Гладиаторы - меню
Гладиаторы - меню

PAM - контроль привилегированных пользователей

При использовании удаленного доступа пользователи компании делятся на 2 вида:

  1. обычные сотрудники, которые работают с ресурсами в рамках выданных им полномочий
  2. привилегированные пользователи (администраторы), которые сами могут менять полномочия.

 

Очевидно, что более опасные последствия будет иметь компрометация учетной записи администратора. А, как показывает опыт проектов, без грамотно построенной по принципу закрытия рисков системы защиты компрометации подвержены все базы данных пользователей и любые типы паролей - вопрос лишь во времени.


 

Поэтому учетные данные администраторов надо защищать особенно. И для удаленного доступа и настройки не давать им возможность подключаться без дополнительного контроля.

Традиционные NGFW, WAF, SIEM не дают подобного контроля или слишком медленно это замечают.

 

Есть специализированные системы защиты, которые позволяют реализовать принцип контроля "4 глаз" и записывать/контролировать всю активность, которую ведут привилегированные пользователи. Некоторые продвинутые системы позволяют даже управлять паролями учетных записей, ротировать их и следить за сложностью.

 

Называются эти системы Privileged Access Management или сокращенно PAM.

 

Помните недавний инцидент с Facebook, когда в результате регламентных работ у них "легла" вся сеть - администраторы удаленно вносили изменения в сетевую конфигурацию. Если бы они работали через PAM, то можно было и записать их действия, понять, кто их провёл, а также даже ввести дополнительную авторизацию на действия, связанные с критичными изменениями.

PAM как раз позволяет сделать так, чтобы:

  • за доступом админов ИБ дополнительно приглядывали сетевики (контроль 4 глазами);
  • разрешать только определенные команды и изменения при удаленном доступе (авторизация);
  • регистрировать все изменения и производить их атрибуцию (кто что в какое время сделал, какие команды вводил).

Обезопасить доступ администраторов

Для сохранения целостности конфигураций сети и ресурсов компании при удаленных настройках администраторами (или подрядчиками при регламентных работах) необходимо использовать промежуточный шлюз, который будет контролировать их действия. Для этого и были придуманы высокоэффективные PAM системы. Они проверяют, что делает администраторская учетная запись и как минимум записывает все операции, чтобы всегда можно было откатить все изменения назад или выполнить атрибуцию выполненных действий - потом они не смогут сказать, что "это не я вводил эти команды".
Оставьте контактную информацию и наши менеджеры свяжутся с вами, чтобы уточнить необходимую информацию и рассчитать стоимость решения!
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности

Серия видео про пароли и удаленный доступ на канале "Безопасность и развитие бизнеса"

Отдельных видео по Privileged Access Management (PAM) для нашего канала мы пока не делали (если будут заявки, то сделаем обзор), но у нас есть видео про необходимость парольной защиты и удаленный доступ. По остальным вопросам вас с готовностью проконсультируют наши менеджеры.
Как решить вопросы удаленного доступа для сотрудников компании и какие аспекты безопасности нужно учесть
Пароли и их хранение, использование парольных менеджеров, обмен парольной информацией между сотрудниками
Организация безопасного удаленного доступа на "пальцах" - что такое VPN, почему нужна двухфакторная аутентификация, как защитить доступ сотрудников к ресурсам компании

Стоимость безопасного доступа для администраторов (PAM)

Стоимость решения PAM (Privileged Access Management) в основном зависит от количества учетных записей, которые будут находится под его управлением. Можно покупать систему только для администраторов или распространять ее на всех пользователей.

Например, для финансовых организаций, в отношении которых действует ГОСТ 57580.1 в явном виде существует требование, по которому они должны разделить функции администраторов по созданию учетных записей и выдаче им прав. Как это сделать, кроме как не с помощью PAM!

Свяжитесь с менеджерами и мы подберем решение под вас!
PAM

Для расчета стоимости PAM необходимо знать количество защищаемых учетных записей.

Также в зависимости от выбора класса решения (попроще / более функциональное) цена за пользователя может отличаться на порядок.

~$25 / админ
Система 2FA

2-факторная аутентификация рекомендуется для повышенной безопасности удаленного доступа.

~$45 / токен / админ
Внедрение

Зависит от сложности системы и количества защищаемых ресурсов, к которым необходимо предоставить доступ

от 250 тыс. руб. / внедрение