Как мы внедряем PAM
Я хочу рассказать о наших подходах к созданию систем контроля за действиями привилегированных пользователей (системных администраторов, аутсорсеров, сотрудников, работающих удаленно). Такие системы строятся на базе решений класса PAM (privileged access management), и далее для простоты будем называть их PAM-системами.
Создание PAM-системы мы начинаем с формирования технического задания, в рамках которого, в частности, определяется, какие привилегированные учетные записи и ресурсы требуют защиты, и формируется план внедрения.
План внедрения содержит перечень работ и ответственность каждого участника команды внедрения. Стоит отметить, что в команду внедрения должны входить специалисты заказчика, которые в дальнейшем будут эксплуатировать PAM-систему. Это позволит персоналу эксплуатации обучаться практическим навыкам развертывания и настройки системы, начиная с первого дня внедрения.
Далее разрабатывается технический проект, в ходе которого проектные решения оформляются в документе «Пояснительная записка к техническому проекту». Кроме того, на этапе технического проектирования разрабатывается документ «Программа и методика испытаний», позволяющий проверить соответствие созданной PAM-системы требованиям технического задания.
Документ «Пояснительная записка к техническому проекту» содержит описание структуры PAM-системы, решений по ее взаимосвязям со смежными системами и других проектных решений.
На этапе создания PAM-системы проводятся работы по настройке на условия конкретного применения, обучению персонала заказчика и разработке эксплуатационной документации (документы «Общее описание», «Руководство администратора/оператора», «Руководство пользователя»).
Документ «Общее описание» содержит описание структурной схемы PAM-системы и требования к ИТ-инфраструктуре (аппаратным и программных средствам), необходимой для эффективного функционирования PAM-системы.
Документы «Руководство пользователя» и «Руководство администратора» содержат сведения, необходимые для эксплуатации PAM-системы.
В ходе внедрения мы всегда составляем план обучения, который содержит как теоретическую, так и практическую часть. Финальным шагом в процессе обучения является контроль знаний. Только таким образом мы можем определить готовность заказчика к самостоятельной эффективной эксплуатации PAM-системы. Контроль знаний позволяет, при необходимости, провести работу над ошибками, тем самым повысить эффективность усвоенных знаний.
На наш взгляд, основная ошибка при внедрении PAM-системы – это частичное внедрение, когда PAM-система закрывает только часть каналов управления ИТ-инфраструктурой и ресурсами. Это как поставить забор на охраняемой территории только с одной стороны.
При этом мы не рекомендуем сразу масштабировать PAM-систему на всю ИТ-инфраструктуру. Вместо этого сначала подключаем небольшие сегменты сети и/или отдельные информационные системы, затем постепенно увеличиваем количество пользователей.
Оценку готовности PAM-системы к эксплуатации мы проводим согласно документу «Программа и методика испытаний», который содержит информацию, позволяющую провести испытания на соответствие требованиям технического задания и проектным решениям, изложенным в документе «Пояснительная записка к техническому проекту». Только положительный результат оценки позволяет нам гарантировать выполнение всех требований, предъявляемых к PAM-системе.
Еще одна ошибка, которую следует избегать при внедрении PAM-системы, это внедрение без интеграции с SIEM. Исходя из нашего опыта, PAM-система является дополнительным блоком в механизме информационной безопасности. Интеграция PAM-системы с SIEM может повысить эффективность реагирования на инциденты, позволяя быстро выявлять и реагировать на нарушения информационной безопасности.
Интеграция PAM-системы с SIEM позволяет аналитику безопасности эффективно определять, является ли, например, конкретный привилегированный сеанс причиной проблемы. Аналитик может сразу увидеть, что подозрительный файл был установлен в системе в определенное время конкретным пользователем.
Таким образом, управление привилегированным доступом – важный инструмент информационной безопасности для борьбы с растущими угрозами кибербезопасности.
К преимуществам использования PAM-системы в системе защиты информации мы относим следующие:
- Минимизация угроз внутренних и внешних атак за счет ограничения и контроля доступа к привилегированным учетным записям.
- Обеспечение возможности детального мониторинга действий привилегированных пользователей для выявления аномальных действий и контроля соблюдения нормативных требований.
- Предотвращение несанкционированного доступа к привилегированным учетным записям.
- Автоматизация задач контроля доступа, что упрощает работу системного администратора и снижает вероятность ошибок.
- Освобождение пользователя от обязанности по запоминанию множества паролей конформационным ресурсам (необходимо помнить пароль только к консоли доступа PAM-системы).
В заключение, хочу обратить внимание, что не только внедрение средств защиты информации позволяет повысить уровень информационной безопасности организации. Не стоит забывать и про обучение пользователей, которых необходимо на регулярной основе «прокачивать».
Если у вас есть вопросы по внедрению PAM, пишите.
Часть 1. Оксана Хаблак. Наши подходы к проектированию системы защиты информации
Часть 2. Александр Захаренков. Наши подходы к созданию системы защиты информации