Сценарии использования PAM-систем: защита от ошибок сотрудников

По данным Verizon 2023 Data Breach Investigations Report, 74% всех состоявшихся утечек данных связаны с человеческим фактором: ошибками сотрудников, злоупотреблением привилегиями или социальной инженерией. 

Привилегированный доступ дает ИТ-администраторам компании повышенные привилегии: он позволяет изменять настройки любого оборудования, создавать новые учетные записи и назначать им, например, права руководителя, изменять, скачивать и удалять любые данные. Часто эти привилегии выдаются в избыточном объеме по разным причинам. Это может быть удобство работы, так может быть устроен интерфейс управления.  

Чтобы защититься от таких утечек, сотрудники должны вести себя правильно, и компании сегодня тратят большие ресурсы на обучение сотрудников. Однако есть и другой путь — исключить саму вероятность совершения ошибки пользователей. И здесь могут помочь современные PAM-системы.  

Системы управления привилегированным доступом (PAM) умеют создавать такие условия работы пользователей, в которых угроза компрометации учетной записи пользователя из-за уязвимости или человеческого фактора снижается до минимума. 

Для формирования такой безопасной среды используются 5 принципов:

1. Надежная идентификация пользователя. PAM-системы позволяют применять многофакторную аутентификацию даже в унаследованных системах.

2. Предоставление привилегий в минимальном объеме на ограниченное время для выполнения конкретных задач. При таком подходе у пользователя есть разрешения на выполнение только согласованных действий. При попытке доступа авторизации с учетными данными пользователя в базе данных клиентов или в интерфейсе управления маршрутизатором происходит проверка, есть ли в настоящее время у пользователя задача, требующая работы с этими ИТ-ресурсами, разрешен ли доступ в это время и с этого IP-адреса. Такой подход, с одной стороны, дисциплинирует сотрудника, с другой — максимально затрудняет использование таких учетных данных в случае их компрометации.

3. Использование только доверенных инструментов для администрирования ИТ-систем. Для удаленного управления ИТ-ресурсами администраторы используют различные инструменты, их выбор часто обусловлен личными предпочтения сотрудников. Такие инструменты часто оказываются устаревшими и могут содержать хорошо известные хакерам уязвимости. Принцип использования только доверенных инструментов предполагает, что ИТ-сотрудники используются только те программы для администрирования, которые содержатся в централизованном хранилище компании и регулярно обновляются. Сотрудник не сможет использовать теневое ПО, он не сможет получить с его помощью доступ к нужному ресурсу.

4. Предоставление доступа в защищенной среде. ИТ-сотрудник — это высококвалифицированный специалист, у него есть доступ к Интернету, права администратора на своем компьютере, как правило. По этой причине нельзя гарантировать отсутствие вирусов и другого вредоносного ПО на его рабочей станции, которые могут привести к краже учетных данных и перехвату управления ИТ-инфраструктурой компании. В современных PAM-системах эта проблема решается за счет того, что сеансы администрирования ИТ-ресурсами запускаются на отдельном сервере, это не дает злоумышленникам перехватить учетные данные.

5. Мониторинг и аудит действий пользователя. PAM-система фиксирует все действия пользователя, что опять же дисциплинирует, с одной стороны, и позволяет быстро найти расследовать инцидент, с другой стороны.

Таким образом, современные PAM-системы создают такие условия, в которых безопасность становится удобной, а вероятность ошибки — минимальной.