По данным исследований 68% инцидентов в сфере ИБ происходят из-за действий пользователей. Но не все пользователи наносят одинаковый ущерб. Главный бухгалтер с доступом ко всей финансовой документации компании или lead-разработчик, ответственный за весь код компании, могут случайно или специально нанести компании больше ущерба, чем рядовые пользователи. Один из способов защиты — PAM-системы. Расскажем, от каких опасностей они защищают, чем полезны и как работают.
Кто такие привилегированные пользователи и чем опасны их действия?
Привилегированные пользователи — это пользователи с расширенными правами доступа к данным, критичным для работы компании. Например, главный бухгалтер работает с данными о заработной плате, счетах сотрудников и компании, транзакциях с клиентами и партнерами. Руководители отдела продаж имеют доступ к персональным данным клиентов, разработчики, инженеры и системные администраторы — доступ к корпоративной инфраструктуре. Специальная или случайная утечка данных, которые имеют большое значение для компании, может привести к репутационным, финансовым и операционным рискам.
Репутационные риски. Если личные данные клиентов или соискателей попадают в открытый доступ, то, как минимум, часть из них перестает быть лояльна к компании. Если же в открытом доступе окажутся персональные данные сотрудников, это может привести к увольнениям или судебным искам.
Операционные риски. Из-за утечек данных или взлома инфраструктуры компания может лишиться возможности выполнять свои функции. Например, если злоумышленник уничтожит базу данных с финансовыми операциями, то ее восстановление займет от нескольких недель до месяцев. В это время компании будет сложнее проводить транзакции с сотрудниками, партнерами и клиентами.
Финансовые риски. Злонамеренные действия пользователей могут привести к финансовым рискам. Например, клиенты компании, которые пострадали от утечек данных по вине компании, могут подать к ней иск и выиграть весомые суммы или полностью отказаться от сотрудничества.
Главная проблема в том, что в компании не один и не два привилегированных пользователя. Без специальных инструментов почти невозможно контролировать действия пользователей и оперативно реагировать на них.
Какие задачи решают РАМ-системы?
PAM-системы — это системы управления доступами привилегированных пользователей. Они помогают:
- регулировать права доступа для разных ролей,
- обеспечивать безопасный вход в инфраструктуру компании,
- вести мониторинг действий пользователей и оперативно реагировать на инциденты, — расследовать инциденты, если не получилось вовремя предотвратить.
Регулировать права доступа
Внутри PAM-системы можно настроить роли и каждой из них выдать ограниченное количество прав доступа. Например, пользователь с ролью «бухгалтер» получит доступ только к папкам с финансовой информацию, а пользователь с ролью «инженер DevOps» только к реестрам, в которых записаны данные о серверах. Можно выдать роль только на определенный период, например, на три дня, или назначить расписание, чтобы у пользователя доступ к ресурсам открывался только в пятницу в рабочие часы.
Настроить безопасный доступ к ресурсам компании
Для этого в PAM-системах используется мультифакторная аутентификация. При входе на ресурсы компании пользователю нужно не только ввести логин и пароль, но и использовать второй фактор — например, ввести код, полученный с помощью смс, уведомления, звонка.
Вести мониторинг действий
Все действия пользователя фиксируется в PAM-системах с помощью текстового или видеолога. В логе можно увидеть, какие файлы открывал или копировал пользователь, какие приложения устанавливал.
- В режиме реального времени можно обнаружить, что пользователь совершает противоправные действия и принять меры, например, отключить его от сессии.
- Кроме этого, можно контролировать всех пользователей в системе. В любой момент увидеть, сколько из них привилегированных, сколько активных сессий включен 2 фактор у всех или нет и какие приглашения еще не приняты сотрудниками.
Расследовать инциденты, связанные с привилегированными пользователями.
В случае утечки данных или другого инцидента PAM-система предоставляет детальные логи. Администратор сможет отследить, кто и когда получил доступ к данным, с какого устройства и какие действия совершил. Детальный лог можно скачать или просмотреть через интерфейс. Также можно обратиться к журналу событий и увидеть, кто именно пользовался ресурсами, узнать его логин и ip, увидеть все сессии пользователей, в том числе активные.
Как работает РАМ-система?
Объясним принцип работы PAM-системы в двух вариантах изложения: простыми словами и с техническими подробностями.
Работа PAМ-системы похожа на работу администратора в отеле.
1. Заселение.
На ресепшне гости называют себя и предъявляют документы, чтобы подтвердить личность.
При входе на сервер пользователи сначала вводят логин и пароль, а затем подтверждают вход через второй фактор — это равноценно проверке документов.
Затем администратор сверяет бронь и заполняет карточку посетителя, чтобы выдать гостю ключи.
В PAM-системе проверяют права пользователя и разрешают доступ к данным.
2. Выдача ключей
Администратор выдает ключи от номера или карту. Если у гостя есть вип-доступ, он может пользоваться мини-баром.
Привилегированный пользователь получает права администратора и может править код, выгружать какие-то данные и перезагружать машины.
3. Контроль со стороны администратора
Администратор всегда может узнать, в гостинице ли посетитель, взял ли он ключи от номера. Кроме этого, по камерам наблюдения можно уточнить, не заходит ли он в служебные помещения, в которым у него нет доступа.
На сервере так же непрерывно ведется запись происходящего. Фиксируется, как пользователь открывает папки, копирует файлы, вводит команды на серверах.
Почему стоит внедрить РАМ уже сегодня?
В условиях растущих киберугроз и ужесточения регуляторных требований PAM-система становится не просто полезным инструментом, а необходимостью. Она защищает ваш бизнес от финансовых потерь, репутационных рисков и операционных сбоев, обеспечивая при этом прозрачность и контроль над действиями привилегированных пользователей.