
PAM-системы: что это и зачем нужны
PAM-системы: что это и зачем нужны
07.12.2022

С точки зрения кибербезопасности человек был и остается самым уязвимым элементом защиты, на который нацелены многие хакерские инструменты, от социальной инженерии и фишинга до технологий брутфорса и OSINT-разведки на предмет ранее « засвеченных» паролей.

Ряд пользователей особенно привлекательны для хакеров, поскольку, ввиду особенностей их трудовых обязанностей, они обладают повышенными привилегиями в информационных системах компании. Для контроля их деятельности и защиты от взлома используются PAM-системы.

В этой статье будут разобраны проблемы контроля сотрудников с повышенными привилегиями, основные характеристики и задачи систем контроля привилегированных пользователей.

Кто такие привилегированные пользователи

В контексте IT подразумеваются повышенные права доступа к информационным системам компании. Условно, можно выделить две большие группы сотрудников, которых можно назвать привилегированными:

  1. Топ-менеджмент. Руководители подразделений компаний, которые имеют доступ к цифровым ресурсам компании (например, аналитике CRM-систем).
  2. Технические специалисты. Например, администраторы или разработчики, которые имеют прямой доступ к защитным инструментам, исходному коду, базам данных и другим рабочим элементам инфраструктуры.

Базовая характеристика привилегированного пользователя – это наличие доступа к чувствительной информации, которого нет у рядовых сотрудников. Учетная запись такого работника наиболее привлекательна для хакеров, поскольку позволяет быстро получить контроль над инфраструктурой или доступ к целевым данным.

Алексей Парфентьев

Руководитель отдела аналитики "СерчИнформ"

У технических кадров есть неограниченный доступ к конфиденциальной информации, т.к. обслуживание ИТ-инфраструктуры – их прямая должностная обязанность. Поэтому контроль таких специалистов должен быть комплексным. Привилегированный пользователь может оказаться злоумышленником сам и быть использован как «точка старта» кибератаки (по данным нашего опроса около 10% всех инцидентов ИБ – это действия хакеров через сотрудников).

Нужен контроль с точки зрения информационной безопасности – должна быть уверенность, что технические специалисты не злоупотребляют должностными полномочиями. Это можно сделать с помощью PAM-, DLP- и SIEM-систем. Кроме того, требуется дисциплинарный контроль. Это как банальный мониторинг продуктивности с помощью DLP или тайм-трекеров (не нарушают ли сотрудники рабочий распорядок), так и мониторинг правильности выполнения технических задач.

Для хакеров такие «rut-пользователи» привлекательны тем, что доступ к их учетной записи сильно сокращает цепочку атаки. Злоумышленнику не нужно заниматься долгим изучением инфраструктуры и самостоятельно вести работы по повышению прав в системе – достаточно просто узнать логин и пароль конкретного специалиста.

Какие задачи решает PAM

Выше мы уже сказали о противодействию внешним злоумышленникам и хакерской активности. Это важная функция, которая, вкупе с разумной парольной политикой, вниманием к потенциально фишинговым письмам и другими элементами цифровой гигиены, позволяет эффективно защитить учетную запись привилегированного пользователя.

Андрей Прозоровский

Руководитель департамента информационной безопасности ИМБА ИТ

PAM-системы осуществляют контроль привилегированных пользователей, защиту от несанкционированного доступа к ИТ-инфраструктуре и проведение расследований для доказательства ошибочных или неправомерных действий сотрудников.

Основные задачи:

— Предоставить гранулированный и защищённый доступ к целевой ИТ-инфраструктуре с ограничением по времени.
— Обеспечить протоколирование и запись сеанса работы администраторов с ИТ-инфраструктурой.
— Обеспечить безопасное управление паролями (хранить их в защищённой БД, генерировать и обновлять автоматически без ведома администраторов).

