Автор: Асреев Артём, Архитектор ИБ
У всех современных компаний в 2025 году есть потребность в предоставлении удалённого доступа к своим ресурсам не только для своих сотрудников, но и для внешних пользователей, например, подрядчикам для выполнения работ, заказчикам для демонстрации решений и прочим контрагентам.
В жизни мы привыкли доверять людям. Доверие удобно, оно экономит время. Но доверие в чистом виде — это утопия. В современном мире его легко обернуть против нас. Тем более, когда дело касается компании и обеспечения её информационной безопасности, а, следовательно, и наших заказчиков. В этом случае мы всегда придерживаемся политики нулевого доверия (Zero Trust).
Каждое утро в офисе начинается одинаково. Мы включаем комп, пролистываем свежие новости, создаём тикеты, открываем дашборды. Казалось бы, рутина, но за этой рутиной прячется главный раздражитель — чьи-то видимые (и не очень) действия в системах: администратор запускает сессию, подрядчик обновляет сервис, инженер выгружает дамп базы данных. Все эти события кому-то могут показаться «естественным шумом» инфраструктуры, не требующим особого внимания. Но не нам.
Работа любого сотрудника начинается с входа в необходимые для выполнения должностных обязанностей системы:
общекорпоративные ресурсы (портал, почта, система электронного документооборота (СЭД) и т.п.).
более важные критичные ресурсы — базы данных, серверы, инфраструктурные сервисы, системы управления — доступ к которым необходимо контролировать особенно тщательно.
Именно здесь и проявляется важность направления управления идентификацией и доступом в информационной безопасности (IAM и ряд других средств защиты). И именно здесь на первый план выходит Privileged Access Management (PAM), обеспечивающий централизованное управление и мониторинг привилегированного доступа, минимизацию рисков неправомерного использования и защиту ключевых точек инфраструктуры.
С повышением уровня зрелости ИБ возникает острая необходимость сделать процесс управления привилегированным доступом более управляемым и прозрачным, как для службы обеспечения безопасности, так и для конечных пользователей. Существуют различные средства защиты, такие как IDM и FAM, но при этом ключевым остаётся PAM, поскольку именно с привилегированными учётными записями необходимо работать особенно внимательно. И именно поэтому мы и решили использовать PAM в нашей компании.
Предсказуемо, что мы используем собственную разработку компании — Innostage Cardinal PAM.
Мы начали эксплуатацию именно с наших контрагентов — всех внешних пользователей, получающих доступ к нашей инфраструктуре, с которыми у нас какие-то юридически-оформленные отношения. Для удобства и простоты восприятия буду называть их подрядчиками. К ним уровень доверия всегда ниже, чем к собственным сотрудникам, ведь мы не можем знать о применяемых мерах безопасности на устройствах контрагентов (не можем в достаточной степени осуществлять контроль защищённости их устройств и не знаем об уровне осведомлённости в области ИБ сотрудников сторонних организаций). К тому же мы уже давно на открытых кибериспытаниях, и поэтому наши внутренние сотрудники более информированы и бдительны.
Первые перемены
Раньше весь процесс доступа подрядчиков был вотчиной ИТ. Информационная безопасность участвовала формально: согласовать заявку через Service Desk и поставить условное напоминание «удалить доступ до конца месяца». Но ИБ службам важно было иметь свою систему для оперативного получения информации, проведения аудита и выдачи прав доступа.
Теперь всё это регулируется: срок действия учётки прозрачен, доступ можно продлить или прекратить автоматически, а через графический интерфейс это делается без громоздких бюрократических шагов.
Контрагенты получили удобный инструмент для доступа к необходимым ресурсам, ведь для доступа по любому из протоколов необходим лишь браузер. А служба ИБ — уверенность в том, что будут предоставлены минимальные и достаточные доступы на строго определённый временной промежуток, средство мониторинга и аудита доступов и управления ими.
Единая консоль, в которой все ресурсы, пользователи, привилегированные УЗ. Исключена даже теоретическая вероятность появления «вечных» паролей, забытых аккаунтов, которые живут своей жизнью. Теперь их роль ограничена сценарием: подключиться, сделать задачу, выйти. А PAM закроет за ними дверь. PAM стал дополнительным эшелоном в нашей комплексной системе защиты при предоставлении удалённого доступа, гармонично её дополнив. Мы получили цельный аудит внешних пользователей.
Один из подрядчиков по привычке попросил:
— Сделайте мне аккаунт с правами локального администратора, так будет удобнее.
Раньше мы бы не увидели полной информации без обращения ИТ, получения прав доступа к контроллерам доменов, групповым политикам (мы же помним, про Zero Trust? не доверяй никому). Теперь всё выглядит иначе. Мы создали соответствующую организацию в иерархии PAM, добавили его УЗ в эту организацию, назначили роль в PAM, добавили необходимые ресурсы, создали правило контроля доступа, и он подключился через web-консоль PAM, просто выбрав необходимый ресурс. Пароля он так и не увидел — система сама открыла сессию прямо в браузере и ввела креденшелы от привилегированной УЗ.
Поначалу это вызвало недоумение. Для него это было новшество, для нас — гарантия, что пароль не будет лежать в письме или чате, где его легко перехватить.
Сначала подрядчик удивился, потом сказал:
— Непривычно, конечно. Но, если честно, проще.
Культура расследований
Для специалистов по безопасности изменения особенно ощутимы. Раньше основным источником событий при расследовании инцидента были журналы ОС терминального сервера. В логах можно было найти время входа, IP-адрес, имя УЗ и ещё много полезной информации, но целостной картины не было. Сегодня у нас есть полноценная картина событий, приведших к инциденту: текстовые логи сессии, видеозаписи, журнал файлов.
Вот как пример — один из кейсов.
Подрядчик случайно удалил конфигурационный файл во время работ. Если бы это произошло два года назад, мы бы часами искали, кто именно подключался, проверяли права пользователей, опрашивали коллег, но, вероятнее всего, так и не смогли бы получить прямых доказательств вины подрядчика. Теперь мы просто открыли видеозапись сессии, которая синхронизирована с кейлогером, и увидели — в 15:42 подрядчик выполнял команду, перепутал путь и стёр лишний файл. Ошибка человеческая, незлонамеренная. Мы восстановили данные и показали подрядчику запись. Для него это стало уроком. Ну а мы получили подтверждение, что система работает, и сэкономили кучу времени на выяснение причин.
В другом случае подрядчик уверял, что не трогал определённый каталог. В прошлом нам пришлось бы разбираться вручную и спорить. Теперь мы показали запись, которая показала: да, доступ был, вот команда, вот результат. Разговор закончился спокойно, и подрядчик признал ошибку.
Подрядчики под другим углом
PAM изменил и сами отношения с подрядчиками. Теперь всё стало проще. Мы объясняем: «ваши действия пишутся, чтобы у всех была защита (и для вас, и для нас), а не для того, чтобы искать виноватых». Если что-то пошло не так — запись покажет.
Интересно, что это снимает напряжение. Подрядчики знают, что, если что-то случится, они смогут доказать, что работали корректно.
При этом упростился и сам процесс: доступ выдаётся за минуты, а закрывается автоматически. Даже двухфакторная аутентификация, которую всё равно выдаёт ИТ, теперь встроена в цепочку: VPN-шлюз (с 2FA) -> PAM (с 2FA) -> ресурсы. PAM стал дополнительной прослойкой в этой связке. Наличие встроенного в In PAM 2FA обеспечивает дополнительный уровень безопасности и контроля и существенно повышая защиту привилегированного доступа.
Интеграция и правила
Сегодня события PAM у нас направляются в SIEM, интеграция с которой сделала возможным круглосуточный мониторинг и выявление инцидентов на ранних этапах для эффективного реагирования.
И мы вместе с SOC регулярно дополняем правила корреляции новыми сценариями и разрабатываем документацию для базы знаний, чтобы, основываясь на ней, можно было создавать плейбуки для первой линии SOC. Это рабочий инструмент реагирования.
Например, одно из очевидных правил — большое количество неуспешных попыток аутентификации за короткий промежуток времени. При этом важно понимать, что от брутфорса PAM защищает не только через аналитику в SIEM, но и встроенными механизмами: капча от автоматизированного перебора и таймаут после нескольких неудачных попыток входа. Все эти настройки можно применять гибко и осуществляются они через веб-интерфейс PAM.
Месяц назад мы развернули отдельный инстанс PAM на внутренних привилегированных пользователей (администраторов), имеющих доступ к критическим ресурсам, требующим особого внимания и обеспечения безопасности, и сейчас мы эту инсталляцию пилотируем. Пока опыт успешен — PAM может быть полезен и внутри.
Повседневные детали
В повседневности Innostage PAM оказался простым в развёртывании и обновлении, администрировании и освоении пользователями, и быстро стал незаменимым инструментом для повышения зрелости ИБ компании и выстраивания грамотного процесса управления доступами. Мы эксплуатируем наш PAM с первого релиза до официального выпуска и выступаем как внутренний заказчик. По сути, испытываем на себе продукт.
Да, он работает как с основными протоколами удалённого доступа (RDP и SSH), также с помощью PAM можно подключаться к различным сетевым устройствам, базам данных и web-приложениям, публиковать приложения через RemoteApp и работать с ними. Продукт интегрируется при необходимости с различными службами каталогов (например, MS AD, freeIPA, ALDPro), средствами защиты таких классов, как: SIEM, антивирусы, песочницы.
Но для нас главное не это. Главное — PAM стал дополнительным эшелоном и источником событий безопасности, средством контроля за привилегированным доступом.
Есть и то, что раньше казалось не очень существенным. Например, передача файлов. Потребность передавать те или иные файлы во время работы на сервер и загружать с него — это очевидно, поэтому вопрос контроля передаваемых файлов в организациях стоит жёстко, запрет буфера обмена или односторонняя передача файлов, так можно было бы решить эту проблему, но с PAM можно не переживать, что подрядчик занесёт «заразу» в инфраструктуру или контрагент скачает что-то лишнее и конфиденциальное во время проведения работ.
При интеграции PAM с песочницей все файлы будут проходить поведенческий анализ. Теперь подрядчики загружают их через сессию, а PAM автоматически проверяет файлы в песочнице. Случаи, когда во вложениях оказывались заражённые утилиты, больше не страшны. Система просто не пропустит их дальше. Также при необходимости PAM может хранить теневые копии передаваемых файлов.
Как меняется культура
Самое интересное — это то, как меняется поведение людей. Когда администратор понимает, что его действия прозрачны, он действует внимательнее. Не потому, что боится наказания, а потому что исчезает соблазн сделать «на авось». PAM создаёт новое пространство доверия — не слепого, а подкреплённого фактами.
Ещё один пример: раньше подрядчики могли использовать один общий пароль для нескольких систем — просто, потому что так быстрее. Теперь это невозможно. С помощью встроенных инструментов/функционала PAM менеджмент и делегирование привилегированных учётных записей стали удобнее, что избавило нас от необходимости передавать контрагентам пароли от таких учётных записей, а также автоматизировало ротацию паролей привилегированных УЗ. Теперь мы не беспокоимся, что пароли наших привилегированных УЗ хранятся у подрядчика неподобающим образом (в текстовых файлах на рабочем столе, например), ведь у него их нет.
Мы видим, как меняется сама культура работы. Безопасность перестала восприниматься как внешнее давление. Она стала частью привычки работать аккуратно, фиксировать действия, задавать вопросы.
Итог
И если раньше мы говорили о PAM как о технологии, то теперь чаще говорим о нём как о среде. Среде, в которой безопаснее работать и проще доверять — потому что доверие подкреплено фактами.
Мы перестали воспринимать безопасность как что-то внешнее и мешающее. Она стала частью повседневной культуры: привычкой работать аккуратнее, фиксировать действия, задавать лишний вопрос, если что-то кажется сомнительным. Средой, в которой работать проще и спокойнее.
Метрики и прозрачность
Конечно, всех интересуют метрики.
Пожалуй, главные эффекты — это упрощение аудита (без реестров и ручного контроля заявок) и прозрачность доступа: видно, кто из внешних пользователей получил доступ, когда и куда, и на какой срок. Теперь есть уверенность, что срок доступа в инфраструктуру автоматизированно контролируется.
Да, серьёзных инцидентов после внедрения PAM пока не было (иначе мы бы не работали в области кибербезопасности). Но появилось понимание, что, если что-то случится, мы сможем разобраться быстро, имея на руках факты.