SavePearlHarbor

Что такое PAM и зачем он нужен

от автора

admin

Всем привет! На связи Константин Родин из «АйТи Бастион». Сегодня речь пойдёт о выбранной нами много лет назад нише в сфере ИБ, а именно – контроле привилегированного доступа. То есть те самые PIM PAM PUM, про которые вы могли слышать, а могли и не слышать. Но и в том и другом случае – вы с вероятностью 99% сталкивались с привилегированным доступом и последствиями его недобросовестного использования.

Вот уже почти 7 лет я смотрю изнутри на рынок систем контроля привилегированного доступа: прошёл путь от инженера техподдержки до руководителя отдела развития продуктов, строил комплексные интегрированные системы безопасного привилегированного доступа, видел, как при слове PAM закрывались двери (или меня просили закрыть дверь снаружи), а коллеги, связанные с АСУ ТП и КИИ, крутили пальцем у виска, комментируя эти три буквы невозможностью идти в тему внешних подключений, ибо их нет.

Но тема PAM раскрывалась виток за витком, удалённый доступ стал нормой во время пандемии коронавируса, проблемы с ним перешли на новый уровень: цепочки поставок лидируют в отчётах по атакам, и мы с коллегами приняли решение раскрывать тему PAM для широкого круга и выйти за пределы классического мира ИБ. 

Чтобы это не выглядело рекламой – сразу «на берегу» договоримся, что построить эффективную систему информационной безопасности в отдельно взятой компании можно, не покупая множество ИБ-решений, а ограничив этот набор минимально необходимым. Остаётся только связать всё это регламентами, процессами и исполнительными людьми, которые регламенты соблюдают и работают строго по процессам и правилам. Ну а для тех, кто знает, что всякое в жизни бывает, – и будет наш дальнейший лонгрид про флагманский продукт «АйТи Бастион» с ярким и запоминающимся названием СКДПУ НТ.

Итак, PIM-ы, PAM-ы и PUM-ы – это такие системы контроля, записи и поиска действий пользователей при удалённом доступе к серверам, сетевому оборудованию или же просто к бизнес системам (тут и веб-клиенты и 1С, и целый зверинец всего, что перечислять устанешь). Но речь не о простых пользователях, а тех, кто имеет такой уровень прав, что способны камня на камне не оставить, если воспользуются ими не во благо.

Начну с малого и постараюсь «на пальцах» показать, что это за системы, кому они нужны и какая магия скрыта под капотом PIM-PAM-PUM-ов.

На заре справедливости

Прежде чем говорить о самих системах, давайте посмотрим, что мы знаем о привилегированных учётных записях.

Если составить список типов пользователей, то получится вот такой богатый перечень:

  • Технические

  • Системные

  • Для управления устройствами

  • Администраторы

  • Разработчики и DevOps-ы

  • Приложения

  • Базы данных

  • Бизнес-пользователи (тут и генеральные директора тоже бывают)

Одним словом – почти все, кто в среднестатистическом офисе живёт, работает и появляется.

Ну а теперь про сами системы PIM PAM PUM.

Отдельным решениям контроля доступа привилегированных пользователей в ранние годы становления рынка ИБ не придавалось должного внимания. Это, с одной стороны, было вызвано особой спецификой их работы, небольшим «привилегированным» кругом лиц, к которым обычно есть безусловное доверие, и относительно небольшим «охватом» решаемых задач. С другой стороны, именно это и сформировало их уникальное положение на рынке.

Сама идея необходимости контроля привилегированных пользователей обусловлена стремительным ростом масштабов и сложности информационной инфраструктуры: с каждым годом число критических систем растёт, а следовательно, и людей, которые имеют к ней доступ. Для компаний данный факт создаёт дополнительные риски – финансовых и репутационных потерь, а в некоторых случаях даже и существования бизнеса в принципе.

Возникла ситуация, когда систем «общего назначения», к примеру SIEM, стало уже не хватать. IDM только управлял правами, а не событиями внутри доступов, логирование с целевых систем было полезно, но не эффективно, ведь привилегированный доступ это +- 10% от всех пользователей, а в некоторых случаях итого меньше.

А реальность всё била рекорды по целевым атакам через привилегированные учётки.

И тут мы оказываемся в 2024 году: в большинстве публичных кейсов утечек и взломов (а сколько таких историй удаётся скрыть!) крупные атаки начинались именно с привилегированного пользователя и его привилегированного доступа.

Вот так утекали учётки, согласно данным PositiveTechnologies:

Из отчёта PositiveTechnologies

Из отчёта PositiveTechnologies

Если кто-то ещё сомневается, что доступ надо контролировать, то вот ещё пара графиков наших коллег по цеху за 2024 год, где в явном виде показывается, что ваши учётки – самое ценное в мире компьютерной преступности. Большинство успешных атак начинается с их покупки, а далее, используя известные (и 0-day тоже) уязвимости, «злодеи» получают доступ к инфраструктуре с высоким уровнем (ВНИМАНИЕ) привилегий. Ну а потом крадут всё, до чего дотянутся, останавливают всё, что можно остановить, и шифруют всё, что шифруется.

Из отчёта PositiveTechnologies

Из отчёта PositiveTechnologies

А вот здесь исследователи Positive Technologies демонстрируют последствия:

Из отчёта PositiveTechnologies

Из отчёта PositiveTechnologies

Да, конечно, не все атаки были осуществлены через привилегированную учётку с самого начала, но так или иначе многие из них идут через удалённый доступ и учётку с нужными привилегиями, доступом в контур и возможностью повышать привилегии. То есть зачастую доступ пользователя с привилегиями используется на полную катушку.

Не пытаюсь никого напугать, просто информирую тех, кто не штудирует отчёты и популярные тренды атак. В общем, будьте бдительны, а я продолжу.

PIM PAM PUM: лига справедливости и контроля

Основная идея таких систем заключается в обеспечении полного контроля над происходящим во время сеансов работы на целевых устройствах (информационных системах, сетевом оборудовании и других ресурсах), к которым имеет доступ сотрудник, ответственный за их корректное функционирование, или обладающий неограниченным доступом. Основной акцент ранее делался на контроле доступа с использованием протоколов удалённого доступа RDP и SSH, но также возможен контроль доступа через HTTP(S) и клиентские приложения. Но в последнее время всё больше задач возникает с более точечным контролем бизнес-процессов и операций в ходе их выполнения. Тут речь уже идёт и о точечном контроле запросов к базам данных, и вызове API-запросов или же просто автоматизированных операциях между двумя информационными системами.

Но давайте по пунктам, зачем эти системы используются чаще всего:

1. Управление привилегированным доступом: PAM-решения регулируют привилегированный доступ всех сотрудников, партнёров, внешних поставщиков и других лиц, допущенных к информационной инфраструктуре. Они контролируют привилегированные сессии, осуществляют мониторинг и запись сеансов работы пользователей с повышенными правами, а также могут прерывать сессии в случае подозрительных действий.

2. Реализация принципа минимально достаточных полномочий: PAM-системы помогают контролировать пользователей с расширенными полномочиями, чтобы при необходимости можно было оперативно сузить круг прав для конкретных сотрудников.

3. Защита учётных записей и паролей: PAM-системы предотвращают утечку паролей, контролируя их хранение и смену, а также автоматически подставляя нужные пароли при аутентификации.

4. Формирование детализированной отчётности: PAM-системы предоставляют офицерам службы безопасности информацию о ситуации в периметре, что позволяет проводить быстрые и эффективные расследования инцидентов, связанных с привилегированным доступом.

5. Интеграция с другими ИБ-системами: PAM-решения легко интегрируются с разными классами продуктов информационной безопасности, такими как IdM, SIEM и DLP, что позволяет им совместно решать задачи обеспечения безопасности и контроля доступа.

Коротко о том, как они это делают: встают между пользователей и целевой системой – могут как прокси, а могут и просто хранить в себе пароль от целевой системы и никому не рассказывать, что напрямую подключиться нельзя. Так они становятся единой точкой доступа – пароли вводят сами при подключении, токены прокидывают, события фиксируют, на аномалии реагируют.

А теперь давайте заглянем под капот и посмотрим, что же там скрывается, и за счёт чего PAM стал таким востребованным?

Да-да – PAM это новый NGFW на рынке инфобеза России, да и мира в целом. В конце будет краткий пересказ отчёта ушедшего Gartner, если кто о таком ещё помнит.

PASM (Privileged Account and Session Management)

Все без исключения «контролёры контролёров» умеют «сессии строить и логи собирать», в мире это зовётся PASM.

И это история про то, чтобы была дополнительная аутентификация: сперва проверили на PAM, что пользователь вообще имеет право подключаться к важным системам, а заодно собрали полезные для анализа события.

Чем это полезно?

Есть админ Василий. У него есть разрешённый доступ к PAM. Логин в PAM у него может быть совсем не тот, что в его родном домене компании (может, конечно, быть любой, но мы сейчас про очень безопасную безопасность). Доступ Василия на PAM через УЗ vasya. Есть у него также доступ к трём серверам, но не просто доступ, а рутовый под учёткой root.

Если вы уже тут хотите сказать, что так делать нельзя, и у него должна быть своя именная учётка, то спешу разочаровать – так бывает далеко не всегда, и сейчас я описываю граничный сценарий.

Как же без PAM понять, кто у нас сегодня root? В общем виде – никак. А PAM позволит сказать, что под учёткой root работает именно vasya.

Конечно, чаще всего сценарии сильно сложнее, но концепция, когда доступа к серверам и оборудованию напрямую нет, – достаточно распространённая. То есть существует разделение между доступом в одну сеть под доменом, который связан с PAM, и другим доменом, который изолирован, а доступ можно получить только через дополнительный контроль.

Но и это ещё не вся задача PAM-системы при доступе. Мало кто хочет, чтобы пользователи просто так гуляли туда-сюда. У нас же большая компания и есть бизнес-процессы. А значит, нужно это всё автоматизировать и сделать так, чтобы просто так без заявки на работы никто не подключался к критически важной системе. И тут на помощь приходят механизмы подтверждения доступа.

Согласовывать доступ можно как во время обращения к ресурсу, так и заранее. Важно, что учитывается не только возможность запроса доступа, но и определение нескольких подтверждающих (например, кворум голосов или цепочки согласования), что может быть полезным при доступе к информационным системам, находящимися на границе владения нескольких служб. А если сделать интеграцию с внешними сервисами, такими как системы заявок, то это снижает необходимость ручного контроля и позволяет эффективно использовать ресурсы.

Ну вот Василий подключился и теперь дело за малым – собрать всю информацию о его действиях. Здесь у проверенного в боях PAM-а следующие возможности:

  • клавиатурный ввод

  • заголовки окон

  • содержимое буфера обмена, включая текст и файлы

  • информация о процессах

  • текстовое содержимое элементов интерфейса (чекбоксы, табы и прочее, до чего можно дотянутся)

  • видео всего, что происходило

Картинка как доказательство, что не шутим:

Анализ и контроль возможен вне зависимости от используемого протокола, будь то

  • RDP и xRDP

  • SSH

  • Telnet

  • VNC

  • RawTCP

  • SQL

  • HTTP(S)

Secrets Manager

Секреты – наше всё, потому хранить их надо надежно и менять регулярно.

И вот, чтобы пользователя не мучать количеством месяцев, а их учётки имели надёжный пароль – появляется на сцене Менеджер паролей. Он и хранит у себя пароли и меняет их регулярно: и по расписанию, и по событию (к примеру, при закрытии сессии доступа). Посмотреть его тоже даёт, если права и разрешения на это есть.

А менять пароли можно много где: в винде и линуксе, сетевом оборудовании, гипервизорах и т.п. Одним словом, куда PAM-у дали доступ на удалённую смену и управление паролями.

На этом про менеджер паролей всё.

UBA

Раз пользователя пустили и события записали, то надо и сотруднику отдела ИБ помочь с этими данными разобраться. Так мы пришли к возможностям анализа поведения.

В простейшем случае – это реакция на события, например, подключение, а в более продвинутом – собственная аналитическая система, способная на основе математических моделей или механизмов машинного обучения детально анализировать события в привязке пользователь-событие-цель. Целей здесь несколько, и самая очевидная – превентивная реакция на действия пользователя. Переход от исторической модели «пока гром не грянет» к «обнаружению аномалии, анализу аномалии и предотвращению значительного ущерба до возникновения инцидента».

До недавнего времени такой функционал был доступен только в иностранных решениях, и это просто исторический факт – там этот класс продуктов развивался раньше, и интерес к автоматизации в принятии решений «машиной» тоже. Но недавно ситуация изменилась, и отечественные системы также начали предлагать достойные реализации такого подхода.

Какой профит для конкретного сотрудника, ответственного за предоставление доступа?

Во-первых, отсутствие необходимости вручную просматривать все сессии подряд или выбирать случайные сессии в надежде найти проблемы. Система выделит те сессии, в которых будут обнаружены аномалии в действиях. Конечно, полноценный ИИ ещё не используется, но даже такие модели могут обучаться, в том числе на информации от сотрудника, который обрабатывает их как ложные или положительные срабатывания. Таким образом, вы экономите своё время и повышаете скорость реакции на потенциальные инциденты.

Во-вторых, поскольку события связаны с конкретным пользователем, накапливается его цифровой профиль, что помогает быстрее анализировать не события, а конкретного человека на предмет правильности его действий в инфраструктуре. Это также позволит проводить анализ на совершенно другом уровне без использования других решений.

В-третьих, если система позволяет собирать информацию со всех точек доступа в инфраструктуру, то это отличный централизованный механизм поиска, анализа и мониторинга, который найдёт своё место во внутреннем центре реагирования.

Предитог

Чтобы у читателя была возможность не перечитывать весь этот длинный текст, а тезисно записать основное про PAM:

  • Идентификация и аутентификация пользователей с расширенным набором прав

  • Мониторинг деятельности административных аккаунтов

  • Сбор статистики, ведение журнала

  • Анализ аномальной активности, выявление действий, которые могут нести угрозу ИБ

  • Организация защищённого хранилища учётных записей

  • Предоставление единой точки входа с разными механиками

  • Адаптивное понижение разрешений до уровня, достаточного для выполнения задачи

  • Блокировка использования неизменяемых логинов и паролей в сторонних приложениях

  • Уход от бесконтрольного использования разделяемых учётных записей (root, admin)

Всё это вместе позволит построить хорошую и надёжную систему безопасности с Just-in-Time, ZeroTrust и NG уровнями управления привилегированными пользователями, как на иллюстрации.

Будущее, как видим его не только мы

Выше я обещал рассказать про зарубежных коллег, но сразу оговорюсь, что ничего уж слишком необычного они не говорят.

Рынок PAM-систем растет год от года. У нас, кстати, тоже. Производители стараются сделать свои решения удобнее и эффективнее не только для офицеров безопасности, но и для пользователей. Все развивают то, что востребовано, в порядке живой очереди:

В первую, они рассуждают о том, что вот-вот наступит «облачное счастье». Чтобы оно было радужным, то и там должен появится PAM для доступа к облачным сервисам – CIEM (Cloud Infrastructure Entitlement Management). Сказать, что в России это произойдёт совсем скоро, крайне сложно, но рано или поздно мы тоже можем погрузится в облачную жизнь с головой. Так что мы готовимся.

Во вторую, развитие концепции Just in Time Privilege. То есть активное развитие технологий предоставления доступа к привилегированной сессии, в том числе без прямого доступа через PAM-систему. А это значит, что появляются дополнительные агенты, которые помогают решать подобную задачу. Ничего удивительного в этом нет – будущее за простыми и дружелюбными подходами к работе. Ждём, надеемся и разрабатываем.

В третью, отмечается тенденция более явного выделения эскалации привилегий. Возможность не новая, но максимально зарекомендовавшая себя для удобства работы и прозрачного повышения привилегий, в том числе при работе в концепции Just in Time. Здесь российские разработчики не отстают – любим, практикуем, развиваем.

В целом все PAM-системы, вне зависимости от страны происхождения, смотрят в сторону удобства, масштабируемости и интеграции с другими сервисами. Один в поле не воин, вместе веселее и т.п.

Безопасного вам привилегированного доступа!


ссылка на оригинал статьи https://habr.com/ru/articles/872482/

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *