Основные тренды PAM-решений в отчете Gartner Magic Quadrant for Privileged Access Management 2023
Управление привилегированным доступом (PAM) является основным инструментом противодействия атакам через цепочку поставщиков, которые вошли в ТОП-4 векторов проникновения в 2023 году по данным НКЦКИ. Экспертное описание PAM-решений, функциональных возможностей, прогнозов и тенденций можно найти в отчете Gartner Magic Quadrant for Privileged Access Management 2023, опубликованном в сентябре 2023 года. Отчет дает понимание направления развития решений управления привилегированным доступом, необходимое всем участникам рынка ИТ-безопасности. Краткий обзор 30-страничного отчета специально для TAdviser подготовила компания Вэб Контрол.
Gartner заявляет, что PAM-системы стали широко распространенными инструментами информационной безопасности, однако при их внедрении компании испытывают трудности, когда выходят за пределы базового функционала, объем этих трудностей зависит от вендора. От вендора зависит и как реализована поддержка обнаружения учетных записей и управления идентификацией машин, а также ценообразование и условия лицензирования.
Среди новых трендов этого года — поддержка принципов zero trust и нулевых постоянных привилегий (zero standing privilege) практически у всех вендоров, вошедших в квадрант. Продолжается тенденция прошлого года по поддержке контроля доступа к облачным ресурсам. Последние два года страховщики рисков кибербезопасности все чаще требуют от компаний внедрения PAM с многофакторной аутентификацией.
Определение и описание рынка
По определению Gartner, системы управления привилегированным доступом (PAM) — это инструменты управления и защиты учетных записей, учетных данных и команд, которые обеспечивают повышенный уровень технического доступа, т.е. доступ для администрирования или настройки систем и приложений. Такие системы могут поставляться в виде программного обеспечения, сервиса или устройства. PAM-инструменты управляют привилегированным доступом людей (системных администраторов и других лиц) и машин (систем или приложений). Как и в прошлом году, Gartner выделяет четыре категории PAM-инструментов: управление привилегированными учетными записями и сеансами (PASM), управление повышением и делегированием привилегий (PEDM), управление секретами и управление правами на облачную инфраструктуру (CIEM). Последняя категория впервые появилась в отчете прошлого года.
Привилегированный доступ превышает уровень доступа, предоставляемого обычным бизнес-пользователям. Бизнес-пользователи могут иметь доступ к конфиденциальной информации: ноу-хау, финансовые документы, персональные данные, однако их деятельность и их права контролируются и ограничиваются различными инструментