Что такое управление привилегированным доступом?

• Глоссарий IAM
• Что такое управление привилегированным доступом?

Управление привилегированным доступом (PAM) относится к управлению и защите учетных записей, которые имеют разрешения на доступ к высококонфиденциальным системам и данным, таким как учетные записи ИТ-администраторов, системы расчета заработной платы и репозитории кода. К пользователям, которым может потребоваться привилегированный доступ, относятся системные администраторы и администраторы учетных записей, высшее руководство, сотрудники службы безопасности, специалисты по кадрам и финансовые работники.

Не все привилегированные пользователи относятся к людям. Привилегированные учетные данные также широко используются системами и приложениями, особенно в средах DevOps. Эти учетные данные также называются секретами..

По мере расширения организаций управление привилегированными пользователями становится все более сложным делом и отнимает все больше времени, а ошибки конфигурации могут иметь серьезные последствия. Поскольку привилегированные пользователи имеют доступ к важнейшим системам и данным организации, привилегированные учетные данные являются вожделенной целью киберпреступников. По оценке Verizon 49% взломов систем безопасности связаны со скомпрометированными привилегированными учетными данными.

Как управление привилегированным доступом может снизить киберриск

Система управления привилегированным доступом помогает ИТ-администраторам и специалистам по безопасности эффективно и точно организовывать, управлять и защищать привилегированные учетные данные, чтобы избежать ошибок конфигурации, которые могут привести к взлому системы безопасности.

В чем разница между IAM и PAM?

Управление идентификацией и доступом (IAM) и PAM — родственные, но разные понятия. Оба относятся к управлению доступом пользователей в ИТ-среде организации. Однако IAM — общий термин, а PAM — более конкретный.

IAM в широком смысле касается администрирования всех учетных записей пользователей в организации. IAM solutions гарантируют, что у всех пользователей есть уникальная, заслуживающая доверия цифровая идентификация, которую системные администраторы могут отслеживать и управлять ею на протяжении всего ее жизненного цикла, предоставляя системным администраторам средства контроля за соблюдением политик, управление паролями, многофакторную аутентификацию, мониторинг активности и управление доступом на основе ролей (RBAC).

PAM — это подмножество IAM, предназначенное для управления доступом к критически важной инфраструктуре организации, то есть к его наиболее конфиденциальным данным и ИТ-ресурсам. Поскольку компрометация или ненадлежащее использование привилегированных учетных записей может иметь катастрофические последствия для организации, действия привилегированных пользователей отслеживаются более тщательно, чем действия обычных пользователей системы. PAM обычно включает такие элементы контроля, как детальная аутентификация, автоматизация и авторизация, запись сеансов, аудит и доступ строго в установленное время.

Преимущества решений для управления привилегированным доступом

Специализированное решение PAM имеет много преимуществ, в том числе:

• Обзор доступа ко всей сети, приложениям, серверам и устройствам. Решения PAM дают администраторам полный обзор всей их среды данных, включая как облачные, так и локальные системы и инфраструктуру. PAM также облегчает отслеживание и контроль всех систем и устройств, которым для оптимальной работы требуется привилегированный доступ.

• Предотвращение ненадлежащего использования или компрометации привилегированных учетных данных. Решения PAM защищают привилегированные учетные записи, затрудняя их компрометацию внешними субъектами угроз или их ненадлежащее использование внутренними субъектами угроз.

• Упрощение соблюдения нормативных требований. В перечень большинства нормативных и отраслевых требований входит специальное управление и аудит для привилегированных учетных записей пользователей. В решениях PAM есть инструменты аудита, которые записывают сеансы пользователей и предоставляют организациям журнал аудита. Решения PAM поддерживают соответствие стандартам, включая PCI DSS, HIPAA, FDDC, SOX Government Connect и FISMA, в которых организациям требуется использовать принцип наименьших привилегий при назначении разрешений пользователей.

• Повышенная производительность. Комплексные решения PAM позволяют системным администраторам управлять учетными записями привилегированных пользователей с центральной панели управления вместо того, чтобы вручную настраивать доступ к отдельным системам или приложениям, что экономит время и повышает производительность как ИТ-персонала, так и конечных пользователей.

• Меньше ошибок конфигурации. Около 49% организаций имеют пользователей с более широкими правами доступа, чем необходимо для выполнения их работы, что представляет серьезную угрозу безопасности. PAM оптимизирует процесс управления доступом, сводя к минимуму ошибки конфигурации и обеспечивая соблюдение принципа наименьших привилегий.

Рекомендации по управлению привилегированным доступом

Как и с IAM, защита привилегированного доступа — это не разовая работа, а непрерывный процесс. Вот несколько рекомендаций по обеспечению безопасного доступа к "святая святых" вашей организации.

• Используйте рабочие процессы автоматизации привилегированных задач (PTA). PTA предполагает автоматизацию процессов, в которых используются привилегированные учетные данные или учетные записи с расширенными правами доступа, что обеспечивает беспроблемное подключение и управление.

• Введите динамическое управление доступом на основе контекста. В этом принципе нулевого доверия, также называемом доступом «точно в срок», предполагается предоставление пользователям достаточного доступа к привилегированным системам и именно тогда, когда они в этом нуждаются. Это помогает предотвращать компрометацию учетных данных и позволяет группам безопасности автоматически ограничивать привилегии, когда существует известная угроза активу.

• Осуществляйте аудит привилегированной активности. Солидные решения PAM имеют возможности аудита, такие как запись нажатий клавиш и запись снимков экрана. Использование этих функций для обнаружения и исследования угроз безопасности жизненно важно для управления рисками. Учетные записи администраторов могут осуществлять управление привилегированными сеансами для выявления подозрительной активности.

• Ограничьте использование привилегированной учетной записи привилегированными действиями. В дополнение к своим учетным записям с привилегированным доступом, привилегированные пользователи также должны иметь стандартные учетные записи пользователей – и они должны входить в свои привилегированные учетные записи только при выполнении привилегированных действий.

• Используйте передовые методы обеспечения безопасности паролей. Те же рекомендации по безопасности паролей, которые применяются к учетным записям обычных пользователей, еще более важны при работе с привилегированным доступом. Например, все привилегированные учетные записи должны использовать надежные уникальные пароли и быть защищены многофакторной аутентификацией.

• Сегментируйте системы и сети. Сегментация сети не позволяет злоумышленникам перемещаться по системе в случае взлома. Это также предотвращает непреднамеренный доступ конечных пользователей к системам и данным, которые им не нужны для выполнения их работы.

Многие организации решают проблему доступа с наименьшими привилегиями, сначала устраняя самые большие видимые риски, а затем со временем совершенствуя методы обеспечения безопасности, такие как удаление прав администратора и развертывание мониторинга пользователей. Однако самые серьезные риски безопасности могут быть не самыми заметными. По этой причине идеальным подходом является проведение тщательного аудита существующих рисков привилегированного доступа и ранжирование проблем в соответствии с уровнями угроз.