Глоссарий Keeper по IAM

Список разрешений, определяющий, каким пользователям или системам предоставлен или запрещен доступ к определенному системному ресурсу, а также какие операции они могут выполнять с этими ресурсами.

Процесс, посредством которого ИТ-администраторы предоставляют и ограничивают доступ пользователей к определенным системам и данным. Как правило, это достигается путем создания групп для должностей, отделов и/или проектных групп с последующим назначением пользователей в соответствующие группы. Работает в сочетании с управлением идентификацией.

Active Directory (AD) — это служба каталогов, разработанная Microsoft для доменных сетей Windows. Первоначально AD использовалась только для централизованного управления доменами, но теперь это общий термин, относящийся к широкому спектру служб идентификации на основе каталогов. Это позволяет организациям управлять несколькими локальными компонентами инфраструктуры и системами, используя единое удостоверение для каждого пользователя. Не путать с Azure Active Directory — инструментом, используемым в сочетании с AD.

Поскольку Active Directory организации контролирует весь доступ к системе, эффективная безопасность Active Directory имеет решающее значение для защиты всей среды данных.

Инструмент, дополняющий Active Directory (AD), который расширяет локальные удостоверения до облачных приложений; аналогичен инструменту единого входа веб-приложения, но используется локально, а не в облаке. Как и Azure AD, AD FS — это не замена Active Directory, а инструмент, используемый вместе с ней.

Также известна как адаптивная аутентификация или аутентификация на основе рисков. Метод, с помощью которого параметры входа в систему динамически корректируются в соответствии с риском, который представляет конкретный запрос на доступ. Например, пользователю, который входит в службу на постоянно используемом устройстве, может потребоваться только ввести пароль, но если он попытается войти в систему с нового устройства или даже из нового браузера, от него также может потребоваться ответить на контрольные вопросы или предоставить одноразовый код доступа.

Набор определений и протоколов, который позволяет различным программным приложениям взаимодействовать друг с другом. Например, погодные приложения используют API государственных метеорологических бюро для отображения данных о погоде. Большинство современных веб-сайтов и приложений используют по крайней мере некоторые сторонние API.

Существует четыре различных типа API:

Общедоступные API могут использоваться кем угодно, хотя некоторые общедоступные API требуют предварительной авторизации и/или платы за использование.

Частные API являются внутренними для организации и используются только в бизнесе.

Партнерские API аналогичны частным API. Они могут использоваться только авторизованными внешними бизнес-партнерами для облегчения работы межкорпоративных приложений и упрощения транзакций.

Составные API представляют собой комбинацию из двух или более типов API.

Уникальный идентификатор, используемый для аутентификации пользователя, разработчика или приложения в API. Обычно включает в себя набор прав доступа к API.

Подтверждение того, чтобы пользователь является тем, за кого себя выдает. См. Управление идентификацией.

Подтверждение того, чтобы пользователю разрешен доступ к определенным системам и данным. См. раздел Управление доступом.

Инструменты и методы для безопасного хранения, доступа и управления секретами инфраструктуры в ИТ-среде, такими как ключи API, цифровые сертификаты и учетные данные привилегированных учетных записей. Также называются управлением учетными записями, встроенными в приложения (Application to Application Password Management - AAPM).

Решение «Идентификация как услуга» (IDaaS), которое организации могут использовать для всех своих приложений в своей среде данных, как в облаке, так и локально. Azure Active Directory (Azure AD) не является заменой Active Directory, а используется вместе с AD.

Уникальные физические характеристики человека, такие как отпечатки пальцев, результаты сканирования радужной оболочки глаза и результаты распознавания лиц, которые используются для аутентификации пользователя и контроля доступа.

Автоматическая атака, при которой злоумышленник использует сценарий для отправки очень большого количества паролей или парольных фраз, систематически проверяя все возможные комбинации, пока не будет найден подходящий набор учетных данных.

Автоматизация бизнес-процессов (BPA) относится к программному обеспечению, которое автоматизирует повторяющиеся или выполняемые вручную задачи для повышения организационной эффективности. Примеры BPA включают автоматические ответы на действия клиентов, такие как подтверждение заказа и самостоятельный сброс пароля (SSPR).

Устаревшая концепция IAM, в которой всем пользователям внутри определенного периметра сети неявно доверяют, а пользователям за его пределами — нет. Облачные вычисления, мобильность и широко распространенный удаленный доступ сделали «замок и ров» устаревшей схемой, и она была отвергнута в пользу концепции нулевого доверия.

Ключевой компонент набора спецификаций FIDO2, протокол «клиент-аутентификатор» (Client to Authenticator Protocol - CTAP), позволяет внешнему аутентификатору, такому как смартфон или ключ безопасности, работать с браузерами, поддерживающими WebAuthn, и выступать в качестве аутентификатора для веб-служб и настольных приложений.

Также называется облачной безопасностью. Общий термин, охватывающий политики, процедуры, средства управления и инструменты, используемые для защиты данных, приложений и служб, которые хранятся и используются в облаке, а также базовой облачной инфраструктуры.

Как правило, общедоступные облачные службы работают в рамках модели совместной ответственности, в которой поставщик облачных услуг отвечает за безопасность *облака*, а организация, покупающая услуги, отвечает за безопасность *в облаке*. Это означает, что поставщик облачных услуг защищает базовую инфраструктуру, включая физические центры обработки данных и все серверы и оборудование в них, тогда как организация защищает данные и рабочие нагрузки, которые они помещают в свое облачное развертывание.

Облачная служба, предоставляющая решения IAM для других облачных служб.

Процесс, посредством которого система отслеживает поведение пользователя во время сеанса, сравнивая его с базовым поведением, ищет аномалии и требует от пользователя повторной аутентификации в случае обнаружения аномального поведения.

Атака, использующая тот факт, что многие люди используют одни и те же учетные данные для входа в несколько учетных записей. При атаке с подстановкой учетных данных, когда злоумышленники успешно получают набор работающих учетных данных для входа с одного сайта, они пытаются использовать их на как можно большем количестве сайтов.

Процесс, посредством которого организации управляют идентификацией клиентов и уровнями доступа. По сути, это подтип IAM, который относится только к клиентам, а не к внутренним пользователям или бизнес-партнерам.

Глубокая защита (DiD) — это многоуровневый подход к кибербезопасности, при котором каждый уровень сосредоточен на отдельном типе безопасности для создания всеобъемлющей и надежной защиты от киберугроз. Идея состоит в том, что если один уровень подводит, следующий все еще стоит на пути злоумышленника. Среди наиболее распространенных элементов стратегии глубокой защиты — антивирусное программное обеспечение, инструменты и элементы управления сетевой безопасностью, решения IAM и решения по предотвращению потери данных.

Процесс удаления доступа пользователя ко всем системам или отдельным приложениям. Сотрудник, покидающий компанию, удаляется из всей системы; сотрудник, переведенный в другое место или отдел, удаляется из систем текущего места или отдела.

Безопасность DevOps, также называемая DevSecOps, — это практика обеспечения безопасности приложений, направленная на «смещение безопасности влево», то есть на внедрение ее как можно раньше в рамках жизненного цикла разработки программного обеспечения (SDLC) с целью создания безопасных приложений. Кроме того, как и DevOps, DevSecOps устраняет организационные разрозненности, улучшая взаимодействие и сотрудничество между командами разработки, эксплуатации и безопасности в рамках SDLC.

Решение EDR, которое иногда называют обнаружением угроз для конечных точек и реагированием на них (ETDR), представляет собой интегрированный инструмент обеспечения безопасности конечных точек, который сочетает в себе непрерывный мониторинг в режиме реального времени и сбор данных о конечных точках с автоматическим реагированием и анализом на основе правил. Решение EDR отслеживает все действия конечных точек, анализирует их для выявления шаблонов угроз, автоматически реагирует с целью устранения или сдерживания выявленных угроз и предоставляет уведомления персоналу службы безопасности. Цели системы EDR — выявлять угрозы в режиме реального времени, автоматически смягчать или сдерживать их, если это возможно, и обеспечивать быстрое реагирование персонала.

Управление правами конечных точек сочетает управление приложениями с доступом с наименьшими правами, чтобы гарантировать, что пользователи запускают только доверенные приложения с минимально возможными правами.

Исторически сетевой доступ в организации был разделен на две широкие категории: обычные пользователи и администраторы. Этого катастрофически недостаточно для защиты от кибератак, связанных с учетными данными, в современных очень сложных распределенных средах обработки данных. Управление правами конечных точек определяет уровни доступа пользователей таким образом, чтобы административные права предоставлялись как можно меньшему числу пользователей. В дополнение к защите от внутренних угроз, управление привилегиями конечных точек ограничивает способность внешних субъектов угроз перемещаться в сети, если им удастся скомпрометировать набор работающих учетных данных пользователя.

Платформа защиты конечных точек (EPP) — это интегрированное решение, которое обнаруживает вредоносную активность на конечных устройствах и защищает их от несанкционированного доступа, фишинга и вредоносных атак с использованием файлов. Современные EPP обычно основаны на облаке, и некоторые из них включают в себя персональный брандмауэр, функции защиты данных и предотвращения потери данных, контроль устройств и интеграцию с решениями для управления уязвимостями, исправлениями и конфигурациями.

Менеджер паролей для предприятий (EPM) — это платформа управления паролями, специально разработанная для коммерческого использования. EPM является фундаментальной частью стеков безопасности и IAM любой организации.

EPM делает все то же, что и менеджеры паролей для рядовых пользователей, например, автоматически генерирует надежные пароли и предоставляет пользователям безопасное цифровое хранилище, которое они могут использовать для хранения своих паролей и доступа к ним с нескольких устройств. Однако EPM также включает в себя множество функций, характерных для организаций, таких как административная панель, которую ИТ-специалисты и специалисты по безопасности могут использовать, чтобы предоставлять и удалять учетные записи пользователей; отслеживать и контролировать использование паролей в организации; настроить управление доступом на основе ролей (RBAC) и доступ с минимальными правами; запускать аудиторские отчеты и управлять предоставляемыми паролями.

Кроме того, некоторые EPM предлагают решения, специально предназначенные для удовлетворения потребностей поставщиков управляемых услуг (например, KeeperMSP) и государственных учреждений США (например, Keeper Security Government Cloud, он же KSGC).

Федеративное управление идентификацией (FIM) — это метод аутентификации, с помощью которого несколько программных систем совместно используют идентификационные данные из более крупной централизованной системы, что позволяет пользователям получать доступ к нескольким приложениям и системам с помощью единого набора учетных данных для входа. Хотя федеративное управление идентификацией часто используется как синоним единого входа (SSO), FIM обеспечивает доступ к системам и приложениям в разных доменах (известных как «федеративные организации»), в то время как SSO обеспечивает доступ в пределах одного домена.

Организации часто используют как SSO, так и FIM.

Открытая отраслевая ассоциация с заявленной миссией по продвижению «стандартов аутентификации, которые помогут уменьшить чрезмерную зависимость мира от паролей».

Совместная работа Альянса FIDO и Консорциума World Wide Web (W3C), направленная на то, чтобы пользователи могли использовать обычные устройства, такие как смартфоны и аппаратные токены безопасности, для аутентификации в онлайн-сервисах как в настольных, так и в мобильных средах. В значительной степени основанный на стандарте аутентификации U2F, FIDO2 состоит из набора стандартов WebAuthn и протокола FIDO Client to Authenticator (CTAP).

Управление идентификацией и доступом (IAM) — это общий термин, охватывающий политики, процедуры, элементы управления и технологические инструменты, которые организации используют для управления цифровой идентификацией конечных пользователей и контроля доступа к сетям, приложениям и данным организации. IAM является фундаментальной частью концепции глубокой защиты (DiD).

Управление привилегированным доступом (PAM), управление привилегированными сеансами (PSM), управление и администрирование идентификационных данных (IGA) и управление идентификацией и доступом клиентов (CIAM) — все это подкатегории IAM.

Идентификация как услуга (IDaaS) — это облачное решение для аутентификации. Иногда называется SaaS-delivered IAM (Gartner), или IAM-as-a-Service (IaaS). IDaaS — это общий термин, обозначающий широкий спектр решений SaaS для IAM, от платформ единого входа (SSO) до менеджеров паролей.

Управление и администрирование идентификационных данных (IGA) — это подкатегория IAM, которая относится к политикам и технологическим инструментам, которые позволяют организациям обеспечивать согласованность и универсальное применение их политик IAM во всей среде обработки данных. Инструменты IGA позволяют организациям более эффективно управлять цифровыми удостоверениями и снижать риски доступа, связанные с идентификацией, за счет автоматизации создания, управления и сертификации учетных записей пользователей, ролей и прав доступа.

Хотя IGA и IAM иногда используются как синонимы, IGA отличается от IAM тем, что, по словам Gartner, IGA «позволяет организациям не только определять и применять политику IAM, но также подключать функции IAM для выполнения требований аудита и соответствия нормативным требованиям».

Управление жизненным циклом удостоверений (ILM) — это подкатегория IAM, которая относится к политикам, процедурам и технологическим инструментам для создания цифровых удостоверений и связанных с ними разрешений, управления ими и их обновления на протяжении всего их жизненного цикла, а также их удаления, когда они больше не нужны. Цифровое удостоверение может принадлежать конкретному пользователю, включая сотрудника, подрядчика, поставщика, делового партнера или приложение.

Привилегии пользователей меняются со временем. Если сотрудник продвигается по службе или берет на себя дополнительные должностные обязанности, возможно, потребуется изменить его сетевые привилегии. Когда сотрудники покидают организацию, их доступ должен быть немедленно отозван. В этих случаях вступает в игру ILM.

Процесс, с помощью которого системы определяют, что пользователи являются теми, за кого они себя выдают. Примеры включают имена пользователей и пароли, а также многофакторную аутентификацию. Работает в сочетании с управлением доступом.

Поставщик удостоверений (IdP) — это служба, которая хранит удостоверения пользователей и управляет ими. IdP может проверять пользователей по сохраненному списку комбинаций имени пользователя и пароля или может предоставлять список идентификаторов пользователей, который проверяет другой поставщик. Поставщики решений единого входа (SSO) являются IdP.

JSON Web Token (JWT) — это открытый стандарт, используемый для обмена информацией о безопасности между клиентами и серверами. JWT подписываются с использованием секрета или открытого/закрытого ключа, так что утверждения не могут быть изменены после выпуска токена.

Доступ «точно в срок», также называемый JIT-доступом, представляет собой практику управления привилегированным доступом (PAM), при которой права пользователя и приложений повышаются в режиме реального времени, а продолжительность сеанса ограничивается заранее определенным временем. Это гарантирует, что пользователь или приложение могут получить доступ к привилегированному приложению или системе только тогда, когда им это нужно, и только в течение определенного периода времени.

Протокол сетевой аутентификации с открытым исходным кодом, который использует криптографию с симметричным ключом для аутентификации запросов между доверенными хостами, взаимодействующими через ненадежную сеть, такую как Интернет. Kerberos является протоколом авторизации по умолчанию в Microsoft Windows и основным компонентом Windows Active Directory. Поддержка Kerberos встроена во все основные операционные системы. Он широко используется в крупных развертываниях единого входа (SSO), где он поддерживает несколько методов аутентификации.

Передовая практика безопасности, при которой пользователи и приложения имеют абсолютный минимальный уровень доступа к системам, необходимый им для выполнения своих задач, и не более того.

Облегченный протокол доступа к каталогам (LDAP) — это открытый стандарт прикладного протокола для доступа и обслуживания распределенных информационных служб каталогов по IP-сети. LDAP обычно используется как единственный источник достоверной информации об именах пользователей и паролях; приложения могут подключаться к серверу LDAP и автоматически добавлять и удалять пользователей в качестве штатных и покидающих организацию сотрудников. LDAP используется в качестве основы для Microsoft Active Directory.

См. также протокол SCIM, альтернативу LDAP, популярность которого быстро растет.

Управление идентификацией машин (MIM) управляет цифровыми удостоверениями пользователей, не являющихся людьми, то есть цифровыми сертификатами и ключами, используемыми аппаратными устройствами (включая устройства IoT), рабочими нагрузками, приложениями, контейнерами и т. д. MIM — это подмножество как IAM, так и управления секретами.

Вредоносное ПО является именно тем, что следует из его названия – разновидностью вредоносного программного обеспечения, которое заражает устройства различными способами, например, когда жертвы нажимают на ссылки в фишинговых электронных письмах или загружают вредоносные файлы, думая, что загружают игры, фильмы или программное обеспечение.

Мастер-пароль, иногда сокращенно MP, — это пароль, который конечные пользователи создают во время установки и настройки менеджера паролей, такого как Keeper. Мастер-пароль пользователя — это единственный пароль, который он должен помнить. Поскольку это ключ к хранилищу цифровых паролей, крайне важно, чтобы он был надежным и уникальным, а пользователь никогда не терял и не забывал его. По этой причине парольная фраза является хорошим способом создания мастер-пароля.

Многофакторная аутентификация (MFA) и двухфакторная аутентификация (2FA) — это методы аутентификация, требующие от пользователей предоставления двух или более факторов аутентификации для получения доступа к ресурсу, например приложению, папке или системе. Чтобы «квалифицироваться» как 2FA/MFA, каждый фактор проверки должен относиться к другой категории проверки, а именно:

Фактор знания — например, пароль или PIN-код.

Фактор владения — например, ключ безопасности или карта.

Фактор неотъемлемости — биометрические данные, такие как отпечаток пальца или результат сканирования радужной оболочки глаза.

Фактор местоположения — ваш IP-адрес и геолокация. Используется не так часто.

Банкомат является примером MFA, потому что пользователи должны вставить карту (фактор владения) и ввести PIN-код (фактор знания).

2FA и MFA по сути являются синонимами, с той лишь разницей, что для 2FA требуется только 2 фактора аутентификации, как в примере с банкоматом, тогда как для MFA теоретически может потребоваться 3 или более факторов (например, смарт-карта, PIN-код и отпечаток пальца).

Открытый стандарт делегирования доступа к пользовательской информации в веб-приложениях и на веб-сайтах. Используется такими компаниями, как Amazon, Google, Facebook, Microsoft и Twitter, чтобы разрешить пользователям делиться информацией о своих учетных записях со сторонними приложениями или веб-сайтами без необходимости сообщать этим третьим сторонам свои пароли.

Одноразовый пароль (OTP) или одноразовый пароль на основе времени (TOTP) — это автоматически сгенерированная строка символов, которая аутентифицирует пользователя для одной транзакции или сеанса входа в систему. OTP могут доставляться по электронной почте, SMS или посредством приложения для аутентификации. Часто используется в качестве фактора аутентификации для 2FA/MFA.

Пароль TOTP подобен OTP, за исключением того, что он действителен только в течение короткого периода времени, обычно 30–60 секунд.

OpenID Connect Connect (OIDC) — это система аутентификации RESTful, построенная на платформе OAuth 2.0, которая использует веб-токены JSON. Позволяет сторонним приложениям проверять удостоверения пользователей и получать базовую информацию о профиле пользователя, обеспечивая единый вход в несколько приложений.

При атаке Pass-the-Hash (PtH) злоумышленник крадет хешированный пароль и, не взламывая его, пытается использовать его, чтобы обманом заставить систему создать новый сеанс аутентифицированного пользователя. Передача хэша обычно используется для перемещения по сети, которая уже была скомпрометирована. Компьютеры Windows особенно уязвимы для атак PtH из-за уязвимости в хэшах протокола New Technology Local Area Network Manager (NTLM), которая позволяет злоумышленникам использовать скомпрометированные учетные записи домена, используя только хэш пароля, даже не требуя фактического пароля.

Парольная фраза дает простой способ для пользователей создать надежный уникальный пароль. По этой причине парольные фразы часто используются для создания мастер-паролей.

Чтобы создать парольную фразу, пользователю необходимо составить предложение или фразу, включающую комбинацию букв верхнего и нижнего регистра, цифр, специальных символов и знаков препинания.

Пример неприемлемой парольной фразы: «My first apartment was in Alexandria, Virginia». При этом генерируется пароль MfawiAV — он довольно короткий (всего 7 символов) и не содержит специальных символов и цифр. Злоумышленник, использующий автоматический взломщик паролей, может довольно быстро подобрать этот пароль.

Пример приемлемой парольной фразы: «My first apartment was at 2630 Hegal Place #42 Alexandria, Virginia 23242». При этом создается пароль Mfawa2630HP#42AV23242 длиной 21 символ, включающий буквы верхнего и нижнего регистра, цифры и специальный символ. Даже автоматическому взломщику паролей потребуются десятилетия, чтобы подобрать этот пароль!

Атака полным перебором, использующая тот факт, что многие пароли довольно «популярны» среди пользователей. Например, многие люди используют подряд идущие клавиши «qwerty» или просто слово «password». Атака с распылением паролей берет список «популярных» паролей и пробует их использовать в сочетании с каждым именем пользователя в системе.

Способ проверки личности пользователя без использования пароля с помощью таких средств, как биометрические данные, ключи безопасности или одноразовые пароли (OTP).

Управление повышением и делегированием привилегий (PEDM), также называемое управлением привилегиями суперпользователя (SUPM), представляет собой подмножество PAM, в рамках которого пользователям без прав администратора предоставляется временный доступ к привилегированным системам на с учетом определенных ограничений. Например, пользователю может быть предоставлен доступ к конкретному приложению только на определенный период времени. По истечении этого периода права доступа пользователя автоматически аннулируются.

Решения PEDM позволяют организациям использовать доступ в назначенное время для сокращения числа пользователей с правами администратора.

Система управления привилегированным доступом (Privileged Access Governance - PAG) применяет правила IAM к привилегированным пользователям, гарантируя, что даже доступ привилегированных пользователей соответствует принципу наименьших привилегий. Процессы, связанные с PAG, включают автоматическую инициализацию и деинициализацию учетных записей, формальный процесс утверждения для предоставления нового привилегированного доступа и периодические проверки привилегированных учетных записей, чтобы убедиться, что уровни доступа по-прежнему соответствуют требованиям.

Управление привилегированным доступом (Privileged Access Management - PAM) относится к инструментам и технологиям, используемым организациями для защиты, контроля и мониторинга доступа к наиболее важной информации и ресурсам, таким как локальные и доменные административные учетные записи.

Управление привилегированным доступом как услуга (PAMaaS), которое иногда называют PAM-as-a-Service, представляет собой облачное решение для управления привилегированным доступом.

Рабочая станция с привилегированным доступом (Privileged Access Workstation - PAW), иногда называемая рабочей станцией с безопасным доступом (Secure Access Workstation - SAW), представляет собой защищенную рабочую станцию, специально предназначенную для выполнения задач исключительно с высоким уровнем привилегий. Станции PAW настроены с элементами управления и политиками безопасности, которые ограничивают локальный административный доступ и блокируют электронную почту, офисные инструменты и просмотр веб-страниц; они оснащены только теми инструментами, которые абсолютно необходимы для выполнения задач с высокими привилегиями. Это блокирует наиболее распространенные направления фишинговых атак (электронная почта и просмотр веб-страниц), значительно снижая риск взлома PAW.

Привилегированная учетная запись имеет гораздо более высокий уровень сетевого доступа, чем стандартные учетные записи пользователей. Например, привилегированные учетные записи могут предоставлять и отменять права доступа пользователей, изменять уровни доступа пользователей или изменять конфигурации системы или приложения.

Привилегированные учетные записи часто называют учетными записями администратора, но не все привилегированные учетные записи используются пользователями. Учетные записи служб, которые используются приложениями, являются привилегированными учетными записями.

Кроме того, термин «привилегированная учетная запись» может относиться к нетехническому пользователю высокого уровня, такому как генеральный директор или финансовый директор, который имеет доступ к чрезвычайно конфиденциальным данным, таким как секретные правительственные файлы, медицинские записи или финансовая информация организации.

Управление привилегированными учетными записями и сеансами (PASM) является частью управления привилегированным доступом (PAM) и предоставляет организациям способ защиты, контроля и мониторинга привилегированных учетных записей пользователей. Это позволяет ИТ-командам эффективно управлять критически важными административными сеансами пользователей.

Управление привилегированными удостоверениями (PIM) работает в тандеме с PAM. Тогда как PAM относится к политикам и техническим решениям для управления учетными записями привилегированных пользователей, PIM включает в себя управление доступом к ресурсам привилегированных пользователей. PIM позволяет организациям контролировать, управлять и отслеживать права доступа привилегированных пользователей к определенным данным и системам.

Управление привилегированными сеансами (PSM) работает в тандеме с управлением привилегированным доступом (PAM) для защиты доступа к наиболее конфиденциальным и важным системам и данным организации. В то время как PAM фокусируется на защите учетных данных привилегированного пользователя, PSM предназначено для контроля, мониторинга и записи привилегированных сеансов, то есть действий, которые привилегированные пользователи предпринимают после входа в сеть.

В дополнение к предотвращению злоупотребления доступом привилегированных пользователей, PSM позволяет организациям соответствовать нормативным требованиям, таким как SOX, HIPAA, PCI DSS, ICS CERT, GLBA, FDCC и FISMA, которые требуют регистрации и мониторинга привилегированных действий.

Управление привилегированными пользователями (PUM) иногда используется как синоним управления привилегированным доступом (PAM) и управления привилегированными удостоверениями (PIM). Однако есть кардинальные отличия. В отличие от учетных записей PAM, учетные записи PUM обычно являются общими и не используют 2FA/MFA; пользователи получают доступ к учетным записям PUM, используя только пароль. По этой причине следует избегать учетных записей PUM.

Процесс установления доступа пользователя ко всем системам или отдельным приложениям. Новому сотруднику предоставляются все системы и приложения, необходимые для выполнения его работы; сотруднику, выполняющему дополнительные должностные обязанности, может потребоваться предоставить доступ к дополнительным приложениям и системам.

Также называется шифрованием с открытым ключом или асимметричным шифрованием. Метод шифрования данных, использующий два ключа: открытый ключ, который может использовать любой пользователь, и закрытый ключ. Данные, зашифрованные с помощью открытого ключа, могут быть расшифрованы только с помощью закрытого ключа, и наоборот.

PWN — хакерский сленг, который возник в сообществе онлайн-игр как неправильное написание слова «owned». (Вот почему PWN произносится как «pown», а не «pawn».) Это означает завоевывать или доминировать — например, путем успешного взлома учетной записи или сети.

Служба аутентификации удаленных пользователей по коммутируемым каналам связи (Remote Authentication Dial-In User Service - RADIUS) — это клиент-серверный протокол, обеспечивающий централизованную аутентификацию, авторизацию и управление учетными записями для удаленного и беспроводного доступа к сети. RADIUS работает на прикладном уровне и позволяет организациям хранить профили пользователей в центральном репозитории, совместно используемом всеми удаленными серверами.

Протокол удаленного рабочего стола (Remote Desktop Protocol - RDP) — это собственный протокол сетевой связи, разработанный Microsoft. RDP обеспечивает безопасный удаленный доступ к рабочим станциям и серверам. RDP может использоваться нетехническими конечными пользователями для удаленного доступа к своим рабочим станциям, а также ИТ-администраторами и командами DevOps для удаленного обслуживания системы, диагностики и устранения неполадок. С помощью графического пользовательского интерфейса удаленные пользователи могут открывать приложения и редактировать файлы точно так же, как если бы они сидели перед удаленным компьютером.

Помимо Windows, клиенты RDP доступны для Mac OS, Linux/Unix, Google Android и Apple iOS. Доступны версии программного обеспечения RDP с открытым исходным кодом.

Передача состояния представления (Representational State Transfer). Современный очень гибкий API без сохранения состояния, который определяет набор функций, таких как GET, PUT и DELETE, которые клиенты могут использовать для доступа к данным сервера. Клиенты и серверы обмениваются данными по протоколу HTTP.

Подобно автоматизации бизнес-процессов (Business Process Automation - BPA), роботизированная автоматизация процессов (Robotic Process Automation - RPA) относится к программному обеспечению, которое автоматизирует ручную и повторяющуюся работу. Однако, в отличие от решений BPA, RPA более активно использует искусственный интеллект и машинное обучение, чтобы боты могли имитировать пользователей-людей и адаптироваться к меняющимся обстоятельствам. Например, в то время как BPA используется для отправки по электронной почте готовых ответов клиентам (например, подтверждения заказа или доставки), RPA используется для создания интерактивных чат-ботов, которые могут анализировать запросы клиентов в режиме реального времени.

Управление доступом на основе ролей (Role-Based Access Control - RBAC), также называемое системой безопасности на основе ролей, представляет собой модель управления доступом, в которой роль пользователя в организации определяет, к каким сетевым ресурсам он может получить доступ. Цель RBAC состоит в том, чтобы гарантировать, что пользователи не смогут получить доступ к системам и данным, которые не связаны с их должностными обязанностями; при этом улучшается соответствие нормативным требованиям, предотвращается утечка данных, а в случае компрометации учетных данных пользователя блокируется возможность злоумышленника перемещаться по сети. Работает в тандеме с доступом с наименьшими привилегиями.

Расшифровывается как Security Assertion Markup Language (Язык разметки заявлений системы безопасности). Открытый стандарт для обмена данными аутентификации и авторизации между сторонами. Обычно используется поставщиками удостоверений единого входа (SSO) для связи с поставщиками услуг, что позволяет распространять SSO на домены безопасности и делает возможным единый вход через веб-браузер.

В ИТ-среде секрет — это любые компактные данные, которые должны оставаться конфиденциальными. Обычно используются не пользователями-людьми для аутентификации в высокопривилегированных системах и данных. Примеры ИТ-секретов включают учетные данные RDP, ключи SSH, ключи API и учетные данные привилегированных учетных записей.

Инструменты и методы для безопасного хранения, доступа и управления секретами инфраструктуры в ИТ-среде, такими как ключи API, цифровые сертификаты и учетные данные привилегированных учетных записей. Также называются управлением учетными записями, встроенными в приложения (Application to Application Password Management - AAPM).

Протокол безопасной оболочки (Secure Shell Protocol - SSH) — криптографический сетевой протокол, позволяющий двум компьютерам безопасно обмениваться данными. SSH был разработан как безопасная альтернатива Telnet и незащищенным протоколам удаленной оболочки Unix, которые передают данные (включая пароли) в виде открытого текста. SSH использует криптографию с открытым ключом для аутентификации удаленного компьютера и позволяет ему аутентифицировать пользователя, а также шифрует все соединения между двумя компьютерами. Чаще всего SSH используется для удаленного входа в систему и выполнения команд из командной строки.

Безопасность как услуга (SaaS / SecaaS) представляет собой бизнес-модель, при которой организации передают решения и услуги в области кибербезопасности на аутсорсинг вместо использования внутренних ресурсов. Решение SecaaS может быть как минимальным, таким как развертывание управляемой облачной платформы PAM или IAM, так и всесторонним, таким как аутсорсинг всех функций безопасности организации.

Система управления информационной безопасностью и событиями безопасности (Security Information and Event Management - SIEM) — программная платформа, которая собирает данные о безопасности из среды данных организации, анализирует их и уведомляет специалистов по безопасности о потенциальных угрозах. Системы SIEM собирают и анализируют данные как от оборудования, так и от приложений, включая сетевые устройства, серверы и контроллеры домена.

Физическое или логическое устройство, используемое конечным пользователем для подтверждения своей личности и доступа к цифровому ресурсу. Токены безопасности можно использовать в дополнение к паролям в качестве фактора аутентификации 2FA/MFA или вместо паролей при аутентификации без пароля.

Физические токены безопасности включают карточки-ключи или ключи безопасности (например, YubiKey). Цифровые токены безопасности включают OTP/TOTP, генерируемые приложениями аутентификации.

Самостоятельный сброс пароля (SSPR) — функция автоматизации бизнес-процессов, которая позволяет пользователям сбрасывать свои пароли без взаимодействия с ИТ-персоналом, экономя время как конечных пользователей, так и сотрудников службы поддержки. SSPR обычно используется для сброса утерянных, забытых или просроченных паролей.

Особый тип привилегированной учетной записи, используемый пользователями, не являющимися людьми, в частности приложениями. Обычно учетные записи служб используются для запуска задач на экземплярах виртуальных машин (ВМ), выполнения задач на локальных рабочих станциях или в центрах обработки данных, которые вызывают API и другие автоматизированные процессы.

Пользователи-люди не участвуют напрямую в создании или использовании учетных записей служб. Как правило, они создаются и настраиваются диспетчером пакетов во время установки программного обеспечения, и приложение использует идентификатор учетной записи службы для вызова API или запуска других процессов. Такая автоматизация экономит время ИТ-специалистов, но, как и другие привилегированные учетные записи, учетные записи служб представляют собой серьезные риски для кибербезопасности, и они должны строго управляться и контролироваться.

Passkey — это современная технология аутентификации без пароля, которая позволяет пользователям входить в учетные записи и приложения, используя криптографический ключ вместо пароля. Passkey использует биометрические данные (отпечатки пальцев, распознавание лиц и т. д.) для подтверждения личности пользователя.

Являясь подмножеством управления секретами, управление учетными записями служб (SAG) относится к политикам, процедурам и технологическим инструментам, используемым для защиты учетных записей служб и управления ими, включая подготовку и удаление, управление паролями и управление зависимостями.

Управление паролями общих учетных записей (SAPM) аналогично управлению привилегированными пользователями (PUM). Это понятие относится к управлению общими привилегированными учетными записями — чего организациям следует избегать, поскольку привилегированные учетные записи должны строго управляться и контролироваться как в целях безопасности, так и в целях соблюдения нормативных требований.

Единый вход (Single Sign-On - SSO) представляет собой метод аутентификации, с помощью которого пользователи могут использовать единый набор учетных данных для доступа к нескольким приложениям и системам. Хотя SSO часто используется как синоним федеративного управления идентификацией (FIM), SSO обеспечивает доступ в пределах одного домена, а федеративное управление идентификацией обеспечивает доступ к системам и приложениям из разных доменов.

Пример SSO: сотрудники используют один набор учетных данных для доступа к своей рабочей электронной почте, порталу управления персоналом и другим внутренним ресурсам.

Пример FIM: сотрудники используют один набор учетных данных для доступа к сторонним приложениям, таким как приложения для видеоконференций и системы запросов в службу поддержки.

SSO и FIM часто используются в сочетании друг с другом.

Старый API, который вышел из употребления и был заменен более гибкими решениями, такими как REST. Использует протокол SOAP (Simple Object Access Protocol), при этом клиенты и серверы обмениваются сообщениями с использованием XML.

Gartner определяет управление изменениями и конфигурациями программного обеспечения (Software Change and Configuration Management - SCCM) как инструменты, которые используются для управления и контроля версий и конфигураций программного обеспечения. Gartner также считает, что решения для «управления изменениями при разработке, отслеживания дефектов, автоматизации изменений, управления выпусками разработки, интегрированного управления тестированием, интегрированного управления сборкой и других связанных процессов» являются частью SCCM.

Система междоменного управления идентификацией (Cross-Domain Identity Management - SCIM) — это открытый стандарт для автоматизации инициализации и деинициализации пользователей. SCIM обеспечивает обмен идентификационной информацией пользователей между доменами идентификации или ИТ-системами посредством стандартизированного API через REST с данными в формате JSON или XML. Организации используют SCIM для автоматического добавления и удаления пользователей со сторонних платформ, таких как офисные пакеты, CRM и системы запросов в службу поддержки, по мере поступления и ухода сотрудников.

По мере того как организации внедряют все больше решений SaaS, популярность SCIM в качестве альтернативы LDAP быстро растет. SCIM поддерживают как основные поставщики удостоверений, включая Azure Active Directory, так и многие популярные платформы SaaS, включая Microsoft Office и Google Workspace.

Безопасность транспортного уровня (Transport Layer Security - TLS) и протокол защищенных сокетов (Secure Socket Layers - SSL) — это криптографические протоколы, которые шифруют данные и аутентифицируют соединения при передаче данных через Интернет.

TLS произошел от SSL; протокол TLS изначально должен был называться SSL 3.0. Название было изменено перед публикацией, чтобы не было ассоциации Netscape, ныне несуществующей компании, создавшей SSL. Хотя термины TLS и SSL часто используются как взаимозаменяемые, SSL больше не используется, поскольку содержит уязвимости в системе безопасности, для устранения которых был разработан TLS.

Метод, с помощью которого пользователи могут аутентифицироваться в приложении с помощью подписанного файла cookie, содержащего информацию о состоянии сеанса. Аутентификация на основе токенов обычно используется в сочетании с другими методами аутентификации. В таком сценарии для первоначальной аутентификации используется другой метод, а аутентификация на основе токенов используется для повторной аутентификации, когда пользователь возвращается на веб-сайт или в приложение.

Универсальный аутентификационный фреймворк (Universal Authentication Framework - UAF) — это открытый стандарт, разработанный Альянсом FIDO с целью обеспечения аутентификации без пароля в качестве основного, а не вторичного фактора аутентификации.

Универсальная двухфакторная аутентификация (U2F) — это открытый стандарт, в котором используются аппаратные токены безопасности, подключенные через USB или связь ближнего радиуса действия (NFC), в качестве дополнительных факторов при 2FA/MFA. Первоначально разработанный Google и Yubico при участии NXP Semiconductors, стандарт U2F теперь поддерживается Альянсом FIDO. На смену ему пришел проект FIDO2.

Контроль учетных записей пользователей (User Account Control - UAC) — это обязательная функция контроля доступа, включенная в системы Microsoft Windows. UAC помогает смягчить воздействие вредоносных программ, не позволяя пользователям, приложениям и вредоносным программам вносить несанкционированные изменения в операционную систему. Он работает, вынуждая каждое приложение, которому требуется токен доступа администратора, запрашивать согласие перед запуском определенных процессов, таких как установка нового программного обеспечения.

Анализ поведения пользователей и сущностей (User and Entity Behavior Analytics - UEBA) использует алгоритмы искусственного интеллекта и машинного обучения для создания базовых показателей поведения пользователей, маршрутизаторов, серверов и конечных точек в сети организации, а затем отслеживает отклонения от этих базовых показателей. Типичным примером работы UEBA является ситуация, когда банк, выдающий кредитные карты, временно замораживает учетную запись клиента, потому что алгоритм заметил резкое изменение в поведении пользователя, например, когда клиент внезапно разместил несколько очень крупных заказов.

Управление привилегированным доступом поставщиков (Vendor Privileged Access Management - VPAM) — это подмножество PAM, предназначенное для поставщиков, которым необходим доступ к конфиденциальным системам; например, это может быть сторонний разработчик, поставщик систем безопасности или компания, занимающаяся расчетом заработной платы. Решения VPAM гарантируют, что привилегированный доступ поставщика соответствует тем же ограничениям, что и учетные записи PAM организации, таким как наименьшие привилегии, доступ «точно в срок» и запись/мониторинг сеансов.

Virtual Network Computing (VNC) — это кроссплатформенная система совместного использования экрана, используемая для удаленного управления рабочими столами с другого компьютера. Используя VNC, удаленный пользователь может использовать экран, клавиатуру и мышь компьютера, как если бы он сидел прямо перед ним.

VNC работает по модели клиент/сервер, которая требует установки серверного компонента на удаленной машине, к которой осуществляется доступ, и программы просмотра VNC или клиента на устройстве, с которого вы получаете доступ к удаленной машине. VNC использует протокол Remote Framebuffer (RFB) для управления форматом данных, передаваемых между клиентом и сервером.

Система VNC похожа на RDP, но VNC может работать при наличии разных операционных систем на сервере и клиенте и подключается напрямую к удаленному компьютеру, а не через сервер.

Управление веб-доступом (WAM) было распространен в 1990-х и начале 2000-х годов и явилось предшественником IAM. Решения WAM обеспечивали контроль и управление доступом пользователей к веб-ресурсам, размещенным локально в корпоративных центрах обработки данных. Поскольку инструменты WAM не смогли адаптироваться к появлению облачных вычислений, мобильности, API и удаленного доступа, они были заменены более надежными решениями IAM.

WebAuthn (веб-аутентификация) — это веб-API, опубликованный Консорциумом World Wide Web (W3C), и ключевой компонент набора спецификаций FIDO2. WebAuthn позволяет веб-сайтам обновить свои страницы входа, чтобы добавить аутентификацию на основе FIDO в поддерживаемых браузерах и платформы.

XACML = eXtensible Access Control Markup Language. Структурированный язык, используемый решениями IAM, которые поддерживают управление доступом на основе атрибутов (ABAC), управление доступом на основе политик (PBAC) и другие очень сложные механизмы авторизации, которые предоставляют права доступа в соответствии с набором детальных пользовательских атрибутов, учитываемых вместе.

«Нулевое разглашение данных» представляет модель безопасности, в которой используется уникальная структура шифрования и разделения данных, которая защищает от удаленных утечек данных благодаря тому, что поставщики ИТ-услуг не знают данные клиентов, хранящиеся на их серверах.

В среде с нулевым разглашением данные шифруются и расшифровываются на уровне устройства, а не на сервере. Сервер никогда не получает и не хранит данные в виде незашифрованного текста, а поставщик ИТ-услуг не может получить доступ к ключам шифрования клиентов. В результате никто, кроме клиентов, не может получить доступ к незашифрованным данным, даже собственные сотрудники поставщика ИТ-услуг.

Keeper Security — поставщик услуг обеспечения безопасности с нулевым разглашением. Данные шифруются на устройстве пользователя перед их передачей и сохранением в цифровом хранилище Keeper. Когда данные синхронизируются с другим устройством, данные остаются зашифрованными до тех пор, пока они не будут расшифрованы на другом устройстве. Keeper не может получить доступ к мастер-паролям наших клиентов, а мы не можем получить доступ к ключам шифрования клиентов для расшифровки их данных.

Современная концепция IAM, в которой предполагается, что все пользователи и устройства потенциально могут быть скомпрометированы, и каждый человек или машина должны быть проверены, прежде чем они смогут получить доступ к сети, и должны иметь доступ с наименьшими привилегиями к сетевым ресурсам.

Сетевой доступ с нулевым доверием (ZTNA) — это концепция сетевой безопасности, фокусирующаяся на поддержании строгого контроля доступа и механизмов аутентификации, независимо от того, находится ли пользователь или устройство внутри или за пределами периметра сети.

Обнаруживаемые учетные данные, также называемые резидентными ключами, позволяют WebAuthn API предоставлять высоконадежную многофакторную аутентификацию с возможностью входа без пароля.

В схеме «традиционной» аутентификации учетные данные пользователя хранятся на сервере проверяющей стороны. Это вынуждает сервер возвращать учетные данные аутентификатору до того, как аутентификатор сможет их расшифровать и использовать. Кроме того, пользователь должен ввести имя пользователя и, как правило, пароль, чтобы подтвердить свою личность.

При использовании обнаруживаемых учетных данных закрытый ключ пользователя и связанные с ним метаданные хранятся у аутентификатора, а не на сервере проверяющей стороны. В процессе первоначальной регистрации сервер проверяющей стороны создает дескриптор пользователя, содержащий уникальный идентификатор. Этот дескриптор пользователя вместе с закрытым ключом хранится у аутентификатора.

Затем, во время процесса аутентификации, аутентификатор возвращает дескриптор пользователя, давая возможность серверу искать соответствующего пользователя, вместо того, чтобы пользователю приходилось вводить свое имя пользователя для входа в систему. Если аутентификатор также поддерживает PIN-код или биометрическую проверку, получается многофакторная аутентификация с высокой степенью надежности за один шаг входа в систему без передачи каких-либо паролей.

Аттестация относится к подтверждению или доказательству чего-либо. Набор спецификаций безопасности FIDO 2.0 использует аттестацию для предоставления криптографического доказательства модели аутентификатора проверяющей стороне, из которого проверяющая сторона может затем получить характеристики безопасности аутентификатора.

В FIDO 2.0 заявления об аттестации привязаны к контекстуальным данным. Данные отслеживаются и добавляются по мере того, как запрос подписи передается от сервера к аутентификатору. Для проверки подписи сервер сверяет полученные данные с ожидаемыми значениями.

В контексте FIDO 2.0 проверяющая сторона — это веб-сайт или любой другой объект, использующий протокол FIDO для непосредственной аутентификации пользователей.

В тех случаях, когда FIDO сочетается с протоколами федеративного управления идентификацией, такими как SAML и OpenID Connect, поставщик удостоверений также является проверяющей стороной FIDO.