Для решения этих задач обычно используется сервер-брокер (прокси-сервер). Пользователи подключаются к нему с обычными правами, а после прохождения аутентификации и авторизации получают привилегированный доступ к администрируемым компонентам. При этом система обеспечивает безопасное хранение паролей и периодическое изменение. Такой подход обеспечивает:

— безопасное администрирование ИТ-инфраструктуры;
—  управление привилегированными записями и их безопасность;
—  проведение расследования.

Данный класс решений разработан для решения специфических задач по обеспечению контроля за привилегированными пользователями, с учетом того, что потенциальные угрозы могут исходить от них самих.

Другие классы решений могут лишь частично выполнять некоторые функции PAM-систем:

— IdM — обеспечивает управление жизненным циклом всех учетных записей в компании.
— SIEM — собирает события с администрируемых серверов.

Только PAM решает главные задачу по обеспечению контроля действий привилегированных пользователей.


Система контроля привилегированных пользователей позволяет не только защититься от хакерской активности, но и проработать риски инсайдерской деятельности со стороны сотрудника компании. Распространенный сценарий, когда сотрудник перед своим увольнением скачивает все доступные базы данных и «уносит» их из компании, чтобы опубликовать на теневых форумах, либо просто продать конкурентам.

Егор Петров

Руководитель направления по перспективным ИБ-решениям в компании "Сиссофт"

Необходимость контроля привилегированных пользователей для компаний очень актуальна. PAM-системы позволяют не только предотвращать атаки злоумышленников и контролировать действия привилегированных пользователей, они помогают автоматизировать процессы прозрачного и защищенного доступа к ИТ-инфраструктуре. PAM также могут навести порядок в общем пуле учетных записей, отделив привилегированных пользователей от обычных. А еще управлять доступами и ловить злоумышленников в режиме текущего времени, что крайне важно для расследования инцидентов.


Отдельно стоит отметить актуальность управления привилегированным доступом в компаниях, которые занимаются разработкой софта. Здесь проблема стоит еще острее, поскольку в российской и зарубежной практике бывали случаи, когда из компании уходит руководитель отдела, за ним уходит «костяк» разработчиков, а через месяц-два на рынке появляется точно такой же цифровой продукт. Учитывая несовершенство законодательства, лучше заранее «страховать» такие риски, чем годами доказывать в суде свою правоту и решать вопросы авторства исходного кода.

Что такое PAM-система

PAM (privileged access management) – это система контроля и организации доступа привилегированных пользователей к информационным системам компании. В зависимости от конкретного продукта, она может использоваться как для контроля внутренних сотрудников, так и внешних, например, аутсорс-разработчиков.

Любовь Ермилова

Старший менеджер дирекции решений по информационной безопасности компании MONT

PAM-система создана для минимизации рисков утечек и возможности расследовать инцидент, а также для укрепления безопасности для ИБ в целом. Она позволяет контролировать пароли, предотвращать массовые утечки персональных данных и документов внутреннего пользования (для руководителей, PR, маркетинга) и экономить на репутационных издержках. PAM становится непосредственно перед целевыми системами, своего рода proxy. После подключения к серверу РАМ весь остальной доступ к системе будет через него. РАМ сервер как бы прячет в себе все логины, пароли, привилегии, а еще все записывает.


От других систем контроля и ограничения доступа для сотрудников решение PAM отличается ориентированностью на конкретную группу сотрудников, которые имеют повышенные привилегии в рамках системы. С технической точки зрения серьезных отличий нет.

Для PAM характерна та же проблема, что и для других систем контроля – ее внедрение может быть неверно интерпретировано сотрудниками компании. Второй пласт проблем – это возможное снижение скорости работы контролируемых сотрудников из-за затрат времени на авторизацию и другие процессы.

В данном случае, подобные риски более чем оправданы, поскольку интеграция PAM позволяет сильно сократить потенциальные риски утечки данных и, в конечном итоге, организовать доступ к чувствительным данным и инфраструктуре, что повышает доверие к каждому привилегированному пользователю за счет существования инструментов их объективного контроля.

