Какую пользу имеет безупречная видеозапись ограбления, если похищенное уже невозможно вернуть? Эта аналогия отчасти применима и к контролю действий в IT-инфраструктуре. Дмитрий Федоров, пресейл-аналитик Solar SafeInspect ГК Солар, подчеркивает, что анализ записей сессий – базовый и важнейший сценарий работы с системой контроля привилегированных пользователей (PAM). Он позволяет детально расследовать инцидент. Однако этот функционал можно и нужно дополнять проактивными действиями – возможностью вмешаться в сессию в реальном времени и остановить нарушителя до того, как будет нанесен непоправимый ущерб.

От реакции к предотвращению: новая философия контроля

Работа с последствиями инцидента – это всегда работа с уже свершившимся фактом. Запись сессии нужна для расследования, когда что-то уже случилось. Мы можем детально изучить действия пользователя, проанализировать инцидент и принять меры для минимизации последствий, что является основной задачей PAM-систем. По данным «Солара», цена ошибки здесь может быть огромной – число публикаций баз данных российских компаний в 2024 году выросло на 43%. Именно для предотвращения, а не только для разбора последствий, в PAM-системах и существует функционал онлайн-мониторинга. Это возможность наблюдать за работой пользователя в live-режиме, будто стоишь у него за спиной. Главное здесь – не просто фиксация, а шанс предотвратить инцидент прямо здесь и сейчас, буквально схватить нарушителя за руку. Например, если он начинает скачивать запрещенный контент или, что еще опаснее, пытается изменять системные логи, чтобы скрыть следы своих действий.

При этом считать, что главный объект контроля – это системный администратор, было бы ошибкой. Реальность сложнее, и круг лиц с повышенными привилегиями гораздо шире. Это может быть бизнес-пользователь, работающий с финансовыми документами, или сотрудник техподдержки, который подключается к системам заказчика и может случайно «уронить» сеть. В эту же категорию попадают операторы баз данных, разработчики и внешние подрядчики. Риски несет не только злой умысел, но и человеческий фактор, усугубленный слабым контролем доступа – одной из ключевых уязвимостей в корпоративных периметрах. Более того, угрозу представляют даже "мертвые души". Центр исследования киберугроз Solar 4RAYS подчеркивает, что более чем в 40% компаний доступ к ресурсам сохраняется у сотрудников даже после их увольнения.

Механика проактивной защиты: разрыв, «четыре глаза» и автоматизация

Главное преимущество онлайн-мониторинга перед пост-анализом записи формулируется просто – это возможность разорвать сессию. Если специалист службы безопасности видит в режиме реального времени нелегитимные действия, он может немедленно и принудительно прервать соединение. У пользователя в этот момент просто пропадает связь с целевым сервером, а атака или ошибочное действие останавливается. Это особенно важно в контексте роста числа атак с использованием скомпрометированных учетных данных, когда под легитимной учетной записью может скрываться злоумышленник, получивший к ней доступ.

Конечно, постоянно наблюдать за работой даже нескольких сотен пользователей невозможно, но для точечного контроля за самыми ответственными операциями существует режим «четырех глаз». Когда пользователь с таким правилом инициирует сессию, система ставит ее на паузу и отправляет администратору безопасности запрос на подтверждение. Администратор вручную дает разрешение на подключение и может сразу начать наблюдение. Это помогает сфокусировать внимание именно в тот момент, когда это необходимо.

Впрочем, основную работу по рутинному контролю берет на себя автоматика. Система может прерывать сессии на основе заранее заданных триггеров: от ввода запрещенной команды из черного списка до попытки запуска нежелательного ПО. Но наиболее мощный сценарий – интеграция с SIEM. PAM передает в SIEM журнал событий, и уже SIEM на основе правил корреляции, выявив сложную аномалию, может сама отправить команду на разрыв подозрительной сессии.

От теории к практике: выбор целей и обход «подводных камней»

Внедрять тотальный онлайн-мониторинг для всех – дорого и неэффективно. Ключ к успеху – в правильной приоритизации, которая определяется внутренними политиками безопасности компании. Однако есть общая рекомендация: в первую очередь сосредоточить внимание на «недоверенных» или высокорисковых группах. Например, когда в компании появляется новый внешний подрядчик. Первую неделю за его работой желательно понаблюдать в онлайне, чтобы лично убедиться в корректности его действий.

При этом важно помнить, что любой мощный инструмент требует аккуратного обращения. Существует технический риск ошибочного разрыва сессии во время выполнения важной задачи, например, бэкапа. Чтобы этого избежать, ИБ-специалист должен либо сам обладать достаточной экспертизой, либо действовать по четким регламентам. Не менее важна и организационно-юридическая составляющая. При работе с подрядчиками необходимо заранее прописывать в договоре пункт о возможности мониторинга их сессий, чтобы избежать юридических «коллизий».

PAM как часть экосистемы ИБ

PAM-система – это не только «щит», но и «глаза» для всей экосистемы ИБ, ценнейший источник информации для смежных систем. Как уже упоминалось, PAM поставляет в SIEM метаданные о событиях – кто, куда и когда подключался, какие команды вводил. Это обогащает общую картину и позволяет выявлять сложные, многоэтапные атаки. Сценарий интеграции с DLP-системами иной. Туда можно перенаправлять весь текстовый трафик сессий на внешний ICAP-сервер. DLP проанализирует это содержимое на предмет утечки конфиденциальной информации и примет решение на основе своих политик. Таким образом, в SIEM передаются события, а в DLP – само содержимое сессий.

Главный барьер – не технология, а ресурсы. С чего начать?

Технология онлайн-мониторинга доступна и отлажена, но на практике компании используют ее не так часто, как могли бы. Проблема здесь не в сложности настройки. Главная преграда – нехватка человеческих ресурсов. У специалистов по информационной безопасности множество задач, и онлайн-мониторинг требует, чтобы один человек какое-то время выполнял одну-единственную задачу – пристально смотрел в монитор. У многих ИБ-отделов на это попросту нет свободных рук.

Поэтому путь к проактивной защите не обязательно должен быть резким. Начать стоит с эксперимента. Для начала можно просто внедрить запись всех привилегированных сессий, научиться работать с отчетами и анализировать их. Следующим шагом стоит провести пилотный проект: сравнить эффективность пост-анализа записей с результатами онлайн-наблюдения за небольшой, но критичной группой пользователей. И только после этого, на основе реального опыта, можно принимать взвешенное решение, для каких именно сценариев и сотрудников действительно необходим этот ресурсозатратный, но мощный инструмент.