Контроль привилегированных пользователей (PAM)

Контроль привилегированных пользователей, или Privileged Account Management (PAM) – это группа решений, предназначенных для осуществления мониторинга и контроля учетных записей сотрудников IT-подразделений, системных администраторов, сотрудников аутсорсинговых организаций, занимающихся администрированием инфраструктуры компании, управления аутентификацией и авторизацией указанных сотрудников, аудита выполняемых действий, контроля доступа и записи их сессий. Помимо аббревиатуры PAM для обозначения систем контроля привилегированных пользователей, встречаются другие наименования данного класса решений, например, Privileged User Management (PUM), Privileged Identity Management (PIM), Privileged Access Management (PAM), Privileged Password Management (PPM), Privileged Account Security (PAS).

Решения, позволяющие контролировать действия учетных записей сотрудников, имеющих расширенные права, относятся к группе систем управления учетными данными (IdM/IAM-системы). Требования по мониторингу действий, выполняемых от имени учетных записей с повышенными привилегиями, возникли в связи с потребностью многих организаций передавать некоторые задачи администрирования и обслуживания инфраструктуры в руки сторонних организаций. Передача критичных ресурсов на IT-аутсорсинг подразумевает под собой серьезные риски. PAM-системы подразумевают под собой наличие следующих функций:

• Централизованное управление учетными записями с расширенными возможностями;
• Аудит действий привилегированных сотрудников;
• Управление настройками парольной защиты;
• Контроль доступа сотрудников к административным ресурсам;
• Управление процессом аутентификации и авторизации;
• Запись сессии, запущенной из-под учетной записи из списка привилегированных.

В зависимости от выполняемых функций, системы контроля пользователей с расширенными возможностями делятся на четыре категории:

• решения, позволяющие управлять паролями сотрудников и осуществлять контроль доступа к общим учетным записям (SAPM);
• решения, позволяющие управлять сессиями привилегированных пользователей к системам организации используя единую точку входа или Single Sign-On (PSM). При этом они позволяют осуществлять мониторинг, записывать и хранить информацию о действиях пользователей в рамках привилегированной сессии;
• решения, позволяющие анализировать команды, которые использует администратор системы, а также выполнять их фильтрацию (SPM);
• решения, позволяющие производить контроль встроенных или служебных учетных записей, которые используются различными приложениями и сервисами для выполнения собственных функций (AAPM).

Указанные функции позволяют решать такие бизнес-задачи, как увеличение эффективности работы сотрудников с привилегированными учетными записями, сокращение издержек на нелояльный персонал, предотвращение утечек конфиденциальных данных.

По своей архитектуре PAM-системы могут быть выполнены как в виде программных, так и программно-аппаратных решений. Более того, по организации PAM-системы могут быть:

• Локальные, требующие высоких капитальных затрат и операционных расходов.
• Облачные, которые позволяют сокращать затраты за счет отсутствия необходимости организации и поддержки инфраструктуры.
• Гибридные.

Учитывая современные тенденции развития технологий и использования мобильных устройств для работы с конфиденциальной информацией или администрирования систем, решения по контролю привилегированных пользователей не могут стоять на месте и им приходится совершенствоваться день ото дня. При этом возникают такие сложности, как:

• охват всех существующих каналов администрирования систем;
• оперативное распознавание несанкционированных действий сотрудников;
• однозначная идентификация пользователей, совершающих несанкционированные действия;
• накопление доказательной базы поведения привилегированных пользователей.