Кирилл Уголев

Руководитель дивизиона информационной безопасности TEGRUS

Часто при внедрении подобных систем контроля, особенно если они начинают применяться к собственным привилегированным пользователям, компании натыкаются на недовольство собственного персонала. Этот фактор нельзя упускать из виду. В этом случае необходимо давать сотрудникам пояснения, что эта система не только их контролирует, но еще и дает возможность получить объективные данные. В случае инцидента уже не получится возложить вину на человека, который был непричастен к его возникновению. Данные решения позволяют точно установить были ли им совершены действия, которые привели к неприятному событию, или проблема с этим не связана.

С точки зрения построения систем защиты информационных систем компании, PAM – это не инструмент первой очереди, и, в большей мере, интересен зрелым с точки зрения ИБ компаниям, у которых уже интегрированы системы защиты периметра и первичного контроля сотрудников внутри инфраструктуры. 

Другие материалы
Несанкционированный доступ, часть 2: виды информации и меры защиты
07.11.2023
Несанкционированный доступ, часть 2: виды информации и меры защиты
Дизлайк сотрудникам: как нарушается информационная безопасность в социальных сетях и что с этим делать
15.05.2023
Дизлайк сотрудникам: как нарушается информационная безопасность в социальных сетях и что с этим делать
GDPR: надежный щит для данных или тяжкие кандалы для инноваций
24.06.2024
GDPR: надежный щит для данных или тяжкие кандалы для инноваций
Проведение отраслевого мониторинга в КИИ. Некоторые лайфхаки
19.10.2023
Проведение отраслевого мониторинга в КИИ. Некоторые лайфхаки
Динамический анализ мобильных приложений Android и iOS с использованием устройств и эмуляторов
14.09.2022
Динамический анализ мобильных приложений Android и iOS с использованием устройств и эмуляторов
Без посредников: что такое смарт-контракты и насколько им можно доверять
25.07.2024
Без посредников: что такое смарт-контракты и насколько им можно доверять

Популярные публикации
14.11.2024
Аналитическое сравнение российских продуктов по управлению уязвимостями
10.08.2024
Импортозамещение в ИБ: как указ президента №250 меняет крупнейшие российские компании
27.03.2024
Anonymous vs Killnet: история группировок
12.09.2024
Кардинг: технологичное мошенничество или проверка на внимательность?
17.05.2024
Утечка данных: как случается и что с ними делать
19.08.2024
ГосСОПКА: какие перспективы у цифрового щита России?
19.01.2024
XDR, DLP, IDS: какое ИБ-решение выбрать
16.03.2024
Менеджеры паролей - 7 лучших решений для бизнеса
30.07.2024
Обзор платформ для практического обучения: направления Offensive и Defensive
22.07.2024
Пентест или тестирование на проникновение: слабости в обороне компаний, актуальные в 2023 году
06.07.2024
Ситуационные центры России: готова ли государственная информационная инфраструктура к актуальным внешним условиям?
15.02.2024
СКЗИ (средства криптографической защиты информации): что это, какие классы, чем отличаются и что проверяет ФСБ
17.02.2024
SOC (Security Operation Center): для чего компании нужен центр мониторинга кибербезопасности
04.08.2024
Банк угроз ФСТЭК: использовать нельзя игнорировать
29.10.2024
Автоматизированный SOC, NGFW и багбаунти: итоги года и прогнозы на 2024
09.10.2024
Критическая информационная инфраструктура (КИИ): инструкция по выявлению и категорированию объектов
12.08.2024
Этичный хакинг: что это такое и где применяется? Кто такие белые хакеры?
06.10.2024
Обзор средств доверенной загрузки
20.01.2024
Как работают TLS-сертификаты Минцифры
30.03.2024
SIEM-системы в России - что это, какие популярные решения применяются
Показать всё
Комментарии 0