Как выбрать PAM-систему и зачем она нужна в 2023 году

Как выбрать PAM-систему и зачем она нужна в 2023 году

Как выбрать PAM-систему и зачем она нужна в 2023 году

Как отреагировал рынок решений для контроля привилегированного доступа на уход западных игроков? Чем различаются системы PAM, PIM и PUM? Как эти решения устроены архитектурно и технологически, какие их функции наиболее востребованны с точки зрения заказчиков?

 

 

 

 

 

 

  1. Введение
  2. Что такое PAM и зачем он нужен
    1. 2.1. Для чего нужны PAM-системы
    2. 2.2. Архитектура PAM
    3. 2.3. Как изменился рынок PAM в 2022 году
    4. 2.4. Экономическая эффективность PAM
  3. Как выбрать PAM-систему и эффективно её использовать
    1. 3.1. Как работают системы управления привилегированным доступом
    2. 3.2. Какие функции PAM нужны заказчикам
    3. 3.3. Насколько импортонезависимы отечественные системы PAM
    4. 3.4. Как PAM проводит мониторинг и реагирует на действия пользователя
  4. Прогнозы экспертов
  5. Итоги эфира
  6. Выводы

Введение

Предыдущий эфир проекта AM Live о системах управления привилегированным доступом (PAM) состоялся в начале февраля 2022 года. С тех пор рынок пережил значительные изменения, а в нашей студии собрались совсем другие эксперты, чтобы поговорить о том, как выбирать решения этого класса в современных условиях. Теперь наиболее представительный состав спикеров — это в основном работники российских компаний, и мы решили узнать, как влияют тенденции импортозамещения на их бизнес.

Стоит отметить, что дискуссия получилась весьма острой. Конкуренция в сегменте высока, а игроки уже обладают решениями с развитыми функциональными возможностями — отчасти потому, что многие из них базируются на ядрах зарубежных систем, отчасти из-за необходимости соответствовать требованиям заказчиков, привыкших к западным решениям.

 

Рисунок 1. Эксперты и ведущий в студии Anti-Malware.ru

Эксперты и ведущий в студии Anti-Malware.ru

 

Эксперты в студии:

  • Константин Родин, руководитель направления по развитию продуктов компании «АйТи БАСТИОН»;
  • Артём Ильин, ведущий менеджер по техническому сопровождению продаж компании NGR Softlab;
  • Андрей Акинин, генеральный директор компании «Вэб Контрол ДК»;
  • Илья Горюнов, директор по развитию бизнеса компании «АФИ Дистрибьюшн»;
  • Вячеслав Емельянов, бизнес-партнёр по работе с ключевыми заказчиками компании «РТК-Солар»;
  • Тагир Кабиров, руководитель группы внедрения средств контроля пользователей, компания Innostage.

Ведущий и модератор дискуссии: Евгений Акимов, независимый эксперт.

 

Что такое PAM и зачем он нужен

Для чего нужны PAM-системы

Ведущий предложил начать дискуссию с основ и попросил гостей студии объяснить зрителям, что такое PAM и для решения каких задач используются системы этого класса.

Константин Родин: 

— Существуют три типа систем: PIM, PAM и PUM; каждый нацелен на решение конкретной задачи: контроль идентификации, контроль доступа и контроль пользователя. Все они «завязаны» на привилегированных пользователей. PAM предназначена в первую очередь для блокировки недопустимых событий при работе с критическими системами.

 

Константин Родин, руководитель направления по развитию продуктов компании «АйТи БАСТИОН» 

Константин Родин, руководитель направления по развитию продуктов компании «АйТи БАСТИОН»

 

Андрей Акинин: 

— Gartner делит системы контроля действий привилегированных пользователей на четыре класса. Это системы разграничения доступа, управления учётными записями, регистрации и мониторинга сессий, а также управления неинтерактивным доступом — ключами и межмашинным взаимодействием. Последнее особенно актуально в последние три-четыре года.

Илья Горюнов: 

— Для меня PAM — это Privileged Account Management, поскольку вектор атаки в первую очередь направлен на пароли и «учётки», и потом, как следствие, перехватывается доступ. Как составные части PAM можно выделить управление привилегиями на конечных устройствах, а также управление секретами DevOps.

 

Илья Горюнов, директор по развитию бизнеса компании «АФИ Дистрибьюшн» 

Илья Горюнов, директор по развитию бизнеса компании «АФИ Дистрибьюшн»

 

Вячеслав Емельянов:

— Нет такого решения, которое может делать всё и будет удовлетворять всех заказчиков. В своём продукте мы отталкиваемся от потребностей заказчика, однако тот набор возможностей, который коллеги уже перечислили, в PAM-решении, которое присутствует на рынке три-четыре года, обычно есть.

Артём Ильин: 

— Сценарии использования PAM — это минимизация прав доступа пользователя, который имеет доступ к критическим системам, на основе выдачи временных разрешений, а также защита критической инфраструктуры, которая находится внутри контура. Права доступа выдаются на основе ролей пользователя и установленных политик.

 

Артём Ильин, ведущий менеджер по техническому сопровождению продаж компании NGR Softlab 

Артём Ильин, ведущий менеджер по техническому сопровождению продаж компании NGR Softlab

 

Если говорить о возможных сценариях атаки, которым противодействуют PAM-системы, то эксперты отметили, что ключевая задача — исключить возможность получения злоумышленником доступа к расширенным привилегиям. При этом не так важно, внешний это злоумышленник или внутренний. Также PAM должен предотвращать инциденты вызванные непреднамеренным, неквалифицированным поведением — решать проблемы связанные с выходом за пределы необходимых привилегий. Делается это путём автоматизации выдачи привилегий под конкретную задачу; такой подход получил название «Just-in-Time».

Как показали результаты опроса зрителей прямого эфира AM Live, значительная часть нашей аудитории (36 %) уже применяет средства управления привилегированным доступом. Столько же респондентов знает лишь общие принципы работы таких систем. Ещё 20 % опрошенных изучали PAM, но практического опыта работа с ними не имеют, 8 % ничего не слышали о них до этого эфира.

 

Рисунок 2. Насколько вы знакомы с системами PAM?

Насколько вы знакомы с системами PAM?

 

Архитектура PAM

Отвечая на вопрос ведущего об архитектуре систем PAM, спикеры онлайн-конференции рассказали, что существуют агентские и безагентские решения, имеющие свои плюсы и минусы. Агентское решение — более точечное, у него всегда есть больше информации с оконечного устройства и понимание того, что там происходит. Однако агентская архитектура не лишена недостатков: в частности, её труднее администрировать. PAM может работать в режиме «бастиона», когда все пользователи подключаются именно к системе контроля привилегированного доступа и уже оттуда переходят на целевые системы. Другой вариант — прозрачный режим, когда PAM работает как прокси.

Тагир Кабиров: 

— В данный момент на российском рынке практически все решения построены по безагентской схеме. Установку агентов преимущественно предлагали западные решения, но поскольку они сейчас не представлены на рынке, основная часть используемых заказчиками PAM работает в режиме «прокси» или «бастион».

 

Тагир Кабиров, руководитель группы внедрения средств контроля пользователей, компания Innostage 

Тагир Кабиров, руководитель группы внедрения средств контроля пользователей, компания Innostage

 

Как изменился рынок PAM в 2022 году

2022 год принёс вендорам очень много входящих запросов, что связано в первую очередь с уходом западных вендоров. Однако кроме запросов на замену разработчики отметили много обращений от новых заказчиков — государственных и коммерческих. При этом продавать не стало легче и взрывного роста выручки не произошло: заказчики всё так же тщательно выбирают, а большинство пользователей западных систем (кроме тех, кто работал по подписке) продолжают их эксплуатировать. Впрочем, стало больше пилотных проектов — возможно, потому, что заказчики стали уделять больше внимания безопасности.

Специалисты отметили, что не испытывают существенных трудностей в импортозамещении западных систем, поскольку агентские решения для записи сессий занимали относительно небольшой объём рынка. Эксперты стараются выяснить у заказчика, что ему действительно нужно от PAM, и предлагают варианты, которые позволяют минимально изменять сложившуюся инфраструктуру безопасности и бизнес-процессы.

В этом контексте интересны результаты опроса зрителей прямого эфира, которые рассказали, какой из сценариев использования PAM им наиболее интересен. Наибольшее число голосов — 40 % — набрал сценарий управления правами доступа и паролями. Почти столько же респондентов (38 %) считают, что PAM надо использовать для мониторинга и записи действий администраторов. Контроль действий и трудозатрат внешних подрядчиков выбрали 8 % зрителей, а автоматизацию и повышение эффективности работы ИТ — 3 %. Обеспечение при помощи PAM процесса безопасной разработки интересует лишь 2 % участников опроса. Вообще не видят необходимости в PAM 9 % наших зрителей.

 

Рисунок 3. Какой из сценариев использования PAM наиболее интересен вашей компании?

Какой из сценариев использования PAM наиболее интересен вашей компании?

 

Экономическая эффективность PAM

Можно ли убедить заказчика при помощи цифр? Как рассчитать возврат инвестиций (RoI) для PAM-систем? Эксперты рассказали, что в их практике есть случаи, когда уже на этапе пилотного проекта PAM выявляла несанкционированные действия, которые вели к утечке данных. В таких случаях заказчик может легко посчитать выгоду от использования системы контроля привилегированных пользователей. Теоретически RoI от использования PAM можно найти с помощью методов математической статистики, однако на практике такие подходы работают плохо, поскольку риски трудно переводить в деньги.

Практика расчёта экономической эффективности PAM может опираться на оценку рисков и среднего ущерба от инцидента в отрасли, а также стоимости трудозатрат, от которых будут освобождены сотрудники заказчика. В последнем случае речь идёт о регулярной смене паролей, управлении доступом и других функциях администратора системы, которые автоматизирует PAM.

Как выбрать PAM-систему и эффективно её использовать

Как работают системы управления привилегированным доступом

Во втором, практическом блоке прямого эфира модератор предложил экспертам подробнее рассказать, как работает «прозрачный» режим PAM. Спикеры AM Live пояснили, что такую схему работы PAM можно сравнить с атакой «Man-in-the-Middle». Для администратора система «притворяется» сервером, а для сервера — администратором. В образовавшемся разрыве можно понять, что на самом деле делает пользователь на конечном устройстве: контролировать нажатия клавиш и щелчки мышью, видеть его экран и так далее. При этом администратор считает, что он работает с реальным сервером, то есть не знает, что между ними стоит PAM. Также в этом режиме можно выполнить маскировку пользователя. Учётная запись администратора, с которой он подключается к сети, не совпадает с системной учётной записью, которая используется для подключения ко критически важным системам: PAM управляет её заменой. Таким образом, даже если «учётка» администратора попала к злоумышленникам, они не смогут использовать её для прямого доступа к серверу.

 

Евгений Акимов, ведущий и модератор дискуссии, независимый эксперт 

Евгений Акимов, ведущий и модератор дискуссии, независимый эксперт

 

Какие функции PAM нужны заказчикам

В процессе прямого эфира мы предоставили вендорам возможность рассказать о ключевых преимуществах своих PAM-систем. Чтобы понять мнение тех, кто находится по другую сторону «стола переговоров», мы попросили зрителей прямого эфира высказаться о том, какие функции PAM они считают наиболее важными в данный момент и какие возможности таких систем будут востребованными в их компании в будущем, на горизонте ближайших двух лет.

Большинство зрителей этого выпуска AM Live считает интересными и важными все базовые функции PAM-систем, такой ответ дали 44 % участников проведённого нами опроса. Мониторингу и записи сеансов работы привилегированных пользователей отдали предпочтение 21 % респондентов, а функцию управления привилегированными аккаунтами отметили 16 %. Ещё 14 % опрошенных проголосовали за хранение «учёток» и контроль доступа к привилегированным аккаунтам, а 4 % — за обнаружение привилегированных записей в различных системах. Не нашли в вариантах ответов важных для своей компании возможностей 1 % участников опроса.

 

Рисунок 4. Какая из перечисленных функций PAM наиболее важна сейчас для вашей организации?

Какая из перечисленных функций PAM наиболее важна сейчас для вашей организации?

 

Что же касается наиболее перспективных и востребованных в будущем функций PAM, то 30 % зрителей прямого эфира отметили удалённый привилегированный доступ для сотрудников и внешних пользователей. Ещё 24 % респондентов выбрали вариант «Делегирование доступа к привилегированным учётным записям», а 13 % проголосовали за автоматизацию задач привилегированных пользователей. Управление правами доступа в облачной инфраструктуре будет наиболее востребованным в ближайшие два года у 6 % наших зрителей, а управление секретами приложений — у 3 %. Не нашли нужного варианта ответа 13 % участников опроса.

 

Рисунок 5. Какая из перечисленных функций PAM будет наиболее востребованной в вашей организации в ближайшие два года?

Какая из перечисленных функций PAM будет наиболее востребованной в вашей организации в ближайшие два года?

 

Насколько импортонезависимы отечественные системы PAM

Не секрет, что многие российские решения были в какой-то части построены на свободно распространяемом коде или коде с зарубежными корнями. Как сейчас, в свете импортозамещения, 250-го указа президента и других локальных тенденций, обстоит дело с независимостью российского PAM ото внешних источников? Спикеры согласились, что некоторые решения в данный момент основаны на ядре зарубежного разработчика, однако отметили, что даже если он прекратит поставлять обновления, это не отразится на работоспособности систем: они просто пойдут по другому пути развития. В ряде случаев российские компании ранее легитимно получили код системы от зарубежных разработчиков и теперь развивают его сами, независимо от оригинального вендора.

Другие вендоры сообщили, что они сами вносят вклад в опенсорс, участвуют в разработке свободного кода, который в том числе используется в выпускаемых ими PAM-системах. Некоторые разработчики в течение долгого времени дополняли западные проекты новыми модулями и заменяли имеющиеся по мере «отмирания» оригинальных функциональных блоков, что в итоге привело к созданию новой системы.

Как PAM проводит мониторинг и реагирует на действия пользователя

Обсуждение технических аспектов работы PAM было продолжено темой автоматического прерывания сессий. Эксперты AM Live рассказали, что триггерами для разрыва сессии могут быть определённые команды в SSH, заголовки окон и результаты контроля клавиатурного ввода в RDP-сессиях. Возможно также прерывание сессии в случае запуска определённых приложений, однако эксперты предупредили, что этот метод надо использовать с осторожностью, поскольку администраторам могут потребоваться нестандартные действия для выполнения своих прямых обязанностей. В этом случае лучше выбрать уведомление офицера безопасности о потенциально опасной активности или приостановку действия до утверждения его службой ИБ.

По словам участников дискуссии, видео или последовательность скриншотов, сделанных во время сеанса, являются вспомогательным инструментом, который даёт человеку возможность увидеть, что реально происходило во время сессии. При этом триггером, который инициирует такую проверку, чаще всего будут результаты мониторинга других параметров: работы с клавиатурой, заголовков окон, сообщений в мессенджерах и прочих факторов.

Прогнозы экспертов

В завершение онлайн-конференции мы попросили спикеров AM Live поделиться своими мнениями о том, как развивался рынок PAM в 2022 году и чего ожидать от 2023-го.

Андрей Акинин: 

— В 2022 году мы активно вышли на рынок. У нас было очень много тестирований и положительных отзывов от потенциальных заказчиков. В прошлом году очень много людей задумалось о покупке PAM-систем. Я очень надеюсь, что в 2023-м многие из них станут заказчиками того или иного решения.

 

Андрей Акинин, генеральный директор компании «Вэб Контрол ДК» 

Андрей Акинин, генеральный директор компании «Вэб Контрол ДК»

 

Константин Родин: 

— В прошлом году у нас был сильный рост. Компания выросла примерно в два раза по персоналу, по количеству проектов, которые мы выполнили. Расширение пула заказчиков и всего рынка должно продолжиться в 2023 году за счёт импортозамещения, поэтому мы ожидаем такого же активного роста.

Вячеслав Емельянов: 

— Мы выполнили то, что задумывали в 2022 году, однако колоссального роста в прошлом году не было. Я думаю, что в 2023 году рынок может вырасти в два раза, поскольку произойдут те продажи, которые дозрели в 2022-м, а также те продажи, которые пройдут в рамках импортозамещения.

 

Вячеслав Емельянов, бизнес-партнёр по работе с ключевыми заказчиками компании «РТК-Солар» 

Вячеслав Емельянов, бизнес-партнёр по работе с ключевыми заказчиками компании «РТК-Солар»

 

Артём Ильин: 

— Мы вышли на рынок в 2021 году, и минувший год прошёл для нас под эгидой пилотных проектов. На текущий год мы ожидаем закрытия «пилотов» и начала внедрений, а также окончания текущих внедрений и получения прибыли от них. Мы планируем рост числа сотрудников, а также увеличение количества проектов.

Илья Горюнов: 

— В 2022 году заказчики заново изучали изменившийся рынок, это заняло достаточно много времени, поэтому продаж было не так много, но к концу года ситуация выровнялась, и мы закончили его с трёхкратным ростом выручки. В 2023-м мы планируем «приземлить» свой продукт, сейчас идёт обсуждение схемы передачи прав.

Тагир Кабиров: 

— Драйвером рынка PAM отчасти является импортозамещение, отчасти — возросшая зрелость заказчиков, которые стали понимать, какие угрозы закрывают такие решения. В части развития систем ключевой запрос сейчас — не импортозамещение, а импортонезависимость: уход от Microsoft, поддержка отечественных ОС и баз данных.

Итоги эфира

Традиционный опрос зрителей на тему «Каково ваше мнение относительно PAM после эфира?» принёс следующие результаты. Значительная часть респондентов (44 %) убедились в правильности выбора своего PAM-решения. Ещё 33 % заинтересовались темой PAM и готовы тестировать системы этого класса. 15 % пока считают контроль привилегированного доступа избыточным инструментом для своей организации, а 8 % отметили, что не заинтересовались темой PAM по результатам эфира. Интересно, что никто из нашей аудитории не собрался после просмотра онлайн-конференции менять имеющуюся PAM-систему на новую. Также не нашло поддержки у зрителей утверждение о том, что существующие решения не удовлетворяют выдвигаемым требованиям.

 

Рисунок 6. Каково ваше мнение относительно PAM после эфира?

Каково ваше мнение относительно PAM после эфира?

 

Выводы

Российский рынок систем контроля привилегированного доступа оказался не столь зависимым ото внешних обстоятельств, как другие сферы ИБ. По крайней мере, отечественные вендоры не почувствовали значительного эффекта от ухода западных игроков. Импортозамещение, безусловно, влияет на действия заказчиков, однако «золотой дождь» на разработчиков PAM в 2022 году не пролился. Вместе с тем идёт последовательное, активное, пусть и по большей части органическое, развитие. Разработчики из России локализовывают и «приземляют» решения построенные на коде других вендоров, создают на их основе новые системы с набором функций не хуже, чем у глобальных лидеров.

Заказчики, в свою очередь, становятся более зрелыми и лучше понимают, чем им может помочь PAM. Как показали итоги онлайн-конференции, она стала полезной и для тех, кто уже эксплуатирует средства контроля и мониторинга удалённого доступа, и для тех, кто ещё только находится в процессе осознания их необходимости. 

Мы продолжаем проект AM Live и приглашаем вас подписаться на YouTube-канал Anti-Malware.ru, чтобы в прямом эфире следить за ведущими экспертами индустрии, обсуждающими наиболее актуальные и злободневные темы. До встречи!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru