Контроль привилегированных пользователей
5 взаимосвязанных стратегий для успешного внедрения PAM - ICORE

5 взаимосвязанных стратегий для успешного внедрения PAM

Обзор

Ключевые результаты
• Внедрение инструментов управления привилегированным доступом (PAM) — трудный процесс даже при самых благоприятных обстоятельствах, но сопротивление со стороны сообщества пользователей и технические проблемы задерживают или тормозят реализацию многих PAM.
• Неспособность учесть риск, связанный с привилегированными учетными записями, является основной причиной почти каждого серьезного нарушения. Управление риском существования привилегированных учетных записей является главным требованием кибербезопасности.
• Большинство организаций постоянно борются за соблюдение принципа наименьших привилегий во всех привилегированных вариантах использования.
• Видимость является проблемой для многих организаций; как в локальной, так и в облачной среде недостаточно просто видеть, у кого и когда есть доступ, но также и то, что они делают для криминалистического анализа, надлежащего управления изменениями и контроля безопасности.
• Почти невозможно вручную контролировать привилегии только с помощью политики и процедур. Хотя инструмент PAM сам по себе не устраняет риск привилегированного доступа, он является важной частью реализации политики PAM.

Рекомендации
Руководители управления безопасностью и рисками (SRM), отвечающие за управление идентификацией и доступом (IAM) и обнаружение мошенничества, должны:
• Создавайте культуру, включающую использование инструментов PAM, заблаговременно вовлекая всех в процесс. Определите влиятельных лиц и ключевых игроков в культуре, различные лидеры и отдельные сотрудники должны участвовать в формировании видения того, как будет решаться PAM.
• Найдите и подключите все привилегированные учетные записи, внедрив целостную, всеобъемлющую и непрерывную программу обнаружения.
• Устраните постоянные привилегии, насколько это возможно, сократив использование личных привилегированных учетных записей, используя общие менее привилегированные учетные записи (т. е. функциональные учетные записи) и максимально используя подходы JIT PAM.
• Обеспечьте видимость всех действий с привилегированными учетными записями, сосредоточившись на реализации записи и просмотра сеансов на
ранних этапах проекта PAM. Оцените продукты PAM по функциям, которые собирают и сопоставляют релевантные события и действия, а также тем, которые помогают быстро просматривать активность сеансов.
• Повышение операционной эффективности с помощью PAM за счет активной интеграции PAM с другими инструментами безопасности и IAM.

И так, начнем…
Проекты PAM сложны. Для большинства руководителей SRM самой большой проблемой является полное понимание того, какие привилегированные учетные записи существуют в различных средах, управляющих деятельностью современной компании. Кроме того, миграция административных вариантов использования с традиционных шаблонов прямого доступа, которые администраторы использовали в течение десятилетий, на более современные методы PAM и подходы JIT сложны и рискованны.

Отказ, который руководители SRM получают при внедрении практики PAM, значителен и во многих случаях задерживает или предотвращает завершение комплексной реализации PAM, оставляя организацию незащищенной.

Тем не менее, PAM является основным средством контроля безопасности, и страховщики кибербезопасности подталкивают организации к внедрению PAM вместе с более традиционными драйверами, такими как соответствие требованиям, аудит и юридические вопросы. Учитывая это, как лидеры SRM могут разработать план игры (т. е. дорожную карту), в котором будут учтены проблемы и ловушки, с которыми сталкивались другие до них, и те, которые во многих случаях сорвали практику PAM или, как минимум, это тень того, чем она должна быть? Как организации могут эффективно снизить риск использования привилегированных учетных записей?

Лидеры SRM, ответственные за IAM, могут использовать пять взаимосвязанных стратегий PAM, чтобы вывести организацию из аналитического паралича в начале, через страх перед изменениями в середине и к рогу изобилия ценности через завершение зрелой практики PAM.

Анализ

Изменение культуры
Неспособность обратить внимание на культуру или недооценить влияние культуры является основной причиной провала проекта PAM. Без учета культуры разработчики PAM могут столкнуться с сопротивлением проекту PAM со многих сторон, включая отдельных участников, лидеров IAM и бизнес-лидеров в области ИТ-администрирования, поддержки конечных точек, сообществ разработчиков и организаций по безопасности. Поскольку внедрение PAM — это сдвиг в подходе людей к административной работе, неадекватное объяснение того, почему требуются изменения, вызовет противодействие.

Перед запуском одного сканирования обнаружения и завершением одного POC необходимо предпринять следующие шаги для устранения сопротивления практике PAM, представленной существующей культурой:
Создайте концепцию PAM с одностраничным манифестом, ориентированным на каждую группу. На этой странице должно быть изложено видение, рассказано этой аудитории, какова их роль в проекте, и четко изложено, что от них ожидается, и какую выгоду они получают индивидуально.
Из исследовательской заметки Gartner «Успешная программа IAM начинается с концепции»:
Взаимодействуйте с заинтересованными сторонами через представителей, чтобы понять их потребности и управлять ожиданиями, устанавливая периодические точки взаимодействия для обсуждения прогресса и измерений.
Используйте разработку видения, чтобы создать политический капитал для программы IAM, проводя встречи и семинары, чтобы добиться приверженности и направления для программы.

Поддерживать рабочий консенсус среди заинтересованных сторон в отношении масштабов, целей и приоритетов программы IAM посредством многократных итераций уточнения видения, регулярно и конкретно сообщая о своих целях для программы.
Создайте руководящую группу и пригласите ключевые заинтересованные стороны и стейкхолдеров. Задача руководящей группы состоит не только в том, чтобы установить ожидания в отношении обязанностей, но и в том, чтобы создать положительный импульс и канал связи для всех групп на протяжении всего проекта.
Получите поддержку со стороны руководства. Иногда, когда проект заходит в тупик, требуется более высокий орган, которому поручено продвигать проект вперед. Наличие дополнительного рычага влияния, возможно, с участием исполнительного руководства в руководящей группе, позволяет проекту преодолевать трудности во время кризиса.

Внедрение комплексного обнаружения
Привилегированными учетными записями нельзя управлять, если они не обнаружены и не инвентаризированы, а начало надежной и эффективной практики PAM означает внедрение всеобъемлющего и непрерывного процесса обнаружения.

Каждый уголок вашей ИТ-инфраструктуры должен быть просканирован на наличие привилегированных учетных записей, таких как IaaS, SaaS, AD, приложения, базы данных, сетевые устройства, конечные точки и серверы — любое устройство или часть программного обеспечения, которое поддерживает пользователей, по умолчанию имеет привилегированную учетную запись. Следующий трехэтапный подход моделирует инвентаризацию:
1. Каждая учетная запись с привилегиями или с возможностью иметь привилегии обнаруживается и классифицируется.
2. Любой пользователь, человек или машина, имеющий доступ к этим идентифицированным привилегированным учетным записям, также должен быть инвентаризирован и привязан ко всем привилегированным учетным записям, к которым у них есть доступ.
3. Влияние или охват каждой из этих привилегированных учетных записей должно быть зафиксировано и добавлено к инвентаризации.

Этот трехэтапный подход должен генерировать информацию, необходимую для создания полной картины всех вариантов использования привилегированного доступа в вашей среде. Чтобы успешно реализовать комплексное обнаружение, выполните следующие рекомендации:
• Выполните всестороннее начальное исследование среды, а затем установите непрерывный процесс обнаружения.
• Составьте список всех операций PAM (вариантов использования) во всех средах, не забывая о базах данных, приложениях и типах устройств с интегрированным освещением (ILO).
• Включите всю ИТ-инфраструктуру, локальную (самоуправляемую), облачную (приложения SaaS, сложные приложения SaaS) и частное облако (IaaS). Не забывайте о других облачных инструментах и средствах обнаружения.
• Помните, что в большинстве сред ежедневно добавляются новые привилегированные учетные записи, поэтому обнаружение и подключение PAM должны быть непрерывными, и добавляйте дисциплины PAM ко всем проектам внедрения.

Применение принципа наименьших привилегий
После того, как инвентаризация всех вариантов использования PAM будет собрана, важно начать «корректировать» уровни привилегий в среде, согласовывая каждый вариант использования с принципом наименьших привилегий. Начните с применения пяти «W» к каждому варианту использования:
• (Who) Кто использует привилегированную учетную запись (например, служба поддержки, администраторы баз данных, разработчики или системные администраторы)?
• (Why) Зачем им нужно использовать учетную запись?
• (Where) Где используется учетная запись (например, в широких слоях окружающей среды или для ее небольшого подмножества)?
• (What) Какой уровень доступа используется (например, неглубокий или глубокий, предназначенный для определенных задач, таких как перезапуск службы, или учетные записи с неограниченным доступом, такие как администратор домена)?
• (When) Когда необходим доступ?

Нанесите эти варианты использования на тепловую карту, чтобы понять риск различных вариантов использования, сосредоточив внимание в первую очередь на вариантах использования с высоким риском, поскольку они имеют наибольший потенциал для нанесения ущерба окружающей среде.
Целью этой стратегии является постепенное сокращение или устранение использования учетных записей с неограниченным доступом, переход к функциональным учетным записям с конкретными целями, содержащими лишь достаточный доступ. Или, чтобы полностью исключить постоянный доступ, приняв JIT-подход для существующего варианта использования.

Существование личных привилегированных учетных записей, хотя и является обычной практикой, представляет собой вопиющее нарушение принципа наименьших привилегий. Личные привилегированные учетные записи, как правило, имеют чрезмерные разрешения, будучи частью групп администраторов домена или локальных администраторов, не подвергаются тщательному мониторингу и не следуют передовым политикам ротации учетных данных. При использовании инструмента PAM применяется концепция индивидуальной ответственности, учитывая, что каждый, кто входит в инструмент PAM и проверяет административную учетную запись, индивидуально отслеживается, а их привилегированные действия регистрируются.

Чтобы применить принцип наименьших привилегий, выполните следующие действия:
• Группируйте привилегированные действия в соответствии с общими требованиями (например, исправление, установка программного обеспечения и перезапуск служб) и создавайте функциональные учетные записи, соответствующие этим группам общих возможностей и вариантов использования требований.
• Уменьшите или исключите личные привилегированные учетные записи, переместив эти варианты использования в необходимую функциональную учетную запись.
• Уменьшите или устраните постоянные привилегии, где это возможно, приняв стандарт JIT PAM для существующих и будущих вариантов использования. Считайте учетные записи, которые невозможно решить таким образом, исключениями из этого процесса.
• Сократив сначала количество учетных записей на предыдущих трех этапах, начните создавать хранилища для всех привилегированных учетных записей, разрабатывая политики доступа для этих учетных записей с учетом риска.

Создайте и зафиксируйте видимость для всех действий PAM
Поддержание видимости активности PAM имеет решающее значение для управления привилегированным доступом, уступая только обнаружению. Это первый шаг к тому, чтобы сделать инструмент PAM незаменимым; Запись сеансов PAM — это инструмент № 1 в арсенале инструментов PAM, поэтому не полагайтесь только на системное ведение журнала событий.

Во-первых, как только инструмент PAM станет координационным центром для всех действий PAM, запись привилегированных действий станет проще. И, во-вторых, для случаев использования привилегированных учетных записей и управления сеансами (PASM) запись активности PAM помечается двумя очень важными действиями: проверка учетной записи для выполнения административных задач и ее возврат, когда пароль изменяется. Для случаев использования привилегированного управления правами и делегирования (PEDM) запись все еще может происходить, в зависимости от функциональных возможностей инструмента PAM.

Для большинства клиентов элементы управления сеансом PAM обеспечат львиную долю видимости активности PAM. Поэтому важно понимать эту функциональность. Несколько инструментов PAM могут использовать метаданные для обеспечения оптического распознавания символов и поиска по ключевым словам для сопоставления событий в видеозаписях, что значительно упрощает задачи судебной экспертизы или контроля качества.
Но важно использовать другие инструменты для наглядности. Для компаний с инструментами управления информацией и событиями безопасности (SIEM) оповещения могут быть настроены и отправлены группе IAM для дополнительной видимости активности PAM. Встроенные инструменты, такие как панель управления IaaS, потенциально могут предупреждать о нежелательном доступе к PAM, как и такие инструменты, как управление правами на облачную инфраструктуру (CIEM). И инструменты на уровне ОС, такие как средства мониторинга целостности файлов и папок, могут продолжать дополнять эту видимую картину.

Чтобы создать и зафиксировать видимость для всех действий PAM, следуйте этим рекомендациям:
• Купите инструмент PAM с надежными возможностями записи сеансов, записывайте все действия PAM, связанные с PASM, PEDM и JIT.
• Применяйте подход с поправкой на риски к просмотру записей активности PAM, то есть сосредоточьтесь на инфраструктуре или доступе, которые представляют больший риск для вашего бизнеса. Например, просмотрите серверы, которые содержат важные данные, и просмотрите действия новых администраторов.
• Расширьте возможности записи сеансов PAM с помощью других продуктов; журналы SIEM; контроль целостности файлов; средства предотвращения потери данных и расширенного обнаружения и реагирования (DLP/XDR); и инструменты управления правами на облачную инфраструктуру (CIEM).
• Работайте с записями и командами по соблюдению правил хранения, но, учитывая, что большинство компаний не знают об утечке в течение шести или более месяцев, рассмотрите возможность хранения записей PAM в течение как минимум девяти месяцев для криминалистической экспертизы, контроля качества и обучения.

Повысьте операционную эффективность с помощью PAM
Что, если бы инструмент PAM мог не только снизить риск, связанный с привилегированными учетными записями, но и создать ценность для бизнеса? Большинство инструментов PAM сами по себе снижают риск привилегированных учетных записей. Однако лидеры IAM могут повысить ценность инструмента PAM и повысить операционную эффективность и гибкость среды, объединив его с другими программными продуктами, включая инструменты сканирования безопасности, инструменты SIEM, инструменты контроля изменений, инструменты IGA и инструменты ITDR.
Преимущества зависят от среды, но использование инструмента управления и администрирования удостоверений (IGA) для управления жизненным циклом учетных записей PAM поможет снизить риски, связанные с этими учетными записями. Видимость и соответствующий контроль инструмента CIEM могут помочь определить и контролировать привилегии в высокодинамичных средах IaaS. А инструмент управления секретами может предоставить разработчикам, работающим в контейнерных средах, критически важные элементы управления. Расширяя область действия инструмента PAM для более эффективного управления привилегированным доступом, организации могут ускорить цифровую трансформацию и связанные с ней проекты, поскольку они понимают базовый уровень привилегированного риска, а также подход к снижению этого риска.

Инструменты управления ИТ-услугами (ITSM) полезны для рабочих процессов и процессов утверждения запросов на доступ к PAM, а инструменты управления изменениями позволяют ограничить привилегии рамками окон управления изменениями. Не стоит недооценивать ценность альтернативных издержек для бизнеса, когда высокопоставленные администраторы тратят большую часть своего дня на рутинные, предсказуемые и повторяющиеся задачи. Перенос этой деятельности в инструмент PAM может высвободить эти ценные ресурсы для выполнения важных задач, предоставив возможности для повышения скорости реагирования и гибкости компании.

Чтобы повысить эффективность работы с PAM, следуйте этим рекомендациям:
• Используйте преимущества более эффективного и безопасного управления привилегированными учетными записями, чтобы предоставить бизнесу возможности стать сильнее, гибче и быстрее.
• Используйте инструмент PAM для рутинных повторяющихся привилегированных задач, высвобождая ценные ресурсы для важных действий. Кроме того, используйте управление секретами для динамического программного доступа с помощью процессов DevOps и конвейеров CI/CD.
• использовать другие инструменты IAM; IGA для жизненных циклов учетных записей PAM и кампаний по сертификации доступа; управление доступом (AM); и надежная многофакторная аутентификация (MFA) для удобного и безопасного доступа к инструменту PAM.
• Используйте инструменты управления изменениями и ITSM для обеспечения доступа JIT и управления рабочими процессами для доступа к привилегированным учетным записям.

Источник:
https://www.gartner.com/doc/reprints?id=1-2C6QVXYM&ct=230104&st=sb

Авторы:
Michael Kelley
Felix Gaehtgens
James Hoover
Abhyuday Data

Перевод:
Галимова Э.И.