Василий Степаненко: PAM-система должна выполнять свою функцию, но при этом не мешать работе инженера

Василий Степаненко, директор центра киберзащиты компании DataLine — провайдера облачных сервисов на базе собственных дата-центров TIER III, рассказал редакции Anti-Malware.ru об опыте внедрения PAM-системы и различных сценариях её применения.

Сложным ли был для вас переход на «удалёнку»? И как обстоят дела с режимом работы в компании сейчас?

В. С.: К самой «удалёнке» мы были достаточно подготовлены. Средства для удалённого доступа присутствовали, поскольку большинство сотрудников обладало ноутбуками и практиковало подключение из дома. Сейчас также все сотрудники, которые могут выполнять свои обязанности из дома, остаются на «удалёнке». Остальные специалисты, которые должны поддерживать работу ЦОДов на местах, делают это с соблюдением всех актуальных норм и с использованием средств защиты.

При такой работе встаёт вопрос контроля за удалённым доступом, чтобы им не воспользовался злоумышленник. Пришлось ли устанавливать дополнительные политики безопасности? Или нужно было обеспечить работу бизнеса и с безопасностью пришлось идти на некий компромисс?

В. С.: Все политики уже были выстроены. В отношении самих средств удалённого доступа ничего не менялось.

У нас есть сервис двухфакторной аутентификации на базе SafeNet. Мы давно с ним работаем и внедряем 2FA там, где это возможно.

Сильные изменения коснулись логирования. Мы стали больше интересоваться тем, когда, в какое время суток, подключаются сотрудники, откуда, к чему именно.

Для контроля во время удалённой работы мы используем систему фиксации событий: запрос доступа, ввод пароля, прохождение двухфакторной аутентификации, вход в систему. Мы не отслеживаем действия всех сотрудников на виртуальных рабочих столах, не записываем сессии с мониторов. Нам необходимо следить за критически важными внутренними системами, а также за сервисами заказчиков.

В силу специфики бизнеса большинство сотрудников, которые у вас получают удалённый доступ, имеют повышенные права. Их нужно как-то контролировать, понимать, что именно они делают, вести дополнительное логирование, учитывая их возможности. Как вы решаете эту проблему? Используете ли для их контроля хорошо зарекомендовавшие себя средства контроля доступа привилегированных пользователей (Privileged Account Management, PAM)?

В. С.: Конечно, используем. Но не везде. Есть определённые сценарии. Инженеры 1-й линии уже имеют повышенные права, но ещё могут совершать ошибки. Они всегда работают через PAM. Инженеры более высокого класса потом разбирают их ошибки и показывают им, что сделано не так.

Есть системы, которые соответствуют различным требованиям, включая ISO/IEC 27000. Там мы тоже используем PAM. Мы пользуемся аутсорсингом; такие инженеры опять же подключаются через PAM. Есть аудиторы, которым нужно что-то показать, и для них тоже используем PAM. В общем, PAM эксплуатируется очень активно, особенно сейчас, в пандемию.

В вашем случае использование PAM — инициатива ИБ или ИТ? Инженерам, должно быть, спокойнее работать, когда есть централизованное логирование?

В. С.: Изначально инициатива шла от ИБ. Потом инженеры поняли, что это такое, и уже сами просили внедрить PAM для контроля надо младшими специалистами первой линии.

Первой реакцией, конечно, было отторжение. Тогда мы попросили некоторые группы показать, что им не нравится. Применяется СКДПУ НТ от «АйТи БАСТИОН», он незаметен для пользователя. Мы не используем управление правами, это реализовано на стороне системы. Таким образом, система работает, запись есть, но она не мешает. Почему бы и не внедрить?

Мы наращиваем сервисы, у этих сервисов есть владельцы — инженеры. У них у всех есть мотивация развиваться и двигать свои сервисы вперёд, а основной двигатель развития сервисов в России — это комплаенс. В комплаенсе везде нужен дополнительный контроль, поэтому сами инженеры просят использовать PAM и тем самым повысить значимость и привлекательность сервиса для клиента.

Помимо логирования и комплаенса: помогает ли PAM в расследовании инцидентов, выявлении «человеческого фактора» в ошибках?

В. С.: Да, есть такое. Сессии наших клиентов по умолчанию мы не фиксируем, готовы предоставить PAM только как сервис. Однако мы записываем сами себя. Если у клиента возникают претензии, то для нас это — средство разбора ситуации. Мы можем посмотреть, кто с нашей стороны заходил и какие действия производил. В подобных ситуациях необходимо смотреть логи наших систем на предмет того, а не сделал ли это заказчик сам. Случаи бывают разные. И чаще всего они происходят с инженерами первой линии. PAM позволяет быстро разобраться в ситуации и исправить её.

На российском рынке представлен широкий спектр PAM-систем. По каким критериям в вашем случае происходил выбор? Что было важно?

В. С.: Самый важный критерий — чтобы система не мешала. Она должна выполнять свою функцию, но при этом не воздействовать на работу инженера. Второй момент — деньги, нам важно зарабатывать их, а не спускать на ИБ. И третий момент — у нас есть инженеры, которые знакомы с одной из таких систем. Она достаточно проста, само решение несложно в части настроек, очень хорошо отрабатывает техподдержка, есть быстрая масштабируемость, отказоустойчивость. Мы широко используем терминальные серверы с брокерами облачных сервисов, CSB.

Да, не хотелось бы, чтобы сама PAM-система стала точкой отказа.

В. С.: Мы не замыкаем процесс на неё — PAM у нас не является средством управления доступом, эту функциональность мы не используем, так как нет потребности в ней.

PAM-системы активно развиваются в сторону активной безопасности. Например, если во время мониторинга видны опасные команды, то система прерывает сессию. По вашему мнению, такие возможности нужны или это избыточная функциональность?

В. С.: Зависит от сценария. Для инженеров первой линии существуют чётко прописанные инструкции на предмет того, какие команды можно вводить, поэтому да, для них такую функциональность можно использовать. А вот для инженеров более высокой квалификации и из подрядной организации такая блокировка может привести к невыполнению чего-либо, поэтому в данном случае мы верим в квалификацию этих инженеров и не используем эту функцию.

В каком направлении планируете развивать PAM внутри своей компании? Возможно, в сторону управления учётными записями или секретами, в сторону поведенческого анализа?

В. С.: У нас много внутренних задач. Мы внедряем разные вещи, пробуем новое, экспериментируем и делаем ставку на взращивание своих инженеров. Наша компания сильно зависит от квалификации людей. И мы вкладываемся в людей, в их расположение к нашей компании, а не в модные направления, для которых не видим необходимости развития. У нас стоят другие задачи, решения которых находятся в других классах продуктов.

Российское происхождение и наличие сертификатов повлияло в вашем случае на выбор решения?

В. С.: Скажем так, я не считаю PAM средством защиты. Всё-таки сертификаты ФСТЭК России выдаются на средства защиты, а это — средство расследования, которое находится в «серой зоне» по законодательству. Но наличие сертификатов является плюсом. Задачи импортозамещения становятся актуальными для наших клиентов, и российский продукт позволяет их решить, поэтому отечественное происхождение сертификатов также становится преимуществом.

С позиции своего опыта на что вы рекомендовали бы обратить внимание при выборе PAM-системы тем, кто сейчас только смотрит в этом направлении? Каковы особенности, которые важны и вам понадобились?

В. С.: Каждый вендор обладает своими особенностями. Мало у кого получится протестировать качественно, нужно много трудозатрат. Советую выбирать простое решение, по необходимым функциям, смотреть на свои потребности. Самое важное сейчас — это люди. Мало сейчас квалифицированных инженеров, которые могут разворачивать и поддерживать такие системы. Я за то, чтобы решения класса PAM были в руках службы ИБ компании, а не подрядчика-интегратора. Соответственно, служба ИБ должна уметь работать с этой PAM. Нет смысла в покупке очень дорогого сложного решения, с которым не сможет работать служба безопасности и по поводу которого придётся постоянно обращаться к интегратору или вендору.

При выборе PAM часто всплывает вопрос о поддержке целевых систем — это могут быть отдельные операционные системы, которые кем-то почему-то не поддерживаются, или различные серверы баз данных. Также встаёт вопрос об интеграции, например, с SIEM- и IdM-системами. В вашем случае насколько это было важно? Возможно, были какие-то специфические требования?

В. С.: Требования были, но решения для них на рынке нет. Проблемы были решены компенсационными мерами. Основное — это поддержка SSH и запись RDP.

С точки зрения интеграции, я думаю, всё тоже на базовом уровне — с SIEM через условный Syslog. Что-то ещё здесь придумать тяжело.

В.С.: Всё так. Действительно, чем проще, тем надёжнее.

Сколько времени в вашем случае занял проект по внедрению СКДПУ НТ? Насколько быстро и легко разворачивается PAM?

В. С.: У нас это — постоянное наращивание. Само развёртывание занимает день. Мы добавляем PAM в сегменты, где это требуется, и это быстро.

Какие подводные камни — кроме появления точки отказа — могут возникнуть при внедрении PAM-системы?

В. С.: Главное — обеспечить открытость. Если система предназначена для действительно привилегированных пользователей, то это — специалисты с хорошей квалификацией, которые сами всё быстро найдут и увидят, что их действия записывают. И будут недовольны тем фактом, что наличие шлюза от них скрыли. Ещё хуже, если после этого они попытаются обойти систему.

Всем должно быть известно, что шлюз есть и работает. Люди должны быть подготовлены к этому. Примерно как с DLP-системой: если она работает скрытно и внезапно кого-то вызывают в суд, то это может повлечь за собой встречные иски. Люди должны быть готовы к PAM-системе, осознавать, что их действия фиксируются не только для того, чтобы пресечь что-то. То есть это не средство тотального контроля, а помощник в их работе. Даже подрядчику это необходимо.

Спасибо за интересную беседу. Желаем успехов!