Обзор рынка систем управления привилегированным доступом (Privileged Access Management, PAM) 2022

Обзор рынка систем управления привилегированным доступом (PAM) 2022

Обзор рынка систем управления привилегированным доступом (PAM) 2022

Системы управления доступом привилегированных пользователей (Privileged Access Management, PAM) обеспечивают безопасность подключения и работы с целевыми системами применительно к сотрудникам и внешним подрядчикам с расширенным набором прав. PAM дают возможность не только защитить соединение, но и осуществлять его мониторинг.

 

 

 

 

 

  1. Введение
  2. Мировой рынок систем управления привилегированным доступом
  3. Российский рынок систем управления привилегированным доступом
  4. Зарубежные системы управления привилегированным доступом
    1. 4.1. ARCON Privileged Access Management
    2. 4.2. BeyondTrust Password Safe
    3. 4.3. CyberArk Privileged Access Manager
    4. 4.4. Delinea Secret Server
    5. 4.5. Fudo PAM
    6. 4.6. Krontech Single Connect
    7. 4.7. One Identity Safeguard
    8. 4.8. Senhasegura PAM Core
    9. 4.9. Symantec Privileged Access Management
    10. 4.10. Wallix Bastion
  5. Российские системы управления привилегированным доступом
    1. 5.1. Indeed Privileged Access Manager
    2. 5.2. Infrascope
    3. 5.3. SafeInspect
    4. 5.4. Web Control sPACE
    5. 5.5. СКДПУ НТ
  6. Выводы

Введение

Всех пользователей, имеющих доступ к ИТ-инфраструктуре компании, можно разделить на две неравнозначные группы. К большей из них относятся рядовые сотрудники, подключающиеся к корпоративной сети для доступа к определённым информационным системам, необходимым им для выполнения должностных обязанностей. Бухгалтерия, маркетинг, продажи, производство — для работников каждого подразделения можно определить свой круг ресурсов, зачастую не пересекающийся с другими.

Задача обеспечить контроль доступа, не допустить утечек данных и возникновения других киберинцидентов для таких пользователей решается через классические инструменты информационной безопасности — средства идентификации и доступа (Identity Management / Identity and Access Management, IdM / IAM), системы противодействия краже информации (Data Leak Prevention, DLP), IGA-решения (Identity Governance and Administration) для управления учётными записями.

Однако кроме «обычных» сотрудников в каждой корпоративной информационной системе существует далеко не столь широкая, но чрезвычайно важная категория пользователей с расширенным набором прав. В первую очередь это — администраторы сетевой инфраструктуры и отдельных программных продуктов, порой обладающие практически неограниченными возможностями, в том числе из-за отсутствия контроля. Это и руководители различных уровней, которые по роду своей деятельности должны работать с критически важной информацией. К той же группе можно отнести различных подрядчиков, имеющих доступ к целевым системам: аудиторы, фрилансеры, технические специалисты, которые находятся за пределами контура безопасности компании.

Такие привилегированные пользователи являются источниками значительных рисков с точки зрения информационной безопасности. В первую очередь это связано с вероятностью компрометации их аккаунтов. Злоумышленники, которые получили доступ к учётной записи администратора, способны нанести гораздо больше ущерба, чем при взломе рядового аккаунта. Другая потенциальная киберугроза — намеренные вредоносные действия со стороны привилегированных пользователей. Проблема не является надуманной: по итогам 2020 года доля умышленного «слива» конфиденциальной информации в российских компаниях составляла 76,8 %, а по всему миру — 47,9 %. По мнению экспертов, в 2022 году от 30 до 50 % киберинцидентов в банковской сфере произойдёт по вине сотрудников финансовых организаций.

Для решения этих проблем за счёт контроля работы пользователей с расширенным набором прав существует отдельный класс решений — системы управления привилегированным доступом (Privileged Access Management, PAM). В общем случае такие системы позволяют:

  • Предоставлять ограниченный по времени, гранулированный и защищённый доступ к целевым системам.
  • Реализовывать принцип «just-in-time», временно выдавая конкретному пользователю необходимый набор прав для работы с определённым ресурсом.
  • Вести протоколирование и запись сеанса работы, его мониторинг в настоящем времени, а также хранить полные данные для последующего аудита и расследования.
  • Управлять паролями — хранить их в защищённой базе данных, генерировать и обновлять их в соответствии с политиками безопасности, по запросу или заранее установленному расписанию.
  • Реализовывать принцип единого входа (Single Sign-On, SSO), избавляя от необходимости вводить учётные данные для доступа к целевым системам после авторизации на портале PAM.
  • Проводить поведенческий анализ действий пользователя и осуществлять реагирование на аномальную активность.

Также PAM-системы активно используются для контроля внешних подрядчиков, учёта их рабочего времени, анализа эффективности работы, определения затраченных ресурсов. Ещё один сценарий использования PAM — анализ действий администратора, приведших к сбою той или иной системы. Протоколирование и запись сеанса позволяют быстро восстановить вышедшие из строя ресурсы и снизить время их простоя. 

Мы уже дважды выпускали обзоры мирового и отечественного рынков систем управления привилегированным доступом — в 2016 и 2020 годах. Настало время ещё раз взглянуть на эту область информационной безопасности, обозначить лидеров индустрии и познакомиться с новыми игроками.

Мировой рынок систем управления привилегированным доступом

По мнению специалистов компании BrandEssence, объём мирового рынка Privileged Access Management в 2021 году составил 2,9 млрд долларов США, а к 2028 году может достигнуть более чем 12 млрд долларов. Такие перспективы неизбежно привлекают в сегмент значительное количество игроков и создают в нём насыщенную конкурентную среду. На странице отзывов и рейтингов Gartner в категории PAM представлены десятки продуктов и сервисов, разработанных как старожилами рынка, так и новыми игроками.

В своём докладе, выпущенном в июле 2022 года, Gartner отмечает, что иструменты Privileged Access Management можно разделить на четыре типа в соответствии с их функциональными возможностями.

  • Решения Privileged Account and Session Management (PASM) предназначены для управления доступом пользователей к целевым системам — от ввода учётных данных до мониторинга и записи сессии. Это — «классические» функции PAM, зачастую обогащённые возможностями управления паролями и предоставления удалённого привилегированного доступа.
  • Системы Privilege Elevation and Delegation Management (PEDM) представляют собой агентские решения, выдающие пользователям привилегии в рамках одного хоста. Обычно такие продукты способны самостоятельно обнаружить локальные учётные записи на уровне как системы, так и конкретных приложений. Стимулами развития инструментов PEDM нередко являются требования регулирующих органов по соответствию стандартам для ряда отраслей (PCI DSS, SOX и т. п.).
  • Secrets Management — средства управления жизненным циклом паролей, ключей SSH, одноразовых токенов и других секретных кодов. Подобные системы позволяют безопасно хранить и использовать пользовательские пароли, а также обмениваться учётными данными между приложениями. Ещё одной востребованной функцией этих решений является работа с паролями в цикле DevSecOps.
  • Сервисы Cloud Infrastructure Entitlement Management (CIEM) обеспечивают идентификацию пользователя и управление его правами доступа в мультиоблачной среде, а также обнаружение аномалий в правах облачных учётных записей и реализацию политики минимальных привилегий.

Безусловно, это разделение носит условный характер. Часть вендоров действительно сегментирует свои разработки, предлагая на рынке отдельные PASM, системы управления паролями и средства менеджмента привилегий в облаке. При этом другие производители, напротив, насыщают флагманские PAM-продукты максимальным количеством функций, делая из них универсальные комбайны, подходящие широкому кругу заказчиков. Конкуренция стимулирует разработчиков добавлять и не совсем типичные для PAM возможности — например, модули анализа эффективности работы сотрудника или внешних пользователей. При этом на рынке выделяются два противоположных тренда: с одной стороны, актуальность темы привлекает новых игроков и подталкивает всех участников к активному развитию своих продуктов, с другой — активный рост сегмента не предоставляет явного преимущества какому-то одному подходу. В данный момент нельзя однозначно отдать преимущество ни комплексным системам, ни портфелю отдельных нишевых продуктов.

 

Рисунок 1. «Магический квадрант» Gartner в сегменте Privileged Access Management по состоянию на июль 2022 года

«Магический квадрант» Gartner в сегменте Privileged Access Management по состоянию на июль 2022 года

 

В «магическом квадранте» Gartner по состоянию на 2022 год выделены следующие лидеры сегмента PAM: ARCON, BeyondTrust, CyberArk, Delinea, One Identity и Wallix. По сравнению с анализом четырёхлетней давности из передовых игроков в нишевые ушла Broadcom с решением Symantec, некоторые компании были поглощены (например, Centrify ушла под крыло Delinea), а некогда небольшие игроки (ARCON и Wallix) заняли место в правой верхней части квадранта. Исходя из такого расположения игроков, а также имея в виду, что некоторые PAM-вендоры, не вошедшие в отчёт, хорошо известны российским заказчикам, мы решили включить в обзор зарубежного рынка следующие продукты:

  • ARCON Privileged Access Management.
  • BeyondTrust Password Safe.
  • CyberArk Privileged Access Manager.
  • Delinea Secret Server.
  • Fudo PAM.
  • Krontech Single Connect.
  • One Identity Safeguard.
  • Senhasegura PAM Core.
  • Symantec Privileged Access Management.
  • Wallix Bastion.

Российский рынок систем управления привилегированным доступом

О развитии отечественного рынка PAM-решений можно судить по результатам проведённого нами в 2021 году исследования. Тогда наши эксперты оценили объём сегмента PAM в 1,2 млрд рублей, а его долю среди решений для управления доступом и учётными записями — в 12,8 %. Очевидно, что сегмент не демонстрирует такого бурного роста, как за рубежом: число вендоров, которых интересует развитие продуктов для контроля привилегированного доступа, по-прежнему незначительно. Это можно объяснить двумя факторами:

  • Privileged Access Management почти не попадает в область государственного регулирования, которое является одним из главных стимулов для рынка в нашей стране. По сути, PAM является полезным, но необязательным дополнением к системе ИБ.
  • Процесс импортозамещения сосредоточен сейчас на наиболее востребованных продуктах в ключевых сегментах. Срочные задачи замены зарубежных систем в первую очередь касаются продуктов и сервисов, которые (опять же) попадают в сферу действия нормативных актов. До всего остального пока не доходят руки — ни у заказчиков, ни у вендоров.

Как и любая проблема, такое положение дел заключает в себе и перспективы для роста. Дискуссия, которую мы провели в рамках проекта AM Live, показала, что потенциальные заказчики заинтересованы в реальных решениях, которые повысят защищённость их компаний. Отечественные вендоры, со своей стороны, демонстрируют разнообразие подходов к построению своих продуктов и даже небольших PAM-экосистем.

В обзор российского рынка систем управления привилегированным доступом мы включили следующие разработки:

  • Indeed Privileged Access Manager.
  • Infrascope.
  • SafeInspect.
  • Web Control sPACE.
  • СКДПУ НТ.

Зарубежные системы управления привилегированным доступом

 

 

ARCON Privileged Access Management

Компания ARCON предлагает заказчикам собственную систему Privileged Access Management (PAM), которая по мнению Gartner является одним из лидеров сегмента. Продукт позволяет упорядочивать взаимодействие привилегированных пользователей с инфраструктурой компании, предоставляя или отзывая доступ к определённым информационным активам.

Управление доступом к целевым ресурсам происходит на основе правил и ролей, назначаемых в соответствии с принципом наименьших привилегий. Пользователь получает доступ только к тем данным, которые ему необходимы, и никаким другим. Система даёт возможность создать унифицированную матрицу контроля доступа для мониторинга привилегированных аккаунтов. При этом неважно, где находятся ресурсы, с которыми работает пользователь — на локальных серверах, в облаке, центре обработки данных или в гибридной среде.

ARCON Privileged Access Management включает в себя функции отслеживания местоположения данных и позволяет увидеть, кто и когда обращался к конкретному файлу или редактировал его. Офицер безопасности имеет возможность контролировать каждый привилегированный сеанс в режиме реального времени, а также получать логи работы (текст, видео).

Возможности ARCON Privileged Access Management:

  • Механизм многофакторной аутентификации (MFA) для доступа ко всем защищаемым ресурсам.
  • Единая точка входа (SSO) для подключения ко всем целевым системам без повторного ввода пароля.
  • Высоконадёжное хранилище паролей, которое генерирует сложные динамические пароли и автоматически меняет их в соответствии с заданными настройками.
  • Возможность автоматически генерировать временные права доступа на основе правил и ролей через консоль Amazon Web Services (AWS) или интерфейс командной строки.
  • Мониторинг сеанса в режиме реального времени для контроля всех привилегированных действий через единый командный центр.

Подробную информацию о системе ARCON Privileged Access Management можно найти на сайте разработчика.

 

 

BeyondTrust Password Safe

Американский вендор BeyondTrust придерживается стратегии продвижения отдельных продуктов по каждому функциональному типу решений Privileged Access Management. В его портфеле — системы для организации удалённого доступа (Privileged Remote Access), контроля привилегированных аккаунтов на оконечных устройствах (Endpoint Privilege Management), а также менеджмента работы пользователей в мультиоблачной среде (Cloud Privilege Broker). Однако ключевым элементом этой экосистемы, обладающим большинством функций PAM, является продукт BeyondTrust Password Safe.

BeyondTrust Password Safe объединяет в себе управление паролями привилегированных пользователей и их сеансами. Система способна автоматически обнаруживать учётные записи с расширенным набором прав, регистрировать привилегированные сеансы и управлять сессиями в настоящем времени. Кроме того, Password Safe обладает функциями менеджера паролей с возможностью их безопасного хранения. Система также может обнаруживать «вшитые» пароли и удалять их из исходного кода приложений и скриптов.

Интересной особенностью BeyondTrust Password Safe является подсистема управления SSH-ключами. Разработчики добавили ключи для защищённых SSH-сеансов в контур безопасности наравне с обычными паролями учётных записей. Это значит, что ключи SSH точно так же находятся в защищённом хранилище и автоматически обновляются. Сеансы SSH записываются и протоколируются аналогично сессиям с использованием других протоколов, а также могут быть подвергнуты мониторингу в режиме реального времени.

Возможности BeyondTrust Password Safe:

  • Интеграция в экосистему BeyondInsight с расширенными возможностями анализа угроз.
  • Собственный API для интеграции с целевыми системами и подключения любых приложений к системе единого входа. 
  • Поддержка концепции «just-in-time» — предоставление привилегий в зависимости от контекста (день, дата, время и место обращения к ресурсам).
  • Ролевая модель доступа (Role-Based Access Control, RBAC), интеграция с Active Directory и LDAP.
  • Возможность подключения без использования агентов (привилегированный сеанс SSH через службу DirectConnect).

Подробнее о решениях BeyondTrust для контроля привилегированного доступа можно узнать на сайте вендора.

 

 

CyberArk Privileged Access Manager

CyberArk Privileged Access Manager — это система управления доступом привилегированных пользователей с широкими функциональными возможностями. Вендор предлагает средства централизованного управления политиками с функциями по установке сложности паролей и частоты их обновления. Идеология системы предполагает отсутствие у пользователя возможности прямого подключения к целевым ресурсам. Все действия привилегированных пользователей в рамках безопасного и изолированного сеанса записываются в защищённое хранилище для использования при дальнейших аудитах и расследованиях.

CyberArk Privileged Access Manager способна автоматически обнаруживать и добавлять к общей системе контроля и мониторинга незащищённые или потерянные привилегированные аккаунты. В рамках обнаружения киберугроз и реагирования на них продукт выявляет аномальное поведение и индикаторы компрометации, а также блокирует нелегитимные действия, руководствуясь политиками безопасности.

Система может полноценно работать на конечных точках, которые не всегда подключены к корпоративной сети — ноутбуках и мобильных телефонах. Для них также действуют единые политики безопасности с возможностью мониторинга действий привилегированных пользователей. Для внешних подрядчиков и дистанционных сотрудников существует возможность работы через PAM без VPN и установки агента.

Возможности CyberArk Privileged Access Manager:

  • Адаптивная система многофакторной аутентификации и SSO.
  • Данные привилегированных аккаунтов находятся в защищённом от несанкционированного доступа хранилище.
  • Безопасная аутентификация пользователей без необходимости организации VPN-канала — через веб-портал.
  • Возможность развернуть решение в рамках собственной инфраструктуры или в публичном облаке.
  • SaaS-модель, сертифицированная по SOC 2 Type 2.

Подробнее о CyberArk Privileged Access Manager читайте на сайте разработчика.

 

 

Delinea Secret Server

После поглощения компаний Thycotic и Centrify, разрабатывавших свои PAM-системы, Delinea предлагает на рынке широкий спектр инструментов для контроля, мониторинга и обеспечения безопасности работы привилегированных пользователей. В портфель разработок компании, в частности, входят решения для управления привилегиями на оконечных устройствах и инструменты безопасности для DevOps.

Центральным компонентом этой PAM-экосистемы является продукт Secret Server, обеспечивающий запуск, проксирование, мониторинг и запись сессий привилегированных пользователей. Система имеет защищённый репозиторий для хранения учётных данных в зашифрованном виде, а также развитые функциональные возможности для управления паролями — создание секретных кодов нужного уровня сложности, их ротация, инициализация и отзыв.

Delinea Secret Server может выполнять поиск привилегированных учётных записей, а также приложений с расширенным набором прав. В системе реализована ролевая модель управления доступом (RBAC) с возможностью гибкого администрирования запросов на подключение от сторонних пользователей — подрядчиков, фрилансеров, сотрудников за пределами контура безопасности. Продукт можно развернуть в собственной инфраструктуре (on-premise) или получить в формате облачного сервиса (SaaS).

Возможности Delinea Secret Server:

  • Гибкое масштабирование системы — от небольшого PAM-кластера до распределённых решений масштаба предприятия.
  • Подключение большого количества баз данных, целевых приложений, гипервизоров и сетевых устройств «из коробки». 
  • Поддержка концепции Extended PAM, которая рассматривает всех пользователей как привилегированных и расширяет принципы PAM на всю площадь потенциальной атаки.
  • Управление запросами на доступ в ручном или автоматическом режиме.
  • Модуль поведенческого анализа с возможностью интеграции с SIEM-системами.

Узнать дополнительную информацию о Delinea Secret Server и других продуктах вендора можно на его сайте.

 

 

Fudo PAM

Несмотря на то что агентство Gartner не включило Fudo PAM в свой «магический квадрант» по рынку систем Privileged Access Management, это решение было упомянуто в общем отчёте и к тому же хорошо известно на отечественном рынке. Система, разработанная польской компанией Fudo, может полноценно работать в полностью изолированной среде (on-premise) и запускаться на любой платформе виртуализации в виде унифицированного (all-in-one) виртуального устройства, построенного на базе защищённого ядра FreeBSD, что отличает её от большинства разработок, основанных на проприетарном коде.

Для мониторинга действий привилегированных пользователей Fudo PAM использует безагентскую схему работы, «на лету» разбирая трафик на уровне протоколов. Это даёт возможность выполнять фоновый мониторинг сессий, в режиме реального времени проверять клавиатурный ввод пользователей на основе заданных регулярных выражений для предотвращения исполнения нежелательных команд. На основании сохранённых сетевых данных соответствующих протоколов система может воссоздать последовательность действий. Такой подход существенно снижает нагрузку на инфраструктуру по сравнению со хранением видеозаписей привилегированных сеансов.

Одной из интересных возможностей системы является наличие мобильного приложения Fudo Officer, которое позволяет администратору системы быстро обрабатывать запросы пользователей на доступ при помощи мобильного телефона.

Возможности Fudo PAM:

  • Встроенная система управления паролями, с гибкими политиками смены секретных кодов.
  • Три сценария аутентификации: вход с оригинальными учётными данными, подмена реквизитов входа и подмена пароля.
  • Удобный портал самообслуживания, через который пользователь может безопасно подключаться к нужным ему ресурсам, а также запрашивать разовый доступ.
  • Встроенный модуль анализа продуктивности работы пользователя для контроля трудозатрат внешних подрядчиков и обнаружения аномальных всплесков активности сотрудников.
  • Автоматическое сканирование Active Directory для быстрого добавления пользователей или помещения их в карантин.

Для получения расширенной информации о Fudo PAM 5.0 читайте наш обзор.

Подробнее о Fudo PAM можно узнать на сайте разработчика.

 

 

Krontech Single Connect

PAM-система Single Connect разработана турецкой компанией Krontech. Решение состоит из нескольких модулей, каждый из которых может быть использован как отдельный продукт. Для управления привилегированными сеансами используется шлюз Privileged Session Manager, который обеспечивает безопасное соединение с целевой системой, а также протоколирование, запись и мониторинг сеанса работы. Для назначения прав доступа используются гибко настраиваемые политики, которые могут быть распространены как на конкретного пользователя, так и на группу аккаунтов.

За управление жизненным циклом паролей отвечает Dynamic Password Controller, который хранит все секретные коды в зашифрованном виде, а также следит за тем, чтобы для доступа к целевым хостам использовались сложные, регулярно обновляемые пароли. Krontech Single Connect обеспечивает двухфакторную аутентификацию для доступа ко всем ресурсам, с которыми работают привилегированные пользователи. Одноразовые пароли генерируются при помощи защищённого приложения на мобильном телефоне или компьютере пользователя.

Система обладает единым интерфейсом для настройки и автоматизации задач привилегированного доступа. Модуль Privileged Task Automation позволяет управлять бизнес-процессами и регулярными операциями, связанными с работой администраторов или других специалистов в мультисетевой среде. Инструмент открывает возможности для разделения информационных потоков с использованием программно определяемых сетей (Software-Defined Networks) и виртуализации сетевых функций (Network Functions Virtualization).

Возможности Krontech Single Connect:

  • Управление паролями по принципу «application-to-application» — аутентификация на основе надёжных токенов для доступа сторонних приложений к хранилищу секретных кодов.
  • Технология маскировки данных для контроля доступа и журналирования сеанса на уровне конкретной базы данных.
  • Различные варианты открытия сессий — через веб-портал, через клиент Single Connect, через собственные клиенты (CLI, SQL и другие).
  • Контекстозависимые политики безопасности с возможностью запрещать выполнение определённых команд в зависимости от заданных условий.
  • Единая точка входа (SSO) для всех целевых систем.

Подробнее о Krontech Single Connect можно узнать на сайте вендора.

 

 

One Identity Safeguard

Компания One Identity придерживается стратегии реализации единой экосистемы решений для обеспечения и контроля доступа — Unified Identity Platform. Вендор присутствует во всех трёх «магических квадрантах» Gartner, связанных с доступом: IdM / IGA (Identity Management / Identity Governance and Administration), PAM и Access Management.

Флагманским PAM-продуктом разработчика является One Identity Safeguard, который закрывает задачи контроля привилегированного доступа, такие как контроль и запись сессий, управление привилегированными паролями, поведенческая аналитика. Индексированные данные обо всех действиях пользователя могут быть в дальнейшем применены для расследований и аудитов.

Система интегрирована с IGA / IdM One Identity на уровне процессов. Реализован единый обзор доступа как для рядовых пользователей, так и для аккаунтов с расширенными правами. Такой подход обеспечивает применение унифицированных политик по доступу — например, политики разделения полномочий (SoD), — а также ресертификации доступа владельцами ресурсов, единой рисковой модели и других функций, добавляемых IdM-cистемой.

Возможности One Identity Safeguard:

  • Разбор основных протоколов (сRDP, SSH, Citrix, SQL) без использования агентов и промежуточных серверов. Возможность распознавания русского языка в сессии.
  • Запрос и согласование доступа, а также подстановка паролей непосредственно в сессию с возможностью адаптации интерфейса под сценарии заказчика. Возможность использования как виртуального устройства, так и защищённого аппаратного комплекса для организации сейфа паролей.
  • Полный анализ содержимого экрана, включая введённые команды и заголовки окон, в процессе сеанса. Отслеживание динамики нажатия клавиш и движения мыши.
  • Модель минимальных привилегий для Active Directory. Предоставление отдельных консолей для управления AD без необходимости администраторского доступа.
  • Слой контроля для AD в отношении любых изменений и контроль соблюдения политик. Прямая интеграция аутентификации для Unix, Linux и macOS через Kerberos.

Детальную информацию о решениях One Identity в сегменте PAM можно найти на сайте вендора.

 

 

Senhasegura PAM Core

Бразильская компания Senhasegura разрабатывает собственную линейку средств контроля удалённого доступа, ключевым элементом которой является система PAM Core. Производитель позиционирует её как решение для управления полным циклом привилегированного доступа, включающее в себя идентификацию, создание и мониторинг сеансов, а также аудит всех действий пользователя с расширенным набором прав.

PAM Core способна обнаруживать привилегированные учётные записи в различных информационных активах предприятия — системном и прикладном программном обеспечении, контейнерах, базах данных. Система находит и добавляет в защищённый реестр учётные данные, цифровые сертификаты, ключи SSH и другие инструменты идентификации. Возможно также обнаружение «вшитых» учётных данных в исходном коде программ, скриптах и конфигурационных файлах.

Управление доступом осуществляется на основании политик безопасности. PAM Core обеспечивает многоуровневый процесс утверждения разрешений на удалённый доступ к ресурсам — от автоматических проверок до рассмотрения заявки офицером безопасности. Все сеансы работы привилегированных пользователей записываются (текстовые логи, видео) и доступны для последующего аудита.

Возможности Senhasegura PAM Core:

  • Безопасное хранение и ротация SSH-ключей и паролей, контроль доступа к ним.
  • «Прозрачный» прокси-сервер с возможностью записи и хранения сессий доступа к целевым ресурсам.
  • Модуль поведенческого анализа для реагирования на аномальные действия привилегированных пользователей.
  • Управление локальными правами доступа в средах Windows, Linux и Unix без установки агента на оконечное устройство.
  • Функция Livestream — мониторинг сессии в режиме реального времени с возможностью блокировки соединения.

Подробнее о Senhasegura PAM Core можно прочитать на сайте разработчика.

 

 

Symantec Privileged Access Management

Корпорация Broadcom, владеющая брендом Symantec, предлагает систему Symantec Privileged Access Management, предназначенную для предотвращения ИБ-инцидентов через контроль доступа привилегированных пользователей, защиту учётных данных администратора и упреждающее применение политик безопасности. Продукт обеспечивает мониторинг и запись действий привилегированных пользователей в виртуальных, облачных и физических средах.

Система позволяет контролировать привилегированный доступ ко всем ИТ-ресурсам предприятия — от облачных хранилищ до мейнфреймов, обеспечивающих работу критически важных систем. Привилегированные учётные записи обеспечиваются унифицированной межплатформенной защитой и централизованным управлением. Symantec Privileged Access Management может самостоятельно обнаруживать виртуальные и облачные ресурсы, автоматически включая их в контур безопасности. Собранные данные об активности привилегированного пользователя надёжно защищены от несанкционированного доступа и могут быть использованы для последующего аудита или расследования киберинцидентов.

Система поддерживает распространённые наборы инструментов DevOps для обеспечения безопасности создаваемых решений ещё на этапе разработки. Symantec Privileged Access Management контролирует наличие «вшитых» паролей в исходном коде программ, скриптах и отдельных файлах.

Возможности Symantec Privileged Access Management:

  • Защищённое хранилище учётных данных привилегированных пользователей с доступом по модели «нулевого доверия».
  • Собственная подсистема анализа угроз на базе машинного обучения и автоматизированных средств блокирования потенциально небезопасных событий.
  • Управление доступом на уровне операционной системы хоста, обеспечивающее защиту критически важных серверов и контейнеров с помощью средств контроля действий пользователей.
  • Управление паролями уровня «application-to-application» с возможностью гибкой настройки.
  • Возможность вести видеозапись всех действий привилегированного пользователя для оперативного проведения расследования и сбора доказательной базы.

Подробнее о возможностях Symantec Privileged Access Management можно узнать на сайте разработчика.

 

 

Wallix Bastion

Система Wallix Bastion хорошо известна на рынке решений Privileged Access Management и регулярно признаётся одним из лидеров сегмента. Продукт состоит из нескольких подсистем, работающих под управлением единой консоли. Так, контроль и аудит привилегированного доступа к сетевым активам компании обеспечивает Session Manager, а за управление жизненным циклом паролей отвечает Password Manager.

Система включает в себя портал удалённого доступа с гибкой настройкой прав для сотрудников, администраторов, внешних подрядчиков и других привилегированных пользователей. Все сеансы открываются в браузере без необходимости использовать RDP, SSH или Telnet. Wallix Bastion использует принцип «just-in-time» и политики Zero Standing, которые гарантируют, что конкретный пользователь имеет доступ к нужным ему ресурсам в определённое время. Привилегии предоставляются только на время конкретного сеанса, что уменьшает потенциальную площадь атаки.

Для работы с оконечными устройствами используется собственная служба минимизации прав доступа и управления делегированием. Она ищет и удаляет аккаунты с расширенными правами и предоставляет гранулированный доступ к локальным ресурсам. Помимо этого Wallix Bastion способен оперативно обнаруживать и блокировать операции шифрования, уменьшая риск стать жертвой программ-вымогателей.

Возможности Wallix Bastion:

  • Выявление подозрительного поведения пользователя на основании записей сеансов, ключевых слов и метаданных, полученных из других инсталляций системы и SIEM.
  • Использование собственной зашифрованной базы данных или внешней системы для хранения паролей.
  • Безопасный доступ ко критически важным ресурсам DevOps и Robotic Process Automation (RPA). Система интегрируется с Ansible, Terraform и другими инструментами, предоставляя им возможность защищённой работы с паролями, хранящимися в репозитории Wallix Bastion.
  • Блок анализа эффективности работы пользователей.
  • Интеграция со внешними решениями для SSO и многофакторной аутентификации.

Полная информация о Wallix Bastion доступна на сайте разработчика.

Российские системы управления привилегированным доступом

 

 

Indeed Privileged Access Manager

«Компания Индид» представляет на рынке программный продукт Indeed Privileged Access Manager, предназначенный для централизованного контроля привилегированного доступа. Архитектура системы предполагает подключение пользователя к веб-консоли, где ему доступны для выбора разрешённые соединения с целевыми ресурсами. Пользователь может открыть сеанс работы с одним из доступных ресурсов через RDP- или SSH-прокси Indeed PAM, обеспечивающий контроль сессий.

Администрирование системы также ведётся через веб-интерфейс. Консоль администратора позволяет настраивать политики доступа, изучать записи привилегированных сессий, просматривать логи и пр. Настраиваемые администратором разрешения на доступ предполагают явное назначение определённому пользователю конкретных прав на доступ к целевому ресурсу. Система управления доступом учитывает различные параметры предполагаемой сессии: протокол, расписание, необходимость подачи заявки на установление сессии и её утверждения, возможность повышения привилегий и т. д.

После открытия привилегированного сеанса ведётся полная фиксация действий пользователя: текстовый лог, запись работы с клавиатурой, снимки экрана, теневое копирование передаваемых файлов и видеозапись. Дополнительно сохраняется и большой объём метаданных, связанных с сеансом: сведения о протоколах, времени подключения и другие параметры с возможностью выполнения поиска по различным критериям. Офицер безопасности может выполнять мониторинг сеанса в настоящем времени и при необходимости разрывать подключение.

Возможности Indeed Privileged Access Manager:

  • Защищённое хранилище паролей и SSH-ключей учётных записей.
  • Поддержка протоколов RDP, SSH, HTTP, SCP, SFTP, а также других через публикацию соответствующих приложений (браузер, толстый клиент).
  • Автоматический поиск привилегированных аккаунтов в целевых системах Windows, Linux, Active Directory, СУБД, Cisco IOS, Inspur BMC.
  • Двухфакторная аутентификация с использованием одноразового пароля.
  • Формирование событий по безопасности по результатам мониторинга действий привилегированных пользователей.

Дополнительную информацию об Indeed Privileged Access Manager можно получить на сайте «Компании Индид».

 

 

Infrascope

Компания NGR Softlab разработала программный продукт Infrascope для управления привилегированным доступом. Он позволяет защищать доступ к сетевой инфраструктуре и приложениям, а также регистрировать действия привилегированных пользователей. Infrascope обнаруживает и предотвращает нарушения, поддерживает возможности индивидуального учёта, управляет учётными данными и процессами делегирования полномочий.

Infrascope представляет собой набор функциональных модулей, которые реализуют как классические возможности PAM, так и ряд дополнительных опций. В частности, система содержит менеджер TACACS+ — модуль поддержки и управления аутентификацией для администрирования сетевых устройств по протоколам TACACS и RADIUS. Поддерживается SSO — сквозной вход без необходимости многократного ввода одних и тех же учётных данных.

Технология управления учётными записями приложений (AAPM) обеспечивает их выдачу через API и производит автоматическую ротацию паролей для общих и сервисных учётных записей без необходимости их перенастройки (SAPM). Система поставляется как отдельный OVA-контейнер для автоматизированного развёртывания в любой среде виртуализации.

Возможности Infrascope:

  • Динамический диспетчер паролей — централизованное безопасное хранилище секретов. Пользователи используют аккаунты Infrascope, а система самостоятельно обновляет пароли учётных записей в целевых системах.
  • Менеджер сессий, который работает как шлюз между пользователями и целевыми конечными точками. Все сессии логируются, в т. ч. с видеозаписью. Ко всем сессиям могут быть применены политики, ограничивающие действия вплоть до запрета ввода конкретных команд, выполнения действий и запуска приложений.
  • Двухфакторная аутентификация с генерацией собственных одноразовых паролей или использованием сторонних публичных сервисов аутентификации.
  • Менеджер доступа к данным позволяет отслеживать и проверять зашифрованные сеансы администратора базы данных. Модуль обеспечивает разграничение доступа на уровне БД и поддерживает маскирование конфиденциальных сведений.
  • Простое управление сеансами с SQL-базами и нереляционными СУБД наиболее популярных производителей.

Подробнее о продукте можно узнать на сайте разработчика.

 

 

SafeInspect

Российская компания «Новые технологии безопасности» предлагает систему контроля доступа SafeInspect, которая обладает возможностью мониторинга привилегированных сессий, в том числе с детальным разбором протоколов SSH, RDP, VNC и ряда других, поддержкой HTTP / HTTPS, а также функцией блокировки определённого контента на контролируемом ресурсе.

Система имеет собственное хранилище паролей с возможностью автоматической ротации ключей. Методология гранулированного доступа позволяет гибко настраивать правила и сценарии работы для любых категорий привилегированных пользователей — собственных сотрудников, подрядчиков и аудиторов; поддерживается разделение доступа по ресурсам, расписанию и разрешённым операциям.

SafeInspect использует свою, индивидуализированную версию ОС с переработанным сетевым стеком и встроенным межсетевым экраном, что повышает безопасность её использования. Система может поставляться в формате виртуального устройства, что позволяет быстро развернуть её в имеющейся инфраструктуре предприятия. SafeInspect выполняет роль безагентского шлюза между пользователями и ресурсами сети, оставаясь полностью прозрачным до момента настройки ролей и прав доступа.

Возможности SafeInspect:

  • Работа в изолированной среде, защищённой от внешних проникновений. SafeInspect поддерживает автономный и распределённый режим сбора информации для обеспечения доступности и непрерывности мониторинга.
  • Протоколирование в текстовый журнал и видеофиксация действий пользователей с быстрой индексацией архива.
  • Механизм подстановки собственных токенов авторизации. SafeInspect перехватывает аутентификацию пользователя и авторизовывается на целевом ресурсе при помощи собственных ключей и паролей. Такой принцип исключает возможность обхода системы и получения несанкционированного доступа.
  • Интеграция со сторонними IPS-, DLP- и SIEM-решениями. Собранные данные поступают в системы Big Data для анализа и обработки. Информация передаётся в виде чистого расшифрованного потока, включая файлы и буфер обмена.
  • Технология единого входа (SSO).

Подробнее о продукте можно узнать на сайте разработчика.

 

 

Web Control sPACE

Компания Web Control разработала систему управления доступом привилегированных пользователей sPACE. Решение обладает всеми необходимыми функциями PAM: обеспечивает доступ внутренних и внешних пользователей к целевым ресурсам, выполняет контроль и мониторинг их действий, управляет паролями. sPACE использует ролевую модель для реализации различных сценариев организации, согласования и контроля доступа. Выдача разрешений на подключение к целевой системе может осуществляться на основании политик или согласовываться в ручном режиме с возможностью делегировать согласование доступа владельцам целевых систем, при этом предоставленные привилегии могут быть гибко изменены — увеличены или понижены. sPACE обеспечивает гранулирование доступа до уровня выполнения конкретным пользователем конкретных задач в целевых системах в определённые интервалы времени.

sPACE обладает широкими возможностями по контролю администраторов различных систем. В комплект поставки входит более 100 готовых коннекторов, позволяющих включить конкретный продукт в контур контроля. Продукт также позволяет быстро добавлять новые объекты администрирования. Решение имеет безагентскую архитектуру, не требует дополнительной организации VPN-канала. Разработка разворачивается на базе Unix-систем и совместима с российскими ОС Astra Linux и РЕД ОС.

Возможности Web Control sPACE:

  • Доступ к целевым системам с использованием изолированной защищённой среды, а также безопасное хранение паролей и управление их жизненным циклом.
  • Автоматизация доступа к целевой инфраструктуре на основании ролевой модели и политик безопасности.
  • Онлайн-мониторинг привилегированного сеанса с возможностью его экстренного прерывания, а также возможность разбора и аудита завершённых сессий.
  • Организация контролируемого удалённого доступа через веб-сессию или протоколы RDP и SSH.
  • Двухфакторная аутентификация с использованием одноразовых паролей или аппаратных токенов.

Дополнительная информация о PAM-системе sPACE доступна на сайте Web Control.

 

 

СКДПУ НТ

Компания «АйТи БАСТИОН» предлагает на отечественном рынке комплексный продукт СКДПУ НТ («Система контроля действий поставщиков услуг»). Ключевым элементом системы, реализующим основные функциональные возможности Privileged Access Management, является «СКДПУ НТ Шлюз доступа». Это платформа, которая создаёт единую точку входа привилегированных пользователей, а также обеспечивает управление паролями (может быть вынесено на отдельную ноду), мониторинг и разбор действий администраторов в ходе защищённых сеансов. 

Решение работает по безагентской схеме и доступно в виде физического или виртуального устройства, а также кластера высокой доступности. Интерфейс системы построен на принципах «одного щелчка» — для перехода между инцидентом, профилем пользователя и записью сессии оператору требуется выполнять минимальное количество действий. Все элементы системы работают под управлением ОС Astra Linux SE.

Отдельный модуль СДКПУ НТ предназначен для выявления аномалий в действиях привилегированных пользователей с помощью алгоритмов искусственного интеллекта. Система формирует цифровой профиль пользователя, строит его поведенческую модель и определяет уровень доверия к каждому владельцу привилегированного аккаунта. Кроме того, в экосистему СКДПУ НТ входит «тонкий» шлюз, который может быть установлен на объектах распределённой инфраструктуры, для которых невозможно обеспечить единую точку доступа.

В октябре 2022 года «АйТи Бастион» получил сертификат ФСТЭК РФ на соответствие требованиям безопасности информации на СКДПУ версии 7.0.

Ключевые функции СКДПУ НТ:

  • Мониторинг действий привилегированных пользователей на целевых ресурсах — серверах, приложениях, сетевых устройствах.
  • Интеграция со службами каталогов Active Directory и LDAP для получения информации об учётных записях.
  • Запись сеансов работы пользователей с возможностью распознавания текстов (OCR).
  • Возможность автоматизации предоставления доступа с помощью встроенного REST API.
  • Встраивание в работу с ресурсами DevOps для защищённой работы с паролями.

Подробнее о решениях «АйТи БАСТИОН» для контроля работы привилегированных пользователей вы можете узнать на сайте компании.

Выводы

Системы класса Privileged Access Management на отечественном рынке занимают роль нишевого продукта и зачастую воспринимаются рынком как полезное, но не всегда обязательное дополнение к ИБ-инфраструктуре компании. Глобальный рынок PAM выглядит более зрелым: на нём представлено большое количество вендоров и подходов к построению отдельных систем и продуктовых портфелей. При этом нельзя сказать, что российские системы управления привилегированным доступом значительно уступают западным аналогам. Как минимум, классические возможности PASM и функции управления жизненным циклом паролей в отечественных разработках находятся на уровне общемировых аналогов.

Тем не менее вендоры из «магического квадранта» Gartner демонстрируют если не большее разнообразие идей, то во всяком случае больший размах, подкреплённый коммерческими перспективами продукта. Вообще, с точки зрения маркетинговой составляющей (подача информации, её полнота и наличие в открытом доступе, успешные кейсы и другие параметры) западные коллеги в подавляющем большинстве случаев превосходят отечественных разработчиков. Видно, что они работают в живом, конкурентном и прибыльном сегменте.

Хорошая новость для российских вендоров — наш рынок имеет все шансы повторить судьбу глобального, с той лишь особенностью, что число участников будет ограничено по «национальному» признаку. Импульс развитию этого сегмента может придать приход в него крупных игроков. В том, что это рано или поздно случится, сомневаться не приходится. PAM-вендоры должны быть готовы к такому развитию событий и активнее действовать в условиях (пока что!) относительно свободной «поляны»: повышать узнаваемость своего продукта, объяснять его необходимость потенциальным заказчикам, пробовать новые маркетинговые ходы.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru