система контроля за действиями привилегированных пользователейImage by storyset on Freepik
Андрей Сыч

Как мы внедряем PAM

/в /

Я хочу рассказать о наших подходах к созданию систем контроля за действиями привилегированных пользователей (системных администраторов, аутсорсеров, сотрудников, работающих удаленно). Такие системы строятся на базе решений класса PAM (privileged access management), и далее для простоты будем называть их PAM-системами.

Создание PAM-системы мы начинаем с формирования технического задания, в рамках которого, в частности, определяется, какие привилегированные учетные записи и ресурсы требуют защиты, и формируется план внедрения.

План внедрения содержит перечень работ и ответственность каждого участника команды внедрения. Стоит отметить, что в команду внедрения должны входить специалисты заказчика, которые в дальнейшем будут эксплуатировать PAM-систему. Это позволит персоналу эксплуатации обучаться практическим навыкам развертывания и настройки системы, начиная с первого дня внедрения.

Далее разрабатывается технический проект, в ходе которого проектные решения оформляются в документе «Пояснительная записка к техническому проекту». Кроме того, на этапе технического проектирования разрабатывается документ «Программа и методика испытаний», позволяющий проверить соответствие созданной PAM-системы требованиям технического задания.

Документ «Пояснительная записка к техническому проекту» содержит описание структуры PAM-системы, решений по ее взаимосвязям со смежными системами и других проектных решений.

На этапе создания PAM-системы проводятся работы по настройке на условия конкретного применения, обучению персонала заказчика и разработке эксплуатационной документации (документы «Общее описание», «Руководство администратора/оператора», «Руководство пользователя»).

Документ «Общее описание» содержит описание структурной схемы PAM-системы и требования к ИТ-инфраструктуре (аппаратным и программных средствам), необходимой для эффективного функционирования PAM-системы.

Документы «Руководство пользователя» и «Руководство администратора» содержат сведения, необходимые для эксплуатации PAM-системы.

В ходе внедрения мы всегда составляем план обучения, который содержит как теоретическую, так и практическую часть. Финальным шагом в процессе обучения является контроль знаний. Только таким образом мы можем определить готовность заказчика к самостоятельной эффективной эксплуатации PAM-системы. Контроль знаний позволяет, при необходимости, провести работу над ошибками, тем самым повысить эффективность усвоенных знаний.

На наш взгляд, основная ошибка при внедрении PAM-системы – это частичное внедрение, когда PAM-система закрывает только часть каналов управления ИТ-инфраструктурой и ресурсами. Это как поставить забор на охраняемой территории только с одной стороны.

При этом мы не рекомендуем сразу масштабировать PAM-систему на всю ИТ-инфраструктуру. Вместо этого сначала подключаем небольшие сегменты сети и/или отдельные информационные системы, затем постепенно увеличиваем количество пользователей.

Оценку готовности PAM-системы к эксплуатации мы проводим согласно документу «Программа и методика испытаний», который содержит информацию, позволяющую провести испытания на соответствие требованиям технического задания и проектным решениям, изложенным в документе «Пояснительная записка к техническому проекту». Только положительный результат оценки позволяет нам гарантировать выполнение всех требований, предъявляемых к PAM-системе.

Еще одна ошибка, которую следует избегать при внедрении PAM-системы, это внедрение без интеграции с SIEM. Исходя из нашего опыта, PAM-система является дополнительным блоком в механизме информационной безопасности. Интеграция PAM-системы с SIEM может повысить эффективность реагирования на инциденты, позволяя быстро выявлять и реагировать на нарушения информационной безопасности.

Интеграция PAM-системы с SIEM позволяет аналитику безопасности эффективно определять, является ли, например, конкретный привилегированный сеанс причиной проблемы. Аналитик может сразу увидеть, что подозрительный файл был установлен в системе в определенное время конкретным пользователем.

Таким образом, управление привилегированным доступом – важный инструмент информационной безопасности для борьбы с растущими угрозами кибербезопасности.

К преимуществам использования PAM-системы в системе защиты информации мы относим следующие:

  1. Минимизация угроз внутренних и внешних атак за счет ограничения и контроля доступа к привилегированным учетным записям.
  2. Обеспечение возможности детального мониторинга действий привилегированных пользователей для выявления аномальных действий и контроля соблюдения нормативных требований.
  3. Предотвращение несанкционированного доступа к привилегированным учетным записям.
  4. Автоматизация задач контроля доступа, что упрощает работу системного администратора и снижает вероятность ошибок.
  5. Освобождение пользователя от обязанности по запоминанию множества паролей конформационным ресурсам (необходимо помнить пароль только к консоли доступа PAM-системы).

В заключение, хочу обратить внимание, что не только внедрение средств защиты информации позволяет повысить уровень информационной безопасности организации. Не стоит забывать и про обучение пользователей, которых необходимо на регулярной основе «прокачивать».

Если у вас есть вопросы по внедрению PAM, пишите.

Часть 1. Оксана Хаблак. Наши подходы к проектированию системы защиты информации
Часть 2. Александр Захаренков. Наши подходы к созданию системы защиты информации

261
МультиТек Инжиниринг на семинаре «CyberSecurity...CyberSecurity Bank EducationБезопашкины сказкиR-VisionКомпания R-Vision выпустила «Безопашкины ...