Привилегированный доступ: тренды угроз и прогноз рынка PAM-систем

Защита от внутренних угроз — важнейший пласт кибербезопасности, ведь большинство инцидентов по статистике относится именно к этой категории. Сотрудники по ошибке или со злым умыслом могут компрометировать чувствительные данные своей организации. Этот риск еще выше для привилегированных пользователей — то есть тех, у кого есть расширенный доступ к информационным системам организации, сетевой инфраструктуре и конфиденциальным сведениям. Как правило это администраторы информационных систем, а также внешние подрядчики (например, поставщики новых приложений). За счет широких полномочий они могут изменять конфигурацию информационных систем или оборудования, отключать системы безопасности, использовать конфиденциальную информацию.

Для контроля доступа привилегированных пользователей к информационным системам организации используется такое ИБ решение как PAM-система (Privileged Access Management). Оно позволяет выдавать гранулированный доступ для привилегированных сотрудников — минимально достаточные полномочия для выполнения рабочих задач. Объем полномочий определяется регламентом организации и настроенными правилами подключения. Другая важная функция —контроль действий пользователей в течение всей рабочей сессии. Через веб интерфейс администратора можно наблюдать происходящее в режиме реального времени или посмотреть в формате видео уже завершенную сессию: PAM фиксирует весь трафик. Если инцидент все же произошел и необходимо расследование, можно выгрузить запись и передать специалистам на изучение.

Например, в практике «Солара» был случай, когда PAM-решение SafeInspect помогло выявить недобросовестное поведение компании-подрядчика, которой заказчик передавал на аутсорс обслуживание своей информационной системы. При планировании бюджета на следующий год встал вопрос о снижении стоимости услуг: система не обновлялась, инциденты возникали 1–2 раза в год.

Спустя несколько недель после переговоров о снижении бюджета в системе произошла критическая авария: подрядчик намеренно организовал инцидент, чтобы убедить заказчика в необходимости своих услуг. Благодаря использованию PAM-системы в прозрачном режиме подключения (режим сетевого моста, уровень L2 модели OSI), подрядчик не знал, что его действия контролируются в режиме реального времени. В ходе расследования инцидента была изучена запись сессии и установлены неправомерные действия.

По сути, PAM-решения реализуют сценарий атаки «человек посередине» (MITM, Man in the middle) — система устанавливается в сети между пользователем и ресурсом, к которому пользователю нужен доступ. PAM становится промежуточным звеном: перехватывает трафик и для пользователя представляется целевым ресурсом, а для ресурса — пользователем. В случае с реальной атакой при такой подмене сообщений выполняются несанкционированные действия, PAM-решения же преследуют благие цели: держать под контролем работу администраторов и предотвращать нарушения.

Общая тенденция 2023 года — более упорядоченные действия хакеров. Злоумышленники действуют не наугад, а готовятся к атаке, используя широкий арсенал инструментов: и брутфорс (метод подбора учетных данных), и рассылку вирусов, и методы социальной инженерии. В своей практике «Солар» столкнулся с такой схемой: используя известные уязвимости решения OpenSSH, злоумышленники сканируют учетные записи, чтобы найти активные профили администраторов. Затем атакующий пытается подобрать пароль методом перебора символов. Если метод срабатывает, хакеры получают доступ к учетным записям с широким кругом полномочий и могут нанести ущерб компании.

Использование PAM-системы позволяет избежать самой возможности кражи паролей благодаря функции подмены паролей и подстановки данных учетных записей. Для каждого нового подключения привилегированного пользователя создается новый уникальный пароль. Этот пароль неизвестен пользователю — SafeInspect самостоятельно подставляет его при подключении к нужной системе, перехватить пароль извне невозможно. По окончании сессии пароль перестает действовать. Таким образом, описанная выше атака становится невозможной, метод перебора паролей не сработает, злоумышленники не смогут получить данные от учетных записей.

Важно, что по статистике первым шагом атаки становится человеческий фактор: люди совершают ошибки по рассеянности, попадаются на уловки социальной инженерии, используют небезопасные практики, чаще всего слабые, повторяющиеся и несменяемые пароли. В 2023 году «Солар» подвел итоги масштабного проекта по внешнему и внутреннему тестированию на проникновение. Преодолеть внешний периметр удалось в 65%, а внутренний, используя доступ сотрудника — в 100% случаев. Получается, что случайная ошибка пользователя может открыть преступникам лазейку и привести к атаке, которая почти наверняка окажется успешной.

Кроме того, собственные привилегированные пользователи и внешние работники (аутсорсеры или интеграторы) иногда злоупотребляют своим положением или несанкцированно передают конфиденциальную информацию в своих интересах или за вознаграждение злоумышленника. Также они могут намеренно саботировать работу систем: отключать их, намеренно изменять конфигурации приложений и устройств, устанавливать вредоносное ПО, а если компания сама занимается разработкой — создавать и внедрять вредоносный код. Такие угрозы особенно актуальны на фоне еще одного тренда: выросла доля хактивистов и идеологически мотивированных деструктивных атак, когда основная цель не финансовая выгода, а ущерб российской экономике.

Поскольку привилегированные учетные записи остаются под прицелом злоумышленников, PAM-решения востребованы, особенно среди компаний со зрелыми процессами ИБ и высокой степенью защищенностью периметра, которые готовы сосредоточиться на безопасности внутренних сетей. Динамика этого сегмента выше рынка решений управления доступом в целом: по прогнозу «Солар», рынок PAM будет расти на 7% ежегодно и превысит отметку в два миллиарда рублей к 2025 году.

Еще один стимул роста сегмента — регуляторные требования, включая политику импортозамещения и обязательный переход на отечественные решения к 1 января 2025 года для государственных компаний. Финансовым организациям нужно использовать технологические решения для фиксации событий доступа к критически важным системам, а также действий, совершаемых пользователями в системах — их деятельность находится под особым контролем регулятора, что отражено в ряде стандартов и регламентов.

Помимо перечисленных, организации любого сегмента рынка могут использовать PAM-системы, чтобы соблюсти требования регуляторов. Более того, само использование систем отвечает на проблему возможных штрафов в случае инцидентов. Ответственность за утечки персональных данных может значительно ужесточиться в новом году: в декабре в Госдуму был внесен законопроект, который предусматривает серьезное увеличение штрафов, от 3 до 15 миллионов рублей в зависимости от объема данных, а в случае повторного нарушения — 0,1–3% от выручки. 

Официально все зарубежные вендоры PAM-решений покинули российский рынок, но западные решения еще встречаются в инфраструктуре отдельных компаний: у кого-то еще не истек срок действия лицензий, у кого-то техподдержка осуществляется через партнеров или интеграторов. Среди отечественных решений есть достойные альтернативы, сочетающая общемировые тенденции и специфические потребности российских заказчиков. Эксперты прогнозируют, что в 2024 году производители будут расширять функциональные возможности решений для удаленного и облачного доступа, внедрять технологии машинного обучения и, в случае агентских решений, применение синергии технологий по защите привилегированного доступа и безопасности конечных точек.

Заметный тренд — движение в сторону экосистемности. Разработчики объединяют экспертизу различных направлений для обогащения продуктов знаниями об атаках и нападающих. В рамках портфеля вендора формируются системные предложения, объединяющие разные решения по управлению доступом, в том числе привилегированным.

С точки зрения подготовки кадров, для установки и настройки PAM-системы, как и для дальнейшего управления, не требуются специфические знания. Их интерфейс, как правило, интуитивно понятен, а всю необходимую информацию можно посмотреть в соответствующих разделах: записанные или активные сессии, отчеты и аналитика, настройки, сведения о системе. По этой причине нет жестких критериев отбора сотрудников — достаточно базового набора навыков и компетенций ИБ. В то же время, для интеграции новой системы в существующую инфраструктуру требуется квалификация более высокого уровня, но эта проблема решается за счет экспертной поддержки со стороны вендора или интегратора.

Более тонкий вопрос — традиционный «конфликт интересов» между подразделениями: ИТ специалисты могут негативно относится к внедрению новых систем ИБ и необходимости встраивать их в свои алгоритмы работы. Да и ИБ-специалисты, особенно молодые и с небольшим опытом работы, зачастую не до конца понимают необходимость той или иной технологии. Здесь сказывается несколько факторов: динамичность рынка ИБ и управления доступом, в частности, узкая специализация решений, а также отставание от актуальных тенденций программ обучения в вузах.

Многие заказчики осознают эту проблему, и это формирует определенные ожидания. Конкурентным преимуществом вендора становится опция проведения обучений по продуктам и технологиям среди непосредственных пользователей — сотрудников компании. Само решение должно быть легко и быстро настраиваемым, эргономичным, постоянно развивающимся. И даже в случае несложных в управлении PAM-систем важна сервисная поддержка на постоянной основе.

Юрий Губанов, руководитель отдела развития бизнеса и поддержки продаж Solar inRights, ГК «Солар»

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!