Большинство современных компаний задумываются об управлении привилегированным доступом, потому что компрометация привилегий — обязательный этап кибератаки на ИТ-инфраструктуру. Соответственно, чем большую роль играет ИТ в бизнесе, тем актуальнее для компании вопрос защиты привилегированного доступа. В настоящее время управление привилегированным доступом существует в каждой компании, даже в тех, в которых нет специализированных инструментов и процедур. Разница заключается в степени зрелости этого процесса.
Эксперты ИБ выделяют 4 ступени зрелости управления привилегированным доступом. Каждая ступень характеризуется своим набором и объемом привилегированных учетных записей, уровнем автоматизации процессов управления привилегиями и возможностями интеграции с другими решениями. На требования к управлению привилегированным доступом на разных ступенях зрелости можно ориентироваться при планировании дорожной карты развития PAM (privileged access management, управления привилегированным доступом).
Нулевая ступень
Компания находится на нулевой ступени, если осознает риск неконтролируемого привилегированного доступа и планирует действия по организации управления привилегированным доступом
На этой ступени привилегии часто предоставляются вручную и отслеживаются с помощью электронных таблиц. В результате у пользователей появляются избыточные привилегии, а в компании возникают совместно используемые и «сиротские» (забытые) учетные записи. ИТ и ИБ не отслеживают сеансы привилегированного доступа, не контролируют, какие инструменты администраторы используют для выполнения своих задач, и позволяют им принимать независимые решения относительно привилегированного доступа и разрешений.
Компании на нулевой ступени зрелости PAM имеют высокую степень риска. Если внешний злоумышленник или злоумышленник-инсайдер получит доступ к привилегированным учетным записям, то сможет похитить конфиденциальную информацию, персональные данные, нарушить работу ИТ-инфраструктуры (вплоть до ее остановки) и привести к крупным финансовым потерям.
Первая ступень
Компания находится на первой ступени, если она представляет свою поверхность атаки на привилегии и уже предпринимает действия по ее контролю и уменьшению.
Для этого учетные записи помещаются в хранилище, определяется процедура получения привилегированного доступа, берутся под контроль совместно используемые привилегированные учетные записи. На этом этапе пока еще отсутствует централизованная политика доступа, вместо нее используются разрозненные инструменты и практики, нет общей картины использования учетных записей.
На первой ступени компании начинают внедрять PAM, но могут возникать сбои в бизнес-операциях, связанные с тем, что не ко всем служебным учетным данным организован доступ через PAM. Это вызывает негативный пользовательский опыт, недоверие к PAM и затрудняет внедрение решений.
Вторая ступень
На второй ступени зрелости компании начинают сокращать число пользователей с чрезмерными привилегиями и распространять практики PAM на бизнес-пользователей, разработчиков, подрядчиков.
На этой ступени удаляются многочисленные привилегированные учетные записи администраторов, оставляя им только личную учетную запись, лишенную расширенных прав. Привилегии предоставляются по необходимости и жестко контролируются. Это позволяет сократить поверхность атаки. Для решения вопроса защиты веб-приложений и облачных приложений компании начинают централизованно управлять доступом к ним и применять контроль доступа на основе ролей (RBAC).
Внедрение процессов PAM становится одним из основных приоритетов в стратегии информационной безопасности компании. Компании, находящиеся на этом уровне, стремятся к постоянному совершенствованию методов обеспечения безопасности привилегированных пользователей.
Третья ступень
На этой ступени зрелости фокус направлен на повышение уровня автоматизации, что выводит непрерывное совершенствование процессов PAM на новый уровень.
В компаниях с третьей степенью зрелости PAM-инструменты полностью и автоматически управляют всем жизненным циклом привилегированных учетных записей. Они интегрированы с другими инструментами безопасности и формируют многоуровневую защиту, чтобы прервать атаку в нескольких точках. Каждая запись считается привилегированной, формируется консолидированное представление обо всех учетных записях, учетных данных, доступе и разрешениях пользователей для всех типов привилегированных учетных записей компании.
Именно на этой ступени компании получают точную картину всех служебных учетных записей и их зависимостей. Процессы управления привилегиями выстроены так, что они не вызывают сбоев в бизнес-процессах.
Зрелое управление привилегированным доступом способно бороться с атакой на любом этапе. С ростом зрелости процесса управления привилегированным доступом повышается уровень автоматизации управления привилегиями и доступом, степень интеграции с ИТ- и ИБ-системами и число управляемых учетных записей. Статические политики первых ступеней становятся все более гранулированными и динамичными. Реализовать это можно только с помощью автоматизированных инструментов управления привилегированным доступом — PAM-систем. Без PAM-систем компании не могут подняться с нулевой ступени и остаются в зоне высокого риска.