Контроль привилегированных пользователей (PAM) — обзор мирового и российского рынка

Контроль привилегированных пользователей (PAM) — обзор мирового и российского рынка Сертификаты
Содержание
  1. Что такое контроль привилегированных пользователей?
  2. Введение
  3. Администраторы сети регулярно открывают себе доступ к запрещенным ресурсам
  4. Использование одной учетной записи сразу несколькими администраторами
  5. Удаленные сотрудники работают менее 2х часов в день
  6. Используется одинаковый пароль для множества систем
  7. Пользователи обладают бОльшими правами, чем предполагалось
  8. Fudo pam
  9. Вебинар
  10. Графические отчёты
  11. Единая консоль управления
  12. Запись сессий и архив
  13. Зарубежные производители
  14. Изоляция объектов сети
  15. Каким организациям необходим zecurion pam:
  16. Контроль подрядчиков
  17. Мировой рынок систем контроля привилегированных пользователей
  18. Отчётность и аналитика
  19. Отчёты с любым уровнем детализации и разной формой представления данных
  20. Полный контроль действий привилегированных пользователей
  21. Предоставление полной статистики об использовании интернета сотрудниками
  22. Принцип контроля привилегированных пользователей
  23. Российские производители
  24. Российский рынок систем контроля привилегированных пользователей
  25. Удалённое администрирование
  26. Управление доступом
  27. Выводы

Что такое контроль привилегированных пользователей?

Программы, относящиеся к этому классу, способны решать следующие задачи:

В данный момент сложилась устойчивая терминология для обозначения таких систем. Чаще всего этот класс называют Privileged Access Management (PAM), хотя ранее производители использовали при описании своих решений и другие термины:

В некоторых интерпретациях вместо «Access» пишут «Account», а вместо «Management» — «Manager». Так или иначе, в дальнейшем мы будем использовать в статье аббревиатуру «PAM» для обозначения программных и программно-аппаратных комплексов, основными задачами которых являются управление работой привилегированных пользователей и её контроль.

Введение

Сегодня большое число компаний вне зависимости от размера, формы собственности и профиля деятельности прибегает к услугам сторонних ИТ-специалистов. Развитие телекоммуникаций позволяет обслуживать компьютерную инфраструктуру удалённо, предоставляя аутсорсерам доступ в корпоративную информационную систему. Обычно для этих целей создаётся отдельный аккаунт с административными правами.

Действия ИТ-специалистов нередко становятся причиной утечки конфиденциальной информации. Даже если привилегированный пользователь не имеет злого умысла, ценные данные могут оказаться в Сети из-за неправильных настроек доступа к файловому хранилищу или корпоративному веб-ресурсу.

Ещё одна причина появления внешних привилегированных пользователей — финансовые проверки со стороны государственных органов и аудиторских компаний, которые могут проводиться как очно, так и удалённо. И в том, и в другом случае для доступа к бухгалтерской и управленческой отчётности проверяющим требуются расширенные права в информационной системе.

Нельзя обойтись и без внутренних учётных записей, наделённых нужными для управления инфраструктурой полномочиями. В том, что ими можно злоупотребить, не приходится сомневаться: достаточно вспомнить нашумевшие истории системных администраторов, мстившим своим работодателям.

Таким образом, со стороны руководителей организаций есть запрос не только на мониторинг и протоколирование действий всех типов привилегированных пользователей, но и на возможность гибкого управления их правами. Выделение избыточных разрешений может привести к утечке информации и финансовым потерям — например, если конфиденциальные данные, «попутно» доступные проверяющему или ИТ-специалисту, будут переданы конкурентам.

Решить вопросы, связанные с контролем работы привилегированных пользователей, адаптивно управлять их правами доступа и (при необходимости) автоматически ограничивать или совсем разрывать сессию помогут специализированные решения, о которых пойдёт речь в этом обзоре.

Администраторы сети регулярно открывают себе доступ к запрещенным ресурсам

Как ни странно, но первые инциденты, которые удается обнаружить — нарушения со стороны администраторов. Чаще всего — неправомерное изменение списков доступа на сетевом оборудование. Например, чтобы открыть доступ до запрещенного сайта или для запрещенного приложения. Следует отметить, что такие изменения могут затем годами оставаться в конфигурации оборудования.

Использование одной учетной записи сразу несколькими администраторами

Еще одна частая проблема связанная с администраторами. “Шарить” одну учетку между коллегами очень частая практика. Удобно, но после этого довольно трудно понять, кто именно ответственен за то или иное действие.

Удаленные сотрудники работают менее 2х часов в день

Во многих компаниях есть удаленные сотрудники или партнеры, которым нужен доступ к внутренним ресурсам (чаще всего удаленный рабочий стол). Fudo PAM позволяет мониторить реальную активность в рамках таких сессий. Часто обнаруживается, что удаленные сотрудники работают гораздо меньше, чем заявлено.

Используется одинаковый пароль для множества систем

Довольно серьезная проблема. Запоминать несколько паролей всегда сложно, поэтому часто пользователи используют единственный пароль абсолютно для всех систем. Если такой пароль “утечет”, то потенциальный нарушитель сможет получить доступ практически ко всей ИТ-инфраструктуре.

Пользователи обладают бОльшими правами, чем предполагалось

Часто обнаруживается, что пользователи, с казалось бы урезанными правами, оказывается обладают бОльшими привилегиями, чем положено. Например могут перезагружать контролируемое устройство. Как правило это либо ошибка выдававшего права, либо просто недостатки встроенной системы разграничения прав.

Про сертификаты:  AsstrA получила аттестат Safety & Quality Assessment for Sustainability

Fudo pam

Буквально пару слов о решении. Fudo PAM это относительно новое решение по управлению привилегированным доступом. Из ключевых особенностей:


Ну и самый главный плюс — разворачивается буквально в течении пары часов, после чего система готова к использованию.

Для тех, кому интересен продукт, в …. состоится вебинар с подробным обзором и демонстрацией функционала. Мы же перейдем к реальным проблемам, которые удается обнаружить в рамках пилотных проектов систем управления привилегированным доступом.

Вебинар

Если вам интересна тема PAM, то приглашаем вас на

, который состоится 21 ноября.

Графические отчёты

В Zecurion Reports возможно создание агрегированных отчётов в наглядной графической форме. Информация может быть представлена в виде различных типов диаграмм или графиков. Графические отчеты являются интерактивными – при клике по диаграмме открывается табличная часть, соответствующая выбранной области.

Единая консоль управления

Zecurion PAM управляется из единой консоли для всех продуктов Zecurion с общим удобным интерфейсом. Это позволяет минимизировать усилия по интеграции различных систем и централизировать управление системой.

Запись сессий и архив

Вся информация о действиях пользователей записывается в специальный архив, что позволяет в дальнейшем воспроизводить сессии и анализировать действия персонала.

Зарубежные производители

BeyondInsight

Американский вендор BeyondTrust предлагает своим клиентам несколько решений для управления доступом привилегированных пользователей, объединённых в общую платформу BeyondInsight. Компоненты для управления учётными записями, контроля избыточных прав и организации удалённого доступа с расширенными привилегиями могут быть интегрированы в рамках единого решения.

Центр управления учётными записями Password Safe предназначен для менеджмента паролей и сеансов. Основные возможности продукта:

  • Автоматическое обнаружение аккаунтов с расширенными правами и включение их в контролируемый контур.
  • Безопасное управление SSH-ключами и защита секретов от компрометации.
  • Адаптивный API для авторизации в сторонних приложениях, который предотвращает использование встроенных или сохранённых паролей.
  • Мониторинг привилегированных сеансов в режиме реального времени с расширенной аналитикой по основным характеристикам поведения пользователей.

Полная информация о продукте размещена на странице Password Safe сайта BeyondTrust.

Приложение Endpoint Privilege Management обеспечивает удаление избыточных прав пользователей на рабочих станциях, серверах и сетевых устройствах. Решение позволяет:

  • оперативно изменять уровень доступа пользователей и приложений в зависимости от их задач и в соответствии с заданными политиками безопасности (избыточные права, ненужные для выполнения запрошенных действий, отключаются);
  • вести белый список приложений и управлять рисками их использования на основе данных об известных уязвимостях;
  • проводить аналитику угроз — определять уровень опасности того или иного действия пользователя с учётом сведений об известных недостатках в ПО;
  • выполнять мониторинг файлов и реестров — регулярный аудит изменений в критически важных политиках, системных и прикладных объектах и ключах реестра.

Подробное описание возможностей решения опубликовано на сайте разработчика.

Отдельный продукт, Privileged Remote Access, обеспечивает безопасность при удалённом подключении привилегированных пользователей к корпоративной сети. Приложение даёт возможность:

  • контролировать сеансы удалённого доступа с расширенными правами, открытые через протоколы RDP, VNS, SSH, а также при помощи собственного защищённого агента,
  • гибко интегрировать процессы управления правами с SIEM-решениями различных производителей для оперативного обнаружения угроз,
  • управлять привилегированным доступом к облачным ресурсам с использованием собственной веб-консоли или интерфейсов массовых сервисов (AWS, Google Cloud, Microsoft Azure, IBM Softlayer и других).

Информация о Privileged Remote Access доступна на сайте BeyondTrust.

Core Privileged Access Security

Компания CyberArk предлагает линейку решений для контроля доступа привилегированных пользователей, флагманом которой является комплексная система Core Privileged Access Security. Продукт защищает аккаунты пользователей с расширенным набором прав в среде Windows и *NIX, а также предоставляет широкие возможности для аудита их действий, включая автоматическое предупреждение об аномальной активности.

Решение содержит подсистему хранения паролей — Enterprise Password Vault (EPV), менеджер сеансов привилегированных пользователей — Privileged Session Manager (PSM), диспетчер доступа к приложениям — Application Access Manager (AAM), а также аналитический модуль для распознавания угроз — Privileged Threat Analytics (PTA). Программа поставляется в формате локального, облачного или SaaS-решения.

Ключевые возможности Core Privileged Access Security:

  • Формирование собственных правил и политик управления доступом, охватывающих всех привилегированных пользователей, изоляция и дополнительная защита аккаунтов с расширенным набором прав.
  • Мониторинг работы привилегированных аккаунтов в режиме реального времени с возможностью создания текстового журнала или видео на основе выполненных действий.
  • Автоматическое определение аномальной активности пользователя на основании данных из нескольких источников и сложной комбинации статистических и детерминированных алгоритмов.
  • Отключение ненужных root-привилегий при запуске административных команд из сеансов Unix и Linux.
  • Единая служба управления SSH-ключами, которая обеспечивает безопасное хранение хеш-последовательностей, контроль доступа к ним и синхронизацию с открытыми подписями.
  • Защита контроллера домена Windows, позволяющая управлять правами пользователей и приложений при использовании ключевых сетевых ресурсов. Решение способно выявлять атаки на сервер Active Directory и центр распределения ключей, включая инциденты вида Golden Ticket и Overpass-the-Hash, манипулирование PAC-сертификатом.
Про сертификаты:  Шаг 6. Загрузка дистрибутивов и создание инсталляционных пакетов

Подробную информацию и спецификации системы Core Privileged Access Security можно найти на сайте разработчика.

Layer7 Privileged Access Management

В ноябре 2021 года Broadcom приобрела компанию CA Technologies и провела ребрендинг её продуктовой линейки. В связи с этим решение для управления привилегированным доступом CA Privileged Access Management теперь распространяется под названием Layer7 Privileged Access Management.

Разработка позиционируется как универсальная, кроссплатформенная система для контроля работы со всеми ИТ-ресурсами организации. В состав продукта входит модуль анализа угроз на основе машинного обучения, который способен автоматически снижать уровень привилегий или полностью разрывать соединение при обнаружении подозрительной активности.

Ключевые преимущества Layer7 Privileged Access Management:

  • Собственное защищённое хранилище учётных записей для административных паролей и SSH-ключей с возможностью автоматического обновления данных; собственная служба двухфакторной аутентификации, выполняемой поверх стандартных процедур идентификации пользователей.
  • Непрерывный мониторинг сессий с расширенным набором прав, оценка действий пользователей и реакция на нетиповую активность для снижения вероятности кибератаки или уменьшения возможного ущерба.
  • Управление доступом на уровне серверов для защиты критически важных ресурсов сети. Обеспечивает авторизацию через Active Directory и Kerberos для пользователей Unix и Linux, а также позволяет контролировать работу с отдельными папками, файлами, процессами и Docker-контейнерами.
  • Контроль паролей на уровне «приложение-приложение» и «приложение-база данных». Не допускает применения жёстко запрограммированных паролей при работе привилегированных пользователей.
  • Защищённое хранилище для журналов и протоколов, в том числе — результатов видеофиксации действий привилегированных пользователей.
  • Возможность установки решения как с использованием клиентских агентов, так и без них.
  • Автоматический поиск и включение в контур безопасности облачных хранилищ, API и виртуальных ресурсов.

Разработчики утверждают, что Layer7 Privileged Access Management является одним из наиболее масштабируемых решений, представленных на рынке, и способна обрабатывать и записывать значительно больше одновременных подключений, чем другие системы. Дополнительную информацию о программном продукте можно найти на сайте Broadcom.

One Identity Safeguard

После приобретения венгерского разработчика Balabit компанией One Identity его продукты стали частью экосистемы, предназначенной для решения широкого спектра задач в области идентификации и управления доступом. Функциональные возможности РАМ-решения были существенно расширены, в результате чего появился флагманский продукт One Identity Safeguard, содержащий следующие модули:

  • Safeguard for Privileged Sessions (запись сеансов пользователей с последующим разбором и предоставлением гибких возможностей поиска и блокировки исполнения опасных команд);
  • Safeguard for Privileged Passwords (управление паролями привилегированных пользователей, возможность предоставления доступа без раскрытия пароля и т.д.);
  • Safeguard for Privileged Analytics (выявление аномального поведения, продукт класса UEBA).

Продуктовая линейка One Identity также включает и отдельные продукты, позволяющие ещё больше расширить спектр задач по управлению доступом:

  • Safeguard for Privileged Analytics — система для анализа поведения привилегированных пользователей в режиме реального времени. Аномальные действия выявляются и ранжируются в зависимости от степени возможной угрозы. Вместо использования шаблонов для обнаружения «заведомо неправильного» поведения разработчики формируют базовые показатели «нормальной» активности на основании данных, собранных из ИТ-среды предприятия. Далее программа анализирует отклонения от базового уровня при помощи 13 различных алгоритмов машинного обучения.
  • Privilege Manager for Windows — агентское решение для контроля доступа пользователей к учётной записи администратора с механизмом оперативного повышения уровня привилегий. Приложение может работать в среде Windows 7…10 и Windows Server 2008…2021.
  • Active Roles — реализует модель предоставления наименьших привилегий при выполнении пользовательских задач для служб Microsoft Active Directory и Azure Active Directory.
  • Privileged Access Suite for Unix — решение для интеграции методов аутентификации Active Directory в системы под управлением UNIX, Mac OS X и Linux.

Полную информацию о продуктах One Identity можно найти на сайте компании.

PxM Platform

Британская компания Osirium специализируется на решениях для контроля работы привилегированных пользователей. В её портфеле присутствуют отдельные приложения для управления доступом, менеджмента процессов и защиты локальных рабочих станций. Комплексный подход реализован в продукте PxM Platform, который обеспечивает быстрое и безопасное выполнение привилегированных операций и DevOps-задач, а также сквозную отчётность и аналитику действий пользователей.

Про сертификаты:  СЗИ vGate R2 Код Безопасности

Основные возможности PxM Platform:

Изоляция объектов сети

Изолирует критические объекты сети (БД, серверы, виртуальные платформы и др.) от прямого доступа лиц, не наделённых соответствующими полномочиями.

Каким организациям необходим zecurion pam:

  • с численностью ИТ-персонала от 5 человек;
  • с наличием ИТ-систем, требующих более 10 различных паролей;
  • которые привлекают компании на аутсорс;
  • предоставляют доступ к ИТ-системам сторонним организациям или подрядчикам;
  • предоставляют доступ внешней технической поддержке;
  • хотят контролировать действия администраторов.

Контроль подрядчиков

Zecurion PAM контролирует все действия и доступ внешних ИТ-подрядчиков к защищаемым информационным ресурсам, например, инженеров системных интеграторов или технических специалистов поставщика программного оборудования.

Мировой рынок систем контроля привилегированных пользователей

Глобальный рынок решений для управления привилегированным доступом активно развивается. По данным компании TechNavio, с 2021 года он демонстрирует совокупный среднегодовой темп роста в размере 23% и сохранит эту динамику вплоть до 2020-го. В нашем предыдущем обзоре, вышедшем три года назад, мы отмечали, что по прогнозам к 2021 году объём реализуемых PAM-продуктов составит около $1,2 млрд, однако на деле такие показатели были достигнуты на два года раньше.

По мнению аналитиков, рынок представляет собой высококонцентрированную конкурентную среду, где большая часть объёма продаж приходится на относительно небольшую группу сильнейших игроков. Как следует из исследования TechNavio, активнее всего приобретают PAM-решения компании из США — на их долю приходится около 40% общемирового объёма продаж.

В декабре 2021 года компания Gartner проанализировала основных поставщиков систем для управления доступом привилегированных пользователей и выделила группу лидеров, куда включила четыре компании:

  • CyberArk,
  • BeyondTrust,
  • Centrify,
  • CA Technologies (ныне Broadcom).

Исследователи считают, что эти вендоры предлагают наиболее полный набор инструментов для администрирования привилегированного доступа и имеют самую большую клиентскую базу. Это — глобальные игроки, ориентированные на самый широкий сегмент потенциальных заказчиков.

Ещё три разработчика — One Identity, Thycotic и senhasegura — близки к позициям мировых лидеров, однако пока имеют меньшую инсталляционную базу или сфокусированы на отдельных сегментах рынка или географических территориях. В частности, бразильская компания senhasegura больше известна в Латинской Америке, чем в Европе. У One Identity, в свою очередь, — более 50 заказчиков в России и СНГ.

Специалисты Gartner выделили также большую группу нишевых игроков:

  • ARCON,
  • Hitachi ID Systems,
  • Osirium,
  • Wallix,
  • MicroFocus,
  • ManageEngine,
  • Fudo Security.

Разработки этих вендоров нацелены на конкретные отрасли, для которых набор их возможностей является оптимальным. Количество клиентов у них невелико (в сравнении с лидерами), однако они, как правило, предлагают заказчикам наиболее эффективные решения для определённой области деятельности.

Драйверами роста этого сегмента рынка будут являться следующие факторы:

  • дальнейшее развитие телекоммуникационных технологий и связанное с ним увеличение количества услуг на базе ИТ-аутсорсинга,
  • развитие DevOps-методов и необходимость поддерживать безопасность процесса разработки и обслуживания программных продуктов,
  • повсеместное использование бизнесом облачных решений с различными подходами к обеспечению безопасности,
  • жёсткие требования государственных органов по контролю персональных данных граждан и рост возможных санкций за нарушение GDPR, Федерального закона №152-ФЗ и других нормативных правовых актов.

Отчётность и аналитика

Zecurion PAM предоставляет офицеру безопасности полную и детальную статистику о действиях пользователей с привилегированным доступом (количество и время подключений, классификация пользователя и т. д.).

Отчёты с любым уровнем детализации и разной формой представления данных

Расширенный модуль отчётности Zecurion Reports позволяет создавать и изучать отчёты с любым уровнем детализации и разной формой представления данных, а также помогает выявлять нарушения политик безопасности на ранних стадиях и предотвращать возможные утечки информации, хакерские атаки и прочие нежелательные действия.

Полный контроль действий привилегированных пользователей

Согласно исследованию, проведённому Zecurion Analytics, со злоупотреблениями со стороны привилегированного персонала (администраторы, подрядчики, удалённые сотрудники и т. д.) сталкивалось 72% российских компаний крупного и среднего бизнеса. Zecurion PAM позволяет контролировать все их действия и права доступа.

Предоставление полной статистики об использовании интернета сотрудниками

Система предоставляет офицеру безопасности полную и детальную статистику посещения интернета по отдельным пользователям и/или группам в зависимости от настроек. Zecurion Reports позволяет выводить любые отчёты в зависимости от заданных условий, а также выводить данные в нескольких видах: текстовом, табличном, графическом или смешанном.

Zecurion PAM
Схема работы Zecurion PAM

Принцип контроля привилегированных пользователей

Контроль действий привилегированных пользователей достигается за счёт идентификации сессий, требующих расширенного набора прав, и авторизации их инициаторов через специальный защищённый шлюз. В дальнейшем PAM-решение регистрирует все действия привилегированных клиентов, а также анализирует их поведение по ряду параметров. Сейчас для реализации этой функции всё чаще применяют искусственный интеллект и методы машинного обучения.

В случае некорректных действий со стороны привилегированной учётной записи система может отправить уведомление ответственному лицу, ограничить набор прав или полностью разорвать соединение.

Ещё несколько лет назад большинство PAM-продуктов представляло собой одну из подсистем комплексных решений для управления процессом идентификации пользователей — Identity and Access Management (IAM). Такой идеологии до сих пор придерживаются многие крупные игроки, старающиеся закрыть максимум потребностей потенциальных клиентов.

Но наблюдается и обратный процесс — продукты, ранее сфокусированные на решении относительно узкой задачи контроля привилегированных пользователей, приобретают всё больше функций, ранее им несвойственных. Помимо мониторинга сессий многие PAM-системы обеспечивают защищённое хранение паролей и криптоключей, интеграцию с SIEM-продуктами, фильтрами безопасности и CRM-системами.

Современные программы для управления привилегированным доступом могут содержать следующие подсистемы:

  • диспетчер сеансов (Privileged Session Manager, PSM), который контролирует сессии с расширенным набором прав в разрезе используемых ресурсов;
  • блок анализа действий пользователя и предупреждения противоправной активности;
  • диспетчер паролей приложений (Application-to-Application Password Manager, AAPM), выявляющий «вшитые» пароли и подменяющий их собственной службой авторизации;
  • модуль единого входа (Single Sign-On, SSO), реализующий одноимённую технологию для уменьшения поверхности атаки.

Технически PAM-решения могут представлять собой локальные продукты, однако этот формат поставки сопряжён с высокими затратами на внедрение и операционными расходами. Большинство поставщиков предлагает своим клиентам облачные или гибридные системы, распространяемые по модели «программное обеспечение как услуга» (Software-as-a-Service, SaaS).

Российские производители

Indeed Privileged Access Manager

Компания «Индид», отечественный разработчик ПО для обеспечения информационной безопасности в финансовой, промышленной, транспортной и других сферах выпустила свою систему для контроля привилегированного доступа в 2021 году. Решение обладает набором необходимых компонентов наряду с современными PAM-продуктами и имеет следующие функции:

  • Управление учетными записями Active Directory, Windows, Linux/Unix, PostgreSQL, MS SQL, MySQL, Oracle DB.
  • Регулярный автоматический поиск новых учетных записей, проверка и смена паролей и SSH-ключей зарегистрированных учетных записей на случайные в собственном хранилище паролей.
  • Контроль RDP- / SSH-доступа к сетевым ресурсам под управлением ОС Windows и Linux, а также к отдельным приложениям (браузер, “толстый” клиент).
  • Отслеживание действий привилегированных пользователей с записью в текстовый журнал, видеофиксацией и сохранением снимков экрана. Гибкий поиск по архиву сессий с поддержкой различных критериев (дата и время, учётные записи, пользователи, ресурсы и состояние сессии).
  • Обеспечение двухфакторной аутентификации для всех пользователей с расширенными привилегиями.
  • Собственный SSH Proxy для работы с SSH-сессиями без Microsoft Remote Desktop Services.
  • Реализована гибкая настройка распределения прав доступа привилегированных пользователей по расписанию и типу ресурса, в т.ч. для внештатных сотрудников.
  • Функция контроля подключения устройств в RDP сессии: централизованная настройка разрешения или запрета подключения оборудования.
  • Разработан механизм слежения за передаваемыми файлами. Все события, связанные с перемещением файлов с подключаемых дисков на целевой ресурс, фиксируются, а сами файлы копируются в хранилище.

Подробнее о возможностях Indeed Privileged Access Manager читайте в нашем обзоре, а также на сайте «Индид».

Разработчики Indeed Privileged Access Manager регулярно выпускают дополнения. Весь комплекс — полностью российская разработка и подходит для реализации требования законодательства в сфере импортозамещения. В ближайшее время программный комплекс Indeed PAM будет внесен в Реестр отечественного ПО Минкомсвязи РФ.

SafeInspect

Российская компания «Новые технологии безопасности» предлагает систему контроля привилегированного доступа SafeInspect, полностью соответствующую требованиям отечественных регуляторов. Программа может использоваться не только как самостоятельное решение, но и как надстройка для других PAM-продуктов.

Это даёт российским филиалам международных компаний возможность использовать его вместе с устоявшимися корпоративными системами — для расширения их функционального набора, а также выполнения требований Федеральных законов №152-ФЗ и №187-ФЗ. Для государственных структур важным преимуществом SafeInspect являются сертификаты ФСТЭК (соответствие приказам №№17, 21, 31) и ФСБ России. Продукт внесён в реестр российского ПО.

Возможности решения:

Российский рынок систем контроля привилегированных пользователей

На российском рынке представлены наиболее значимые зарубежные решения для контроля привилегированных пользователей. Обычно продажи и внедрения таких систем осуществляются через уполномоченных представителей. В частности, программные продукты компании One Identity, которая в России представлена как вендор, продвигают дистрибьюторы Merlion и Aflex (в СНГ — «БАКОТЕК»), за решения BeyondTrust отвечает ООО «Пирит», а за системы CyberArk — дистрибьютор Softprom.

Среди российских разработчиков PAM-решений можно выделить компанию «Новые технологии безопасности» с продуктом SafeInspect. Вендор позиционирует своё решение как простой и гибкий инструмент для контроля действий привилегированных пользователей и управления доступом к приложениям. Программа сертифицирована российскими регуляторами.

Отечественная компания Zecurion, специализирующаяся на защите информации от утечек, продаёт собственную PAM-систему. Решение Zecurion Privileged Access Management обеспечивает безопасный удалённый доступ привилегированных пользователей к серверам, запись их действий и видеофиксацию рабочего стола, протоколирует параметры входа.

Относительно недавно, в 2021 году, российская компания «Индид» начала работу над PAM-системой. Разработка «Индид» позволяет вести видеомониторинг действий привилегированных пользователей и управлять учётными записями с расширенным набором прав, обеспечивает двухфакторную аутентификацию администраторов.

Также выделим «АйТи БАСТИОН» — компанию, разрабатывающую семейство программных продуктов СКДПУ («Система контроля действий поставщиков IT-услуг»). Решение СКДПУ сертифицировано Минкомсвязи РФ, имеет допуск НДВ-2 Министерства обороны РФ и выпускается на отечественном рынке.

В целом необходимо отметить, что за несколько лет, прошедших с выхода нашего предыдущего обзора PAM-решений, конкуренция в секторе увеличилась. В борьбу за клиентов как на мировом, так и на отечественном рынке включились новые игроки. Российские производители успешно разыгрывают национальную карту, предлагая сертифицированные решения государственным организациям. Зарубежные производители тоже работают в этом направлении, но лучшие перспективы имеют в частных компаниях.

Некоторые вендоры не рассматривают рынок систем управления привилегированным доступом в качестве основного и предлагают соответствующую функциональность пользователям своих IDM-решений или DLP-продуктов (к примеру, Zecurion).

Удалённое администрирование

В системе реализована возможность удалённого подключения и подключения по локальной сети независимо от местонахождения, что делает администрирование более удобным и позволяет оперативно реагировать на инциденты.

Управление доступом

Система хранит все привилегированные учётные записи в централизованном хранилище, доступ к которому есть только у определённого круга лиц. Также обеспечивает централизованное управление доступом к серверам, базам данных и любым критичным объектам сети.

Выводы

Рынок систем контроля привилегированного доступа имеет хорошие перспективы роста. Риски репутационных издержек и финансовых потерь, вызванных утечками конфиденциальной информации, будут склонять компании всех уровней к внедрению PAM-продуктов. Дополнительным стимулом для приобретения подобных решений будет давление регуляторов в сфере безопасности персональных данных.

Разработчикам предстоит принять вызовы сегодняшнего дня и предложить своим клиентам универсальное решение, которое позволит распространить контроль действий привилегированных пользователей на все сферы деятельности организаций, включая облачные службы и прикладные распределённые системы.

Ещё одним направлением деятельности вендоров должно стать совершенствование методов адаптивной реакции системы на различные действия привилегированных пользователей. Программа должна уметь не только разрывать сессию в случае ненормального поведения, но и гибко урезать права при обнаружении малоопасных триггеров, рассматривая все аспекты работы пользователя в комплексе.

Оцените статью
Мой сертификат
Добавить комментарий