Главная > Аналитика > Что же такое «Управление привилегированным доступом» (PAM)?
Быстрый переход
в категорию
29.07.2020
Что же такое «Управление привилегированным доступом» (PAM)?

Управление привилегированным доступом (Privileged Account Management, PAM) помогает:

  • уменьшить площадь атаки,
  • смягчить воздействия кибератак,
  • повысить производительности работы,
  • снизить риска от ошибок пользователя.

Главной целью PAM является ограничение прав доступа и разрешенных действий для учетных записей, систем, устройств (таких, как IoT), процессов и приложений.

PAM рассматривается многими аналитиками как один из наиболее важных проектов безопасности для снижения рисков. Ведь PAM обеспечивает детальный обзор, контроль и аудит над привилегированными доступами и действиями.

 

Что такое привилегии и зачем они?

Привилегия в информационных технологиях – это полномочие, которое учетная запись или процесс имеет в вычислительной системе.

Включать в себя разрешения на выполнение следующих действий:

  • выключение систем,
  • загрузка драйверов устройств,
  • настройка сетей или систем,
  • подготовка и настройка учетных записей,
  • подготовка и настройка облачных экземпляров и т. п.

Сотрудникам можно дать привилегии, основанные на ролях (например, маркетинг, менеджмент или IT-отдел) и других параметрах (стаже работы, времени суток и т. д.).

Примеры привилегированных учетных записей:

  • Локальные административные учетные записи – неличные учетные записи, обеспечивающие административный доступ только к локальному хосту или экземпляру.
  • Административные учетные записи домена – привилегированный административный доступ ко всем рабочим станциям и серверам в домене.
  • Аварийные учетные записи – непривилегированные пользователи с административным доступом к защищенным системам в случае чрезвычайной ситуации.
  • Сервисные аккаунты – привилегированные локальные или доменные учетные записи, которые используются приложением или службой для взаимодействия с операционной системой.
  • Учетные записи приложений – для доступа к базам данных, запуска пакетных заданий или сценариев или предоставления доступа к другим приложениям.

Привилегии позволяют пользователям, приложениям и другим системным процессам права доступа к определенным ресурсам. В то же время возможность злоупотребления со стороны как внутренних, так и внешних злоумышленников создает для организаций серьезную угрозу безопасности.

 

Внешние и внутренние угрозы привилегированных доступов

Хакеры, вредоносные программы, партнеры, инсайдеры, пользовательские ошибки представляют собой наиболее распространенные векторы привилегированных угроз.

Преимущества управления привилегированным доступом:

  • Чем больше привилегий и доступа к пользователю, учетной записи или процессу накапливается, тем больше вероятность злоупотребления, эксплойта или ошибки. Реализация управления привилегиями не только минимизирует вероятность возникновения нарушения безопасности, но также ограничит область нарушения в случае его возникновения.
  • PAM может демонтировать несколько точек цепочки кибератак, обеспечивая защиту как от внешних атак, так и от внутренних атак, совершаемых в сетях.
  • Ограничение привилегий для людей, процессов и приложений уменьшит площадь атаки, защищая от внешних и внутренних угроз.
  • С PAM уменьшится распространение вредоносных программ, ведь многие их разновидности нуждаются в повышенных привилегиях для установки или запуска. Удаление чрезмерных привилегий, таких как принудительное применение наименьших привилегий в масштабах предприятия, помешает вредоносному ПО закрепиться в системе.
  • Снизится вероятность возникновения проблем несовместимости между приложениями или системами и сам риск простоев.
  • Управление привилегированным доступом поможет создать менее сложную и, следовательно, более простую для аудита среду.

 

Представление рабочего процесса привилегированного управления паролями.

 

Рекомендации по управлению привилегированным доступом

Чем более целостными будут ваши политики безопасности и соблюдения привилегий, тем лучше вы сможете предотвращать и реагировать на внутренние и внешние угрозы, а также выполнять требования соответствия.

Вот наиболее важные рекомендации PAM:

  1. Установите и примените политику управления привилегиями для определения порядка предоставления и отмены привилегированного доступа и учетных записей.
  2. Определите и возьмите под контроль все привилегированные учетные записи и данные (базы данных, приложения, службы, соцсети и пр.), включая те, что используются поставщиками.
  3. Обеспечьте наименьшее количество привилегий для конечных пользователей, конечных точек, учетных записей, приложений, служб, систем и т. д.
  4. Примените технологию для повышения привилегий, необходимых для выполнения определенных действий и отмены привилегий после завершения деятельности.
  5. Повышайте привилегии по мере необходимости для конкретных приложений и задач только в тот момент, когда они необходимы.
  6. Ограничьте количество привилегированных аккаунтов как можно меньшим количеством людей.
  7. Минимизируйте количество прав для каждой привилегированной учетной записи.
  8. Каждая привилегированная учетная запись должна иметь точно настроенные привилегии для выполнения определенного набора задач.
  9. Системы и сети, требующие более высоких уровней доверия, должны реализовывать более надежные средства контроля безопасности.
  10. Обеспечьте надежные пароли, которые могут противостоять распространенным типам атак (например, перебор, на основе словаря и т. д.) и регулярно меняйте их.
  11. Для наиболее конфиденциальных привилегированных доступов используйте одноразовые пароли.
  12. Используйте аутентификацию единого входа (SSO), чтобы скрыть пароли от пользователей и процессов.
  13. Обеспечьте доступ с минимальными привилегиями на основе уязвимостей, что позволит вам автоматически ограничивать привилегии и предотвращать небезопасные операции.
  14. Включите базовые показатели для действий привилегированных пользователей и другие данные о рисках для более обширного представления о рисках привилегий.

 

Как осуществляется защита PAM

Автоматизированные, предварительно упакованные решения PAM способны масштабироваться на миллионы привилегированных учетных записей и активов для повышения безопасности и соответствия требованиям.

Решения PAM могут автоматизировать обнаружение, управление и мониторинг, чтобы устранить пробелы в привилегированном покрытии учетных записей и учетных данных, одновременно оптимизируя рабочие процессы и значительно уменьшая административную сложность.

Управление привилегированными доступами поможет повысить безопасность с помощью:

  • Ведения полного списка всех активных привилегированных учетных записей в сети и обновления этого списка при каждом создании новой учетной записи.
  • Хранения привилегированных идентификаторов, таких как пароли, ключи SSH и сертификаты SSL, в безопасном хранилище.
  • Применения строгих политик безопасности, охватывающих сложность пароля, частоту его сброса, создания надежных пар ключей SSH и так далее.
  • Предоставления привилегированного доступа с минимальными разрешениями, необходимыми для выполнения задания.
  • Аудита всех операций с идентификацией, таких как вход для привилегированных пользователей, общие пароли, попытки доступа к паролю, действия по сбросу и т. д.
  • Мониторинга и записи всех сеансов привилегированных пользователей в режиме реального времени.

Компания CloudNetworks занимается внедрением PAM-систем. После консультации мы подберем наилучший вариант для защиты вашего бизнеса.

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.