Российский рынок систем привилегированного доступа (Privileged Account Management, PAM) переживает серьёзную трансформацию. Она связана с запросом на практическую безопасность со стороны потенциальных заказчиков и продолжающимися процессами цифровизации и трансформации ИТ.
- Введение
- Чего хотят от PAM в 2024 году
- Судьба зарубежных решений
- Внедрение PAM. Правильное и неправильное
- Критерии выбора
- Выводы
Введение
Тема PAM поднимается в эфире AM Live не впервые, и каждый раз в студии собираются разные эксперты.
Меняется и рынок. Становятся востребованными всё новые функции, что связано как с изменением векторов атак, так и с появлением новых сегментов в ИТ-инфраструктурах. Серьёзным фактором стал недостаток квалифицированных кадров.
Рисунок 1. Эксперты в студии AM Live
В качестве экспертов в эфир AM Live были приглашены:
- Алексей Исаев, руководитель направления технического сопровождения проектов, NGR Softlab;
- Ярослав Голеусов, руководитель группы поддержки продаж решений для мониторинга, реагирования и исследования киберугроз, BI.ZONE;
- Илья Моисеев, менеджер продукта Indeed PAM, «Компания Индид»;
- Андрей Акинин, генеральный директор Web Control;
- Константин Родин, руководитель отдела развития продуктов, «АйТи БАСТИОН»;
- Дмитрий Орленок, менеджер по развитию бизнеса, ГК «Солар»;
- Юрий Маслов, руководитель группы безопасности конечных устройств, «Платформикс».
Ведущий дискуссии — генеральный директор «АМ Медиа» Илья Шабанов.
Чего хотят от PAM в 2024 году
Администраторы стали царями и богами в мире ИТ, но их не только можно контролировать, но и нужно. Это обстоятельство, как подчеркнул Андрей Акинин, делает PAM-систему в большей степени ИТ-, чем ИБ-продуктом.
По мнению большей части участников дискуссии, всё больше востребованны функции PAM, которые выходят за рамки базовых. Однако значительная часть заказчиков всё же не в полной мере использует потенциал этих систем.
Руководитель отдела развития продуктов «АйТи БАСТИОН» Константин Родин
Константин Родин:
— Контроль действий администраторов — лишь базовая функция PAM-систем. Её уже недостаточно для того, чтобы понимать, что происходит во время сессий работы администраторов. Нужно выявлять возможные направления действий администраторов, например с помощью поведенческой аналитики, причём с минимальными усилиями. Нужна максимальная автоматизация, чтобы снизить нагрузку на персонал, которого не хватает.
Менеджер продукта Indeed PAM «Компании Индид» Илья Моисеев
Илья Моисеев:
— Одной из главных тенденций последних двух лет стали атаки на цепочки поставок. PAM-системы могут и должны контролировать работу не только штатных сотрудников, но и персонала подрядчиков. Если же речь идёт о подрядчике, то PAM-система на его стороне должна выявлять атаки на его заказчиков. И в целом PAM-системы являются важным элементом защиты ИТ-инфраструктуры от несанкционированного доступа. Однако это инструмент, а не сервис. Для его полноценной работы необходимо выстроить ролевую модель и разработать набор политик, что является сложной задачей.
Руководитель группы поддержки продаж решений для мониторинга, реагирования и исследования киберугроз BI.ZONE Ярослав Голеусов
Ярослав Голеусов:
— Важный элемент ИТ-систем составляют технологические учётные записи. Их тоже надо защищать.
Менеджер по развитию бизнеса ГК «Солар» Дмитрий Орленок
Дмитрий Орленок:
— Топ-менеджеры компании — тоже привилегированные пользователи, и их действия могут нанести большой ущерб. Такие примеры есть. PAM-системы позволяют защититься от злоупотреблений с их стороны. Кроме того, всё больше востребованны функции контроля в облачных средах, интерес к ним проявляют до 20 % заказчиков, и по мере снятия регуляторных ограничений на использование облачных сервисов такой интерес будет увеличиваться.
Также PAM являются хорошим инструментом расследования инцидентов. У нас есть такой опыт, мы применили PAM для расследования инцидента связанного с имитацией атаки на одну компанию со стороны недобросовестного подрядчика, который таким образом пытался избежать последствий срыва сроков выполнения работ.
Генеральный директор Web Control Андрей Акинин
Андрей Акинин:
— PAM — средство защиты, а не контроля. Значительная часть атак направлена на повышение привилегий в системе, и хорошо настроенная PAM позволяет такие атаки пресекать. Но эти функции очень редко используют. Среди перспективных функций особо хотел бы выделить контроль межмашинных взаимодействий и контейнерных сред.
Руководитель группы безопасности конечных устройств «Платформикс» Юрий Маслов
Юрий Маслов:
— Многие из дополнительных функций PAM, о которых тут говорили, значительная часть заказчиков боятся внедрять в продуктивные системы. Их только тестируют на стадии «пилота».
Но при этом, по единодушному мнению участников дискуссии, внедрение PAM происходит осознанно, а не по требованию регуляторов. Как подчеркнул Ярослав Голеусов, внедрению PAM способствует рост количества пользователей и полномочий, в итоге их контроль в ручном режиме становится просто невозможным.
По мнению Андрея Акинина, единственным исключением является Банк России, который требует реализации ряда мер по протоколированию действий администраторов, но и он в явном виде применения PAM-систем не требует. По оценке Константина Родина, это даже хорошо, поскольку не навязывает конкретных продуктов. Вместе с тем Дмитрий Орленок заявил о том, что в самом скором времени ситуация может измениться: ФСТЭК России выпустит новые требования, согласно которым применение PAM будет рекомендовано.
Результаты первого опроса зрителей (рис. 2) участники дискуссии оценили позитивно. По их оценке, от PAM-систем перестали требовать быть своего рода видеомагнитофоном, который записывает действия администраторов.
Рисунок 2. Для каких задач в первую очередь вам интересны PAM-системы?
Знакомя участников дискуссии с результатами второго опроса (рис. 3), Илья Шабанов отметил снижение количества тех, кто заявил о ненужности PAM. По мнению Андрея Акинина, полученные результаты свидетельствуют о заметном изменении ИТ-ландшафта за год. Константин Родин связал итоги опроса с влиянием массовых атак на российские компании. По мнению Ильи Шабанова, рост востребованности контроля партнёров (с 8 до 25 %) стал прямым следствием активизации использования аутсорсинговых услуг на фоне кадрового голода.
Рисунок 3. Сценарии использования PAM, которые представляют интерес для зрителей
Судьба зарубежных решений
На отечественном рынке зарубежные системы продолжают сохранять значительную пользовательскую базу, хотя все зарубежные вендоры ушли из России в 2022–2023 гг. Причин такой ситуации несколько.
Юрий Маслов, сославшись на личный опыт, назвал одним из основных мотивов отказа от импортозамещения PAM недостаточную функциональность и (или) масштабируемость отечественных решений. Однако, по его мнению, от зарубежных вендоров не стоит ждать включения функций, которые нужны российским заказчикам.
Как отметил Андрей Акинин, практически все более-менее крупные инсталляции зарубежных PAM обеспечены контрактами на поддержку, действие которых истечёт минимум через три года. При этом подобные соглашения охватывают в том числе обновления.
Руководитель направления технического сопровождения проектов NGR Softlab Алексей Исаев
Алексей Исаев:
— Переход на российские PAM сдерживается сложностью миграции. Этот процесс часто требует заново формировать ролевую модель и набор политик, что составляет наиболее трудоёмкую и сложную часть проекта внедрения PAM-системы. Обучение пользователей работе в отечественных PAM — также очень непростая задача.
Дмитрий Орленок назвал использование зарубежных продуктов, в том числе и PAM, опрометчивым решением, поскольку те не поддерживают отечественного системного ПО и СУБД, что делает их бесполезными уже в перспективе максимум трёх-четырёх лет. Определённые шансы, по его оценке, имеют системы с открытым исходным кодом. Андрей Акинин, впрочем, возразил, что использование таких систем (по крайней мере, в их изначальных версиях, без дополнений и изменений) создаёт ещё более высокий риск, чем эксплуатация зарубежных продуктов.
Основные причины, которые, по мнению зрителей, мешают миграции на российские PAM, приведены на рис. 4. Главными из них названы сложность процесса и высокая стоимость отечественных продуктов.
Рисунок 4. Основные препятствия для миграции на российские PAM-системы
Внедрение PAM. Правильное и неправильное
Внедрение PAM-системы, по общему мнению экспертов, не так просто, как кажется. Оно требует серьёзных усилий как от заказчика, так и от консультантов со стороны вендора и интегратора. Юрий Маслов назвал отличительной чертой проектов по внедрению PAM то, что они требуют тщательной предпродажной работы и создания больших объёмов документации. Основная техническая сложность, по его оценке, — интеграция с другими ИТ- и ИБ-системами.
Генеральный директор «АМ Медиа» Илья Шабанов
Илья Шабанов:
— Без работающей технологии единого входа (Single Sign-On, SSO) внедрение PAM не имеет смысла.
Ярослав Голеусов назвал отличительной чертой проектов по внедрению PAM необходимость обязательной проработки аварийного сценария на тот случай, если система «упадёт». По его оценке, игнорирование данного требования является одной из типовых ошибок, плюс отсутствие такого сценария существенно подрывает доверие к системе со стороны тех же администраторов.
Илья Моисеев обратил внимание на то, что практически все системы на рынке являются модульными: нужные функции можно при необходимости приобрести потом. Это, по его мнению, позволяет снизить финансовые и временные затраты при внедрении PAM.
Среди типовых ошибок эксперты чаще всего называли недостаточное внимание к обучению персонала, неправильный сайзинг оборудования. Юрий Маслов также обратил внимание на неверный выбор продукта, который не вполне соответствует нуждам заказчика, в том числе на перспективу. Также, по его словам, многие недооценивают важность разработки качественной документации.
Ярослав Голеусов назвал типовой ошибкой отказ от аудита инфраструктуры перед проектом. Кроме того, по его мнению, опасны несбалансированные права доступа, причём в обе стороны: если они завышены, то система далеко не в полной мере будет выполнять поставленные задачи, оставляя риски злоупотреблений и человеческих ошибок, а если занижены, то будут возникать лишние трудности в работе персонала.
Андрей Акинин назвал главной ошибкой позднее привлечение ИТ к проекту. По его мнению, ИТ-служба должна участвовать во внедрении PAM с самого начала. Илья Моисеев призвал не пытаться внедрять такие системы «с наскока»: именно в таком случае можно допустить абсолютно все ошибки, какие только возможны.
Критерии выбора
По мнению Андрея Акинина, главным критерием выбора является удобство работы с PAM-системой: она должна быть незаметной, тогда администраторы и прочие пользователи не будут искать пути обхода. Кроме того, эксперт обратил внимание на полный охват инфраструктуры и быстродействие. А вот вопрос об интеграции с другими системами, по его словам, неоднозначен: заказчики её запрашивают, но при этом в реальной работе не используют.
Ярослав Голеусов назвал важным требованием интеграцию с экосистемой. По его оценке, значимость экосистемного фактора на российском рынке PAM будет расти. Также всё более популярными становятся подсистемы самообслуживания.
По оценке Алексея Исаева, появляется запрос на новые технологии автоматизации и предиктивного анализа. Также, по его оценке, уже созрел спрос на облачный PAM по модели управляемого сервиса (MSSP). Кроме того, Андрей Акинин обратил внимание на то, что спрос на PAM по модели MSSP начал появляться и со стороны потенциальных провайдеров.
По мнению Юрия Маслова, большой практический интерес потенциальные заказчики высказывают к двум задачам: контролю доступа к СУБД и удалённому доступу. При этом крайне желательно, чтобы их решала одна система.
Комментируя результаты четвёртого опроса (рис. 5), Илья Шабанов обратил внимание на рост числа скептиков по сравнению с эфиром 2023 г. Впрочем, такой скептицизм часто неизбежен в условиях активных перемен.
Рисунок 5. Мнение зрителей о PAM
Выводы
По мнению экспертов, самое интересное ждёт нас впереди, через три-четыре года, когда завершатся контракты на поддержку существующих инсталляций зарубежных PAM-систем и их придётся заменять отечественными. Это серьёзно усилит динамику рынка и может серьёзно повлиять на расстановку сил.
Не менее значимым фактором станет адаптация продуктов к развитию всего ИТ-рынка. Запрос на контроль межмашинных взаимодействий или облачных сервисов есть уже сейчас, и по мере распространения этих технологий и устранения регуляторных барьеров спрос на их реализацию станет массовым, к чему надо быть готовым.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий! Для этого подпишитесь на наш канал в YouTube.