Сценарии использования PAM-систем: защита без сложной интеграции

Самый простой способ взломать информационную систему компании — это узнать пароль и логин. Это подтверждается и многочисленными исследованиями: по разным данным 80-90% киберинцидентов начинается со взломов учетных данных. 
Можно ли защититься от кражи паролей? Можно, и довольно просто. Для этого нужно сделать единую точку доступа к информационным системам и защитить ее многофакторной аутентификацией. 

Сценарий 1. Организация единой точки доступа: простой способ защиты от киберинцидентов

ИТ-инфраструктура компании состоит из большого числа компонентов: серверов, сетевых устройств, баз данных. И защитить одну единую точку доступа проще и дешевле, чем доступ к каждому ресурсу.

Для управления доступом к таким системам применяют системы управления привилегированным доступом, PAM-системы. Они же могут  использоваться как единая точка доступа администраторов к любым информационным системам. Это облегчает и упрощает контроль доступа и снижает нагрузку на ИТ-персонал, отвечающих за работу сети. 
Кроме того, единая точка доступа экономит рабочее время администраторов на рутинных операциях: пользователь авторизуется в PAM-системе, выбирает нужное подключение в ее интерфейсе и подключается к нужному ресурсу одним кликом мыши. Для этого современные PAM-системы обладают возможностью быстрой универсальной интеграции с любыми, даже унаследованными системами. 

Сценарий 2. Многофакторная аутентификация (MFA) для подключения к любым информационным системам компании

Самый простой и доступный способ защититься от кражи логина и паролей — это многофакторная аутентификация (MFA). Многофакторная аутентификация — это подтверждение личности пользователя с использованием нескольких уровней проверки. Чаще всего для этих целей используют одноразовые пароли на телефон, так называемый «второй фактор». 
Двухфакторная аутентификация фактически уже стала золотым стандартом безопасности, потому что позволяет существенно снизить риски неправомерного доступа к ИТ-системам. Ее используют для подтверждения личности в банках, при авторизации на портале Госуслуг и даже для доступа к электронной почте. Она существенно снижает киберугрозы даже в случае компрометации учетных данных. А для компаний, попадающих под действие регуляторов, многофакторная аутентификация является обязательным требованием к информационной безопасности.

Однако внедрение MFA-системы может оказаться сложной либо дорогостоящей задачей. Особенно это касается устаревших систем. Существует большое число объектов администрирования, которые либо трудозатратно собрать в единую систему многофакторной аутентификации, либо технически невозможно. И в этой ситуации можно использовать PAM. 

PAM-система может служить как инструмент аутентификации привилегированных пользователей при подключении к любым системам: MFA интегрируется только с PAM, при авторизации в которой происходит строгая аутентификация, а затем устанавливается безопасное подключение к нужному ИТ-ресурсу. 

Часто говорят, что внедрение PAM — это сложный и трудоемкий процесс для компании. Но к современным системам управления привилегированным доступом это не относится. Они изначально создаются так, чтобы интеграция была простой для пользователя.