Контроль привилегированных пользователей (Privileged Account Management, PAM)
Контроль привилегированных пользователей (Privileged Account Management или PAM) — это комплекс решений, который помогает осуществлять мониторинг и контроль учётных записей, а также аудит выполняемых действий.
Он организуется в целях предотвращения:
- предотвращения утечек конфиденциальной информации;
- недопущения сбоев в функционировании информационных систем, инициированных действиями пользователей привилегированных аккаунтов.
Аккаунт с более широкими возможностями и правами доступа, может стать источником утечки данных или подвергнуться атаке злоумышленников. К тому же не исключена его компрометация самим владельцем.
Принцип контроля привилегированных пользователей
К категории привилегированных относятся:
- руководство компании;
- сотрудники, обеспечивающие работу IT-инфраструктуры (системные администраторы, программисты, работники службы безопасности и пр.);
- сотрудники ИТ-компаний, обслуживающих технику или программное обеспечение в гарантийный период;
- лица, осуществляющие контроль и аудит.
Составляющие успешного PAM
Для правильной организации контроля привилегированных пользователей нужно выбирать решения, которые:
- Обеспечивают мониторинг действий таких аккаунтов. Решение должно не просто отслеживать активность пользователя, но и давать чёткую информацию о том, кто работал под учётной записью в конкретный момент времени.
- Позволяют управлять доступом. При этом данные привилегированных учетных записей должны храниться в отдельной, от данных обычных сотрудников, зоне.
- Могут фильтровать команды, анализировать действия пользователей и принимать меры для их нейтрализации при необходимости (оповещение, блокировка и пр.).
Системы контроля привилегированных пользователей
PAM-решения могут быть программными или аппаратно-программными. Разработкой систем контроля привилегированных пользователей занимаются отечественные и зарубежные компании. Как правило, для их использования требуется только установка программы на сервер корпоративной сети. На контролируемые компьютеры какие-либо модули и расширения не устанавливаются.
Базовый функционал таких решений включает следующие возможности:
- управление учётными записями, доступом и паролями к ним (это же касается и управления такими записями в приложениях (программах);
- организация контроля привилегированных сессий;
- поддержка протоколов для удаленного администрирования: HTTP, FTP, SSH, RDP и пр.;
- запись сессий, изоляция объектов сети, сбор данных для расследования инцидентов.
Варианты решений
- SafeInspect компании «Новые технологии безопасности». Решение лицензировано ФСТЭК и ФСБ России. Соответствует требованиям ФЗ №152 и GPDR (актуально для компаний, работающих на европейском рынке).
- Zecurion PAM. Также отечественная разработка, принадлежит компании Zecurion. Имеются сертификаты ФСТЭК и Министерства обороны РФ.
- Indeed Privileged Access Manager. На июнь 2022 года происходит процесс сертификации ФСТЭК (по данным, предоставленным компанией Indeed).
- Система контроля действий поставщиков ИТ-услуг (СКДПУ) разработчика «АйТи Бастион». Ориентирована на организации, которые передали обслуживание ИТ-инфраструктуры на комплексный или частичный аутсорсинг.