Статьи о технологиях для контроля действий привилегированных пользователей (части 1-2)

Нужен ли PAM для компаний?

Контроль за действиями пользователей, имеющих привилегированный (административный) доступ к ИТ-системам компании, и защита от несанкционированного использования корпоративных данных — насущные проблемы современных организаций. Сотрудник, обладающий расширенными правами доступа, может нарушить ход бизнес-процессов и создать угрозу информационной безопасности компании. Проблема усиливается с массовым переходом таких сотрудников на удаленный режим работы. Поэтому задачи организации защиты привилегированного доступа и контроля действий привилегированных пользователей становятся вдвойне актуальными. 

Для их решения нужно использовать специализированные программные или программно-аппаратные комплексы класса Privileged Access Management (PAM), также известные под названиями Privileged User Management (PUM) или Privileged Identity Management (PIM).

Почему сложно выбрать подходящий продукт?

Построение комплексной системы защиты информации — нетривиальная задача, с которой сталкивается каждый руководитель подразделения информационной безопасности.

Кроме поддержания работоспособности имеющейся системы защиты и реагирования на инциденты, перед специалистами по защите информации стоят задачи выявления и анализа актуальных угроз безопасности. Кроме того они планируют развитие системы информационной безопасности.

Перед промышленным внедрением системы защиты привилегированного доступа нужно провести подготовительные работы. Чтобы выбрать  продукт, который лучше всего подходит для решения поставленных задач, специалист должен изучить открытые материалы, ознакомиться с принципами работы PAM-систем и провести тестирование нескольких продуктов. На этапе подготовки к реализации проекта или после проведения тестирования, как правило, происходит уточнение требований к PAM-системе. Иногда оказывается, что тестируемые продукты не подходят для выполнения поставленных задач или требуются продукты другого класса. Поэтому выбор конкретного продукта — трудоемкая задача.

Чтобы избежать таких проблем и составить максимально объективный список требований к продукту класса PAM, нужно заранее сформировать исчерпывающее представление об особенностях функционирования таких систем, их функциональных возможностях и специфике интеграции в ИТ-инфраструктуру.

Где найти актуальную информацию о PAM?

Насколько нам известно, не существует сводного актуального материала на русском языке, который описывал бы все особенности продуктов класса PAM достаточно понятно, широко и подробно, чтобы можно было опираться на него при выборе PAM-системы. Публикации в интернете чаще всего акцентируют внимание на нескольких узких темах. Как правило, они посвящены какому-то конкретному продукту и основываются только на материалах разработчика этого продукта, либо содержат общую вводную информацию о технологиях PAM и областях их применения. Чтобы компенсировать недостаток информации и облегчить задачу специалистам по информационной безопасности, мы решили создать такой материал своими силами.

Ярослав Голеусов, руководитель технологического консалтинга Компании «Индид», составил подробный и всесторонний обзор технологий РАМ, предназначенный для читателей с разными уровнями подготовки. Обзор представлен в виде серии экспертных статей о разных аспектах технологии Privileged Access Management.

Право эксклюзивного размещения статей предоставлено порталу Safe-surf.ru*. В январе и феврале 2021 года опубликованы первые две части обзора.

• Часть 1 — Общие принципы функционирования и тенденции развития
• Часть 2 — Функциональные возможности

Главная цель публикации этих статей — подробно рассказать широкому кругу читателей об эксплуатации и особенностях работы программных комплексов PAM.

Летом 2021 года на портале Safe-surf.ru будут опубликованы еще две части обзора, которые затронут сценарии применения PAM и вопросы его внедрения в существующие бизнес-процессы организации.

* Интернет-портал создан при поддержке Центра реагирования на компьютерные инциденты в информационно-телекоммуникационных сетях органов государственной власти Российской Федерации (GOV-CERT.RU).