Что такое PAM и зачем он нужен
Всем привет! На связи Константин Родин из «АйТи Бастион». Сегодня речь пойдёт о выбранной нами много лет назад нише в сфере ИБ, а именно — контроле привилегированного доступа. То есть те самые PIM PAM PUM, про которые вы могли слышать, а могли и не слышать. Но и в том и другом случае — вы с вероятностью 99% сталкивались с привилегированным доступом и последствиями его недобросовестного использования.
Вот уже почти 7 лет я смотрю изнутри на рынок систем контроля привилегированного доступа: прошёл путь от инженера техподдержки до руководителя отдела развития продуктов, строил комплексные интегрированные системы безопасного привилегированного доступа, видел, как при слове PAM закрывались двери (или меня просили закрыть дверь снаружи), а коллеги, связанные с АСУ ТП и КИИ, крутили пальцем у виска, комментируя эти три буквы невозможностью идти в тему внешних подключений, ибо их нет.
Но тема PAM раскрывалась виток за витком, удалённый доступ стал нормой во время пандемии коронавируса, проблемы с ним перешли на новый уровень: цепочки поставок лидируют в отчётах по атакам, и мы с коллегами приняли решение раскрывать тему PAM для широкого круга и выйти за пределы классического мира ИБ.
Чтобы это не выглядело рекламой — сразу «на берегу» договоримся, что построить эффективную систему информационной безопасности в отдельно взятой компании можно, не покупая множество ИБ-решений, а ограничив этот набор минимально необходимым. Остаётся только связать всё это регламентами, процессами и исполнительными людьми, которые регламенты соблюдают и работают строго по процессам и правилам. Ну, а для тех, кто знает, что всякое в жизни бывает, — и будет наш дальнейший лонгрид про флагманский продукт «АйТи Бастион» с ярким и запоминающимся названием СКДПУ НТ.
Итак, PIM-ы, PAM-ы и PUM-ы — это такие системы контроля, записи и поиска действий пользователей при удалённом доступе к серверам, сетевому оборудованию или же просто к бизнес системам (тут и веб-клиенты и 1С, и целый зверинец всего, что перечислять устанешь). Но речь не о простых пользователях, а тех, кто имеет такой уровень прав, что способны камня на камне не оставить, если воспользуются ими не во благо.
Начну с малого и постараюсь «на пальцах» показать, что это за системы, кому они нужны и какая магия скрыта под капотом PIM-PAM-PUM-ов.
На заре справедливости
Прежде чем говорить о самих системах, давайте посмотрим, что мы знаем о привилегированных учётных записях.
Если составить список типов пользователей, то получится вот такой богатый перечень:
· Технические
· Системные
· Для управления устройствами
· Администраторы
· Разработчики и DevOps-ы
· Приложения
· Базы данных
· Бизнес-пользователи (тут и генеральные директора тоже бывают)
Одним словом — почти все, кто в среднестатистическом офисе живёт, работает и появляется.
Ну, а теперь про сами системы PIM PAM PUM.
Отдельным решениям контроля доступа привилегированных пользователей в ранние годы становления рынка ИБ не придавалось должного внимания. Это, с одной стороны, было вызвано особой спецификой их работы, небольшим «привилегированным» кругом лиц, к которым обычно есть безусловное доверие, и относительно небольшим «охватом» решаемых задач. С другой стороны, именно это и сформировало их уникальное положение на рынке.
Сама идея необходимости контроля привилегированных пользователей обусловлена стремительным ростом масштабов и сложности информационной инфраструктуры: с каждым годом число критических систем растёт, а следовательно, и людей, которые имеют к ней доступ. Для компаний данный факт создаёт дополнительные риски — финансовых и репутационных потерь, а в некоторых случаях даже и существования бизнеса в принципе.
Возникла ситуация, когда систем «общего назначения», к примеру SIEM, стало уже не хватать. IDM только управлял правами, а не событиями внутри доступов, логирование с целевых систем было полезно, но не эффективно, ведь привилегированный доступ это ± 10% от всех пользователей, а в некоторых случаях итого меньше.
А реальность всё била рекорды по целевым атакам через привилегированные учётки.
И тут мы оказываемся в 2024 году: в большинстве публичных кейсов утечек и взломов (а сколько таких историй удаётся скрыть!) крупные атаки начинались именно с привилегированного пользователя и его привилегированного доступа.
Вот так утекали учётки, согласно данным PositiveTechnologies:
Из отчёта PositiveTechnologies
Если кто-то ещё сомневается, что доступ надо контролировать, то вот ещё пара графиков наших коллег по цеху за 2024 год, где в явном виде показывается, что ваши учётки — самое ценное в мире компьютерной преступности. Большинство успешных атак начинается с их покупки, а далее, используя известные (и 0-day тоже) уязвимости, «злодеи» получают доступ к инфраструктуре с высоким уровнем (ВНИМАНИЕ) привилегий. Ну, а потом крадут всё, до чего дотянутся, останавливают всё, что можно остановить, и шифруют всё, что шифруется.
Из отчёта PositiveTechnologies
А вот здесь исследователи Positive Technologies демонстрируют последствия:
Из отчёта PositiveTechnologies
Да, конечно, не все атаки были осуществлены через привилегированную учётку с самого начала, но так или иначе многие из них идут через удалённый доступ и учётку с нужными привилегиями, доступом в контур и возможностью повышать привилегии. То есть зачастую доступ пользователя с привилегиями используется на полную катушку.
Не пытаюсь никого напугать, просто информирую тех, кто не штудирует отчёты и популярные тренды атак. В общем, будьте бдительны, а я продолжу.
PIM PAM PUM: лига справедливости и контроля
Основная идея таких систем заключается в обеспечении полного контроля над происходящим во время сеансов работы на целевых устройствах (информационных системах, сетевом оборудовании и других ресурсах), к которым имеет доступ сотрудник, ответственный за их корректное функционирование, или обладающий неограниченным доступом. Основной акцент ранее делался на контроле доступа с использованием протоколов удалённого доступа RDP и SSH, но также возможен контроль доступа через HTTP (S) и клиентские приложения. Но в последнее время всё больше задач возникает с более точечным контролем бизнес-процессов и операций в ходе их выполнения. Тут речь уже идёт и о точечном контроле запросов к базам данных, и вызове API-запросов или же просто автоматизированных операциях между двумя информационными системами.
Но давайте по пунктам, зачем эти системы используются чаще всего:
1. Управление привилегированным доступом: PAM-решения регулируют привилегированный доступ всех сотрудников, партнёров, внешних поставщиков и других лиц, допущенных к информационной инфраструктуре. Они контролируют привилегированные сессии, осуществляют мониторинг и запись сеансов работы пользователей с повышенными правами, а также могут прерывать сессии в случае подозрительных действий.
2. Реализация принципа минимально достаточных полномочий: PAM-системы помогают контролировать пользователей с расширенными полномочиями, чтобы при необходимости можно было оперативно сузить круг прав для конкретных сотрудников.
3. Защита учётных записей и паролей: PAM-системы предотвращают утечку паролей, контролируя их хранение и смену, а также автоматически подставляя нужные пароли при аутентификации.
4. Формирование детализированной отчётности: PAM-системы предоставляют офицерам службы безопасности информацию о ситуации в периметре, что позволяет проводить быстрые и эффективные расследования инцидентов, связанных с привилегированным доступом.
5. Интеграция с другими ИБ-системами: PAM-решения легко интегрируются с разными классами продуктов информационной безопасности, такими как IdM, SIEM и DLP, что позволяет им совместно решать задачи обеспечения безопасности и контроля доступа.
Коротко о том, как они это делают: встают между пользователей и целевой системой — могут как прокси, а могут и просто хранить в себе пароль от целевой системы и никому не рассказывать, что напрямую подключиться нельзя. Так они становятся единой точкой доступа — пароли вводят сами при подключении, токены прокидывают, события фиксируют, на аномалии реагируют.
А теперь давайте заглянем под капот и посмотрим, что же там скрывается, и за счёт чего PAM стал таким востребованным?
Да-да — PAM это новый NGFW на рынке инфобеза России, да и мира в целом. В конце будет краткий пересказ отчёта ушедшего Gartner, если кто о таком ещё помнит.
PASM (Privileged Account and Session Management)
Все без исключения «контролёры контролёров» умеют «сессии строить и логи собирать», в мире это зовётся PASM.
И это история про то, чтобы была дополнительная аутентификация: сперва проверили на PAM, что пользователь вообще имеет право подключаться к важным системам, а заодно собрали полезные для анализа события.
Чем это полезно?
Есть админ Василий. У него есть разрешённый доступ к PAM. Логин в PAM у него может быть совсем не тот, что в его родном домене компании (может, конечно, быть любой, но мы сейчас про очень безопасную безопасность). Доступ Василия на PAM через УЗ vasya. Есть у него также доступ к трём серверам, но не просто доступ, а рутовый под учёткой root.
Если вы уже тут хотите сказать, что так делать нельзя, и у него должна быть своя именная учётка, то спешу разочаровать — так бывает далеко не всегда, и сейчас я описываю граничный сценарий.
Как же без PAM понять, кто у нас сегодня root? В общем виде — никак. А PAM позволит сказать, что под учёткой root работает именно vasya.
Конечно, чаще всего сценарии сильно сложнее, но концепция, когда доступа к серверам и оборудованию напрямую нет, — достаточно распространённая. То есть существует разделение между доступом в одну сеть под доменом, который связан с PAM, и другим доменом, который изолирован, а доступ можно получить только через дополнительный контроль.
Но и это ещё не вся задача PAM-системы при доступе. Мало кто хочет, чтобы пользователи просто так гуляли туда-сюда. У нас же большая компания и есть бизнес-процессы. А значит, нужно это всё автоматизировать и сделать так, чтобы просто так без заявки на работы никто не подключался к критически важной системе. И тут на помощь приходят механизмы подтверждения доступа.
Согласовывать доступ можно как во время обращения к ресурсу, так и заранее. Важно, что учитывается не только возможность запроса доступа, но и определение нескольких подтверждающих (например, кворум голосов или цепочки согласования), что может быть полезным при доступе к информационным системам, находящимися на границе владения нескольких служб. А если сделать интеграцию с внешними сервисами, такими как системы заявок, то это снижает необходимость ручного контроля и позволяет эффективно использовать ресурсы.
Ну вот Василий подключился и теперь дело за малым — собрать всю информацию о его действиях. Здесь у проверенного в боях PAM-а следующие возможности:
· клавиатурный ввод
· заголовки окон
· содержимое буфера обмена, включая текст и файлы
· информация о процессах
· текстовое содержимое элементов интерфейса (чекбоксы, табы и прочее, до чего можно дотянутся)
· видео всего, что происходило
Картинка как доказательство, что не шутим:
Анализ и контроль возможен вне зависимости от используемого протокола, будь то
· RDP и xRDP
· SSH
· Telnet
· VNC
· RawTCP
· SQL
· HTTP (S)
Secrets Manager
Секреты — наше всё, потому хранить их надо надежно и менять регулярно.
И вот, чтобы пользователя не мучать количеством месяцев, а их учётки имели надёжный пароль — появляется на сцене Менеджер паролей. Он и хранит у себя пароли и меняет их регулярно: и по расписанию, и по событию (к примеру, при закрытии сессии доступа). Посмотреть его тоже даёт, если права и разрешения на это есть.
А менять пароли можно много где: в винде и линуксе, сетевом оборудовании, гипервизорах и т.п. Одним словом, куда PAM-у дали доступ на удалённую смену и управление паролями.
На этом про менеджер паролей всё.
UBA
Раз пользователя пустили и события записали, то надо и сотруднику отдела ИБ помочь с этими данными разобраться. Так мы пришли к возможностям анализа поведения.
В простейшем случае — это реакция на события, например, подключение, а в более продвинутом — собственная аналитическая система, способная на основе математических моделей или механизмов машинного обучения детально анализировать события в привязке пользователь-событие-цель. Целей здесь несколько, и самая очевидная — превентивная реакция на действия пользователя. Переход от исторической модели «пока гром не грянет» к «обнаружению аномалии, анализу аномалии и предотвращению значительного ущерба до возникновения инцидента».
До недавнего времени такой функционал был доступен только в иностранных решениях, и это просто исторический факт — там этот класс продуктов развивался раньше, и интерес к автоматизации в принятии решений «машиной» тоже. Но недавно ситуация изменилась, и отечественные системы также начали предлагать достойные реализации такого подхода.
Какой профит для конкретного сотрудника, ответственного за предоставление доступа?
Во-первых, отсутствие необходимости вручную просматривать все сессии подряд или выбирать случайные сессии в надежде найти проблемы. Система выделит те сессии, в которых будут обнаружены аномалии в действиях. Конечно, полноценный ИИ ещё не используется, но даже такие модели могут обучаться, в том числе на информации от сотрудника, который обрабатывает их как ложные или положительные срабатывания. Таким образом, вы экономите своё время и повышаете скорость реакции на потенциальные инциденты.
Во-вторых, поскольку события связаны с конкретным пользователем, накапливается его цифровой профиль, что помогает быстрее анализировать не события, а конкретного человека на предмет правильности его действий в инфраструктуре. Это также позволит проводить анализ на совершенно другом уровне без использования других решений.
В-третьих, если система позволяет собирать информацию со всех точек доступа в инфраструктуру, то это отличный централизованный механизм поиска, анализа и мониторинга, который найдёт своё место во внутреннем центре реагирования.
Предитог
Чтобы у читателя была возможность не перечитывать весь этот длинный текст, а тезисно записать основное про PAM:
· Идентификация и аутентификация пользователей с расширенным набором прав
· Мониторинг деятельности административных аккаунтов
· Сбор статистики, ведение журнала
· Анализ аномальной активности, выявление действий, которые могут нести угрозу ИБ
· Организация защищённого хранилища учётных записей
· Предоставление единой точки входа с разными механиками
· Адаптивное понижение разрешений до уровня, достаточного для выполнения задачи
· Блокировка использования неизменяемых логинов и паролей в сторонних приложениях
· Уход от бесконтрольного использования разделяемых учётных записей (root, admin)
Всё это вместе позволит построить хорошую и надёжную систему безопасности с Just-in-Time, ZeroTrust и NG уровнями управления привилегированными пользователями, как на иллюстрации.
Будущее, как видим его не только мы
Выше я обещал рассказать про зарубежных коллег, но сразу оговорюсь, что ничего уж слишком необычного они не говорят.
Рынок PAM-систем растет год от года. У нас, кстати, тоже. Производители стараются сделать свои решения удобнее и эффективнее не только для офицеров безопасности, но и для пользователей. Все развивают то, что востребовано, в порядке живой очереди:
В первую, они рассуждают о том, что вот-вот наступит «облачное счастье». Чтобы оно было радужным, то и там должен появится PAM для доступа к облачным сервисам — CIEM (Cloud Infrastructure Entitlement Management). Сказать, что в России это произойдёт совсем скоро, крайне сложно, но рано или поздно мы тоже можем погрузится в облачную жизнь с головой. Так что мы готовимся.
Во вторую, развитие концепции Just in Time Privilege. То есть активное развитие технологий предоставления доступа к привилегированной сессии, в том числе без прямого доступа через PAM-систему. А это значит, что появляются дополнительные агенты, которые помогают решать подобную задачу. Ничего удивительного в этом нет — будущее за простыми и дружелюбными подходами к работе. Ждём, надеемся и разрабатываем.
В третью, отмечается тенденция более явного выделения эскалации привилегий. Возможность не новая, но максимально зарекомендовавшая себя для удобства работы и прозрачного повышения привилегий, в том числе при работе в концепции Just in Time. Здесь российские разработчики не отстают — любим, практикуем, развиваем.
В целом все PAM-системы, вне зависимости от страны происхождения, смотрят в сторону удобства, масштабируемости и интеграции с другими сервисами. Один в поле не воин, вместе веселее и т.п.
Безопасного вам привилегированного доступа!
Habrahabr.ru прочитано 1277 раз
