Контроль привилегированных пользователей (Privileged Account Management, PAM)

Контроль привилегированных пользователей (Privileged Account Management или PAM) — это комплекс решений, который помогает осуществлять мониторинг и контроль учётных записей, а также аудит выполняемых действий.

Он организуется в целях предотвращения:

  • предотвращения утечек конфиденциальной информации;
  • недопущения сбоев в функционировании информационных систем, инициированных действиями пользователей привилегированных аккаунтов.

Аккаунт с более широкими возможностями и правами доступа, может стать источником утечки данных или подвергнуться атаке злоумышленников. К тому же не исключена его компрометация самим владельцем.

Принцип контроля привилегированных пользователей

К категории привилегированных относятся:

  • руководство компании;
  • сотрудники, обеспечивающие работу IT-инфраструктуры (системные администраторы, программисты, работники службы безопасности и пр.);
  • сотрудники ИТ-компаний, обслуживающих технику или программное обеспечение в гарантийный период;
  • лица, осуществляющие контроль и аудит.

Составляющие успешного PAM

Для правильной организации контроля привилегированных пользователей нужно выбирать решения, которые:

  • Обеспечивают мониторинг действий таких аккаунтов. Решение должно не просто отслеживать активность пользователя, но и давать чёткую информацию о том, кто работал под учётной записью в конкретный момент времени.
  • Позволяют управлять доступом. При этом данные привилегированных учетных записей должны храниться в отдельной, от данных обычных сотрудников, зоне.
  • Могут фильтровать команды, анализировать действия пользователей и принимать меры для их нейтрализации при необходимости (оповещение, блокировка и пр.).

Системы контроля привилегированных пользователей

PAM-решения могут быть программными или аппаратно-программными. Разработкой систем контроля привилегированных пользователей занимаются отечественные и зарубежные компании. Как правило, для их использования требуется только установка программы на сервер корпоративной сети. На контролируемые компьютеры какие-либо модули и расширения не устанавливаются.

Базовый функционал таких решений включает следующие возможности:

  • управление учётными записями, доступом и паролями к ним (это же касается и управления такими записями в приложениях (программах);
  • организация контроля привилегированных сессий;
  • поддержка протоколов для удаленного администрирования: HTTP, FTP, SSH, RDP и пр.;
  • запись сессий, изоляция объектов сети, сбор данных для расследования инцидентов.

Варианты решений

  • SafeInspect компании «Новые технологии безопасности». Решение лицензировано ФСТЭК и ФСБ России. Соответствует требованиям ФЗ №152 и GPDR (актуально для компаний, работающих на европейском рынке).
  • Zecurion PAM. Также отечественная разработка, принадлежит компании Zecurion. Имеются сертификаты ФСТЭК и Министерства обороны РФ.
  • Indeed Privileged Access Manager. На июнь 2022 года происходит процесс сертификации ФСТЭК (по данным, предоставленным компанией Indeed).
  • Система контроля действий поставщиков ИТ-услуг (СКДПУ) разработчика «АйТи Бастион». Ориентирована на организации, которые передали обслуживание ИТ-инфраструктуры на комплексный или частичный аутсорсинг.

Получить консультацию