PAM 
Выбирая между локальным и облачным решением для управления привилегированным доступом (PAM), рекомендуется использовать облачное решение PAM, поскольку оно проще в управлении, а также отличается большей масштабируемостью...
опубликованный , дата публикации: 05 марта, 2025
В то время как многие организации сосредоточены на борьбе с внешними киберугрозами, внутрисистемные угрозы могут быть направлены на привилегированные учетные записи с расширенным доступом к конфиденциальным данным или системам. Согласно отчету Cybersecurity Insiders о внутрисистемных угрозах, 83% организаций подверглись как минимум одной внутрисистемной атаке в 2024 году. В отличие от того, как организации реагируют на внешние киберугрозы, внутрисистемные угрозы требуют более конкретного подхода, обеспечивающего сотрудникам только тот доступ, который необходим им для выполнения своих обязанностей, и предотвращающего неправомерное использование конфиденциальных данных. Лучший способ защитить привилегированные учетные записи от внутрисистемных угроз — решение для управления привилегированным доступом (PAM).
Читайте дальше, чтобы узнать, почему вредоносные внутрисистемные угрозы нацелены на привилегированные учетные записи, как решения PAM защищают привилегированные учетные записи от внутрисистемных угроз и каких распространенных ошибок следует избегать при защите привилегированных учетных записей.
Почему внутрисистемные угрозы нацелены на привилегированные учетные записи?
Хотя внутрисистемные угрозы могут быть непреднамеренными из-за халатности, сотрудники могут подорвать работу организации со злым умыслом и использовать похищенную конфиденциальную информацию в своих интересах. Внутрисистемные угрозы нацелены на привилегированные учетные записи из-за их высокоуровневого доступа к критически важным системам и данным, возможности обхода средств контроля безопасности, значительного вознаграждения и повышения привилегий.
Высокоуровневый доступ к критически важным системам и данным
Привилегированные учетные записи обеспечивают расширенный доступ к конфиденциальной информации и критически важным системам, таким как финансовые документы и инфраструктура, что делает их ключевыми целями для внутрисистемных угроз. Поскольку организации полагаются на привилегированные учетные записи с широкими возможностями доступа, злонамеренные сотрудники стремятся найти эти учетные записи с целью манипулирования важной деловой информацией, ее кражи или повреждения из личной выгоды или мести. Неправомерное использование привилегированных учетных записей может привести к финансовому и операционному ущербу, гораздо более серьезному, чем в случае обычных учетных записей. Так произошло с Disney в 2024 году, когда бывший руководитель по составлению меню манипулировал служебной информацией и заменил все шрифты в меню, чтобы их невозможно было прочитать. Кроме того, бывший руководитель по составлению меню добавил ложную информацию об аллергенах, заявив, что некоторые пункты меню безопасны для людей с аллергией, в то время как они могли быть опасны для жизни. В результате система составления меню на несколько недель перешла на ручной режим работы, что замедлило производство и привело к потере доверия клиентов.
Возможность обхода средств контроля безопасности
В отличие от внешних злоумышленников, пытающихся получить доступ к привилегированным учетным записям, злонамеренные сотрудники уже работают в сети организации, что облегчает обход средств контроля безопасности. Поскольку привилегированные учетные записи имеют доступ к высококонфиденциальным данным, они более привлекательны для злонамеренных сотрудников, которые хотят обойти брандмауэры и средства контроля доступа, отключить мониторинг безопасности и повысить привилегии для создания бэкдоров. Без надлежащего мониторинга и контроля безопасности привилегированные пользователи могут оставаться незамеченными, используя системы с ограниченным доступом, а также горизонтально перемещаясь по сети организации или похищая конфиденциальные данные. Чтобы уменьшить последствия внутрисистемных угроз, организации должны обеспечить строгий контроль доступа и отслеживать действия с привилегированными учетными записями в реальном времени.
Значительное воздействие и вознаграждение
Для злонамеренных сотрудников привилегированные учетные записи очень ценны, поскольку с их помощью можно получить доступ к огромным объемам конфиденциальной информации. Компрометация привилегированной учетной записи приводит к более значительному вознаграждению по сравнению с обычной учетной записью, включая финансовую выгоду или саботаж. Поскольку в привилегированных учетных записях содержится гораздо больше конфиденциальной информации, последствия их неправомерного использования намного серьезнее, чем в случае с обычной учетной записью. Злонамеренные сотрудники, использующие привилегированные учетные записи, могут манипулировать финансовыми документами или нарушать работу системы ради денег или личной выгоды. Внедрение строгих средств контроля доступа и мониторинг привилегированных учетных записей может снизить риски внутрисистемных угроз, нацеленных на эти учетные записи.
Повышение привилегий
Злонамеренные сотрудники, имеющие доступ к привилегированным учетным записям, могут повышать свои привилегии, предоставляя себе больше полномочий, чем нужно. За счет повышения привилегий злонамеренные сотрудники могут незаметно перемещаться по сети организации, получая доступ к конфиденциальной информации, меняя настройки безопасности или даже выдавая себя за других привилегированных пользователей. Компрометация привилегированных учетных записей может помочь злонамеренным сотрудникам обойти меры безопасности, проникнуть глубже в системы и совершить разрушительные атаки, такие как развертывание программ-вымогателей или саботаж критически важных операций. Повышение привилегий — одна из самых опасных тактик, используемых злонамеренными сотрудниками для компрометации целых систем, поэтому организации должны внимательно следить за действиями с привилегированными учетными записями.
Как решение PAM защищает привилегированные учетные записи от внутрисистемных угроз?
Организации могут защитить привилегированные учетные записи от внутрисистемных угроз, приобретя решение PAM, которое обеспечивает доступ с наименьшими привилегиями, предотвращает несанкционированный доступ, ограничивает повышение привилегий, обеспечивает подотчетность и уменьшает количество человеческих ошибок.
Обеспечение многофакторной аутентификации
Многофакторная аутентификация защищает привилегированные учетные записи от внутрисистемных угроз и дополнительных киберугроз. При включенной многофакторной аутентификации авторизованные пользователи должны предоставить имя пользователя и пароль от учетной записи в дополнение к еще одной форме проверки. Так, многофакторная аутентификация защищает привилегированные учетные записи, гарантируя, что доступ к ним могут получить только авторизованные пользователи, обладающие правильным способом многофакторной аутентификации.
🔒 KeeperPAM принудительно обеспечивает многофакторную аутентификацию для доступа к хранилищу, а также инициирования сеансов и приложений, которые не поддерживают многофакторную аутентификацию по умолчанию.
Сокращение привилегий и отзыв прав администратора
Благодаря решению PAM клиент сам отвечает за назначение ролей сотрудникам. PAM ограничивает доступ к критически важным ресурсам, гарантируя, что доступ к определенным системам и данным могут получить только пользователи, обладающие соответствующими ролями. PAM также повышает уровень доступа пользователей во время привилегированных сеансов, что помогает контролировать доступ в реальном времени. Кроме того, PAM позволяет повышать разрешения на конкретные действия с помощью управления привилегированными конечными точками (PEDM), что еще больше повышает безопасность. Путем сокращения привилегий и отзыва ненужного доступа, организации сводят к минимуму потенциальный ущерб, который могут нанести злонамеренные сотрудники. Если учетную запись злонамеренного сотрудника скомпрометируют или используют ее неправомерно, ограничение административных прав гарантирует, что ущерб будет ограничен более узким кругом операций.
🔒 Благодаря KeeperPAM авторизованные пользователи получают именно те разрешения, которые необходимы им для выполнения своей работы, за счет внедрения принципа наименьших привилегий (PoLP). Доступ автоматически отзывается, когда в нем больше нет необходимости, что сводит к минимуму возможность неправомерного использования и общий риск внутрисистемных угроз.
Настройка безопасных шлюзов для контроля удаленного доступа к системе
Безопасный шлюз — это контролируемая точка доступа, выступающая в качестве барьера между пользователями и конфиденциальными системами. Каждый раз, когда пользователь пытается получить доступ к удаленной системе, он должен пройти через защищенный шлюз, гарантирующий, что доступ получат только авторизованные пользователи. Это помогает защититься от внутрисистемных угроз, строго регулируя и отслеживая удаленный доступ к конфиденциальным данным.
🔒 Шлюз Keeper Gateway можно настроить как пункт контроля для каждого удаленного доступа к системе и учетных записей службы, устраняя все вторичные пути, а также обеспечивая проверку, мониторинг и аудит каждого запроса на доступ.
Предоставление доступа по требованию без совместного использования учетных данных администратора
Доступ по требованию позволяет авторизованным пользователям использовать критически важные системы, базы данных, серверы или рабочие нагрузки только в случае необходимости без предоставления административных учетных данных. Такой подход гарантирует, что доступ будет предоставляться через конкретную временную учетную запись, что исключает риск раскрытия конфиденциальной информации для входа в систему. Сокрытие административных учетных данных предотвращает неправомерное использование критически важных систем или несанкционированный доступ к ним в результате потенциальных внутрисистемных угроз, помогая поддерживать целостность и безопасность привилегированных учетных записей.
🔒 KeeperPAM обеспечивает доступ по требованию, предоставляя временные учетные данные для выполнения конкретных задач без раскрытия конфиденциальных административных учетных данных. После выполнения задачи доступ автоматически отзывается, что обеспечивает минимальное воздействие на привилегированные данные и снижает риск несанкционированного доступа либо неправомерного использования.
Автоматизация процесса вывода сотрудников из должности для блокировки хранилища после увольнения
Система междоменного управления идентификацией (SCIM) — это протокол, автоматизирующий обмен информацией об идентификации пользователей между идентификационными системами и приложениями. PAM интегрирует SCIM для автоматической синхронизации доступа пользователей. Так, когда сотрудник покидает организацию, система знает, что нужно отозвать его доступ и автоматически заблокировать все хранилища, где хранятся конфиденциальные учетные данные. Учетные записи, к которым имел доступ уволившийся сотрудник, можно автоматически заменить. Это гарантирует, что потенциально раскрытые учетные данные перестанут быть действительными.
🔒 С помощью KeeperPAM можно настроить SCIM на автоматический отзыв доступа уволившихся сотрудников и блокировку конфиденциальных хранилищ. Это гарантирует, что ни один бывший сотрудник не сможет получить доступ к привилегированной информации.
Интеграция SIEM для мониторинга доступа к привилегированным учетным записям
Система управления информацией о безопасности и событиями (SIEM) собирает и анализирует данные о сетевых действиях и системных событиях для выявления подозрительного поведения. Сочетание SIEM и PAM позволяет обнаружить потенциальные внутрисистемные угрозы, отправляя предупреждения в реальном времени, если подозрительные действия совершаются за счет доступа администратора.
🔒 KeeperPAM интегрируется с SIEM для мониторинга доступа к привилегированным учетным записям и выявления необычного поведения, которое может указывать на внутрисистемную угрозу. Если происходит что-то подозрительное, выдается предупреждение, чтобы организации могли быстро принять меры. Панель управления рисками Keeper отслеживает конфигурацию и события безопасности в реальном времени.
Автоматическая ротация учетных данных по истечении срока действия общего доступа
Автоматическая смена учетных данных, используемых для привилегированных учетных записей, как только истекает срок общего доступа, сводит к минимуму риск неправомерного использования в результате внутрисистемных атак. Автоматизируя контроль доступа, ротацию паролей и утверждение доступа, PAM снижает число человеческих ошибок, которые могут привести к возникновению незлонамеренных угроз со стороны сотрудников. PAM также автоматически меняет и защищает пароли к привилегированным учетным записям, снижая риск несанкционированного доступа и случайного раскрытия учетных данных.
🔒 С помощью KeeperPAM можно настроить автоматическую ротацию привилегированных учетных данных по истечении срока действия общего доступа. Это гарантирует, что старый пароль перестанет быть действительным после выполнения задачи, снижая риск неправомерного использования в результате действий злонамеренных сотрудников.
Мониторинг удаленного использования системы с помощью записей сеансов
Все действия, выполняемые с привилегированными учетными записями, можно отследить до конкретных лиц с помощью записей сеансов. Это позволяет создать четкий аудиторский след и привлечь пользователей к ответственности за неправомерное использование. Благодаря функции записи сеансов и мониторинга организации могут вести подробный учет всех действий с привилегированными учетными записями, что помогает проводить внутренние расследования в случае подозрительного поведения.
🔒 Решение KeeperPAM способно регистрировать действия пользователей с помощью записи сеансов и регистрации нажатий клавиш, фиксируя действия во время удаленных подключений и на защищенных веб-сайтах для проверки, соблюдения нормативных требований и обеспечения безопасности. Это обеспечивает правильное взаимодействие и помогает уменьшить число внутрисистемных угроз.
Ограничение доступа ко внутренним веб-приложениям с помощью RBI
Привилегированные учетные записи можно защитить с помощью PAM, ограничив доступ ко внутренним веб-приложениям за счет удаленной изоляции браузера (RBI), которая запускает веб-сеансы в отдельной виртуальной среде на устройстве. Она предотвращает прямой доступ ко внутренним системам, что также снижает риск внутрисистемных угроз благодаря изоляции действий по просмотру веб-страниц.
🔒 С помощью KeeperPAM организации могут использовать удаленную изоляцию браузера для запуска веб-сеансов в безопасной среде, предотвращая потенциальные внутрисистемные угрозы от воздействия на основную сеть или конфиденциальные системы. KeeperPAM ограничивает доступ ко внутренним веб-приложениям и удерживает потенциальные угрозы в виртуальной среде, защищая системы от неправомерного использования в результате злонамеренных действий сотрудников.
Распространенные ошибки, которых следует избегать при защите привилегированных учетных записей
Организации, применяющие строгие меры безопасности, все равно могут допускать ошибки, в результате чего привилегированные учетные записи становятся уязвимыми для внутрисистемных угроз. Вот несколько наиболее распространенных ошибок, совершаемых организациями при защите привилегированных учетных записей:
- Пренебрежение проверкой доступа пользователей. Организации не проверяют, какие пользователи имеют доступ к тем или иным ресурсам, на регулярной основе, что приводит к появлению ненужных или устаревших разрешений. Сотрудники, перешедшие на новую должность, или те, кто покидает организацию, могут по-прежнему иметь доступ к конфиденциальным системам, поэтому регулярная проверка доступа гарантирует, что соответствующий привилегированный доступ получают нужные люди.
- Непоследовательное внедрение политик. Если одна команда строго следит за привилегированным доступом, а другая ведет себя более непринужденно в этом плане, злонамеренные сотрудники могут использовать подобные пробелы в системе безопасности для получения несанкционированного доступа к привилегированным учетным записям. Надежные политики безопасности неэффективны, если они не применяются последовательно во всей организации.
- Игнорирование стороннего доступа. Многие компании уделяют особое внимание привилегированному доступу своих сотрудников, но невнимательно следят за доступом сторонних лиц, включая подрядчиков, поставщиков или фрилансеров. Поскольку внешние пользователи могут не следовать тем же протоколам безопасности, что и внутренние, организации должны отслеживать и контролировать привилегированный доступ сторонних лиц так же тщательно, как и доступ внутренних пользователей.
- Отсутствие плана реагирования на инциденты. Организации должны подготовиться к внутрисистемным атакам до того, как они произойдут. Это означает создание плана реагирования на инциденты. Без такого плана сотрудникам службы безопасности будет сложно обнаруживать скомпрометированные привилегированные записи, расследовать подобные инциденты и минимизировать ущерб.
Защитите привилегированные учетные записи организации с помощью KeeperPAM®
Защитите привилегированные учетные записи вашей организации с помощью облачной платформы KeeperPAM с поддержкой нулевого доверия и нулевого разглашения. Благодаря KeeperPAM ваша организация может регистрировать и отслеживать все действия с привилегированными учетными записями, хранить журналы аудита и получать предупреждения о подозрительных действиях в реальном времени.
Чтобы защитить привилегированные учетные записи и конфиденциальные данные вашей организации, запросите демоверсию KeeperPAM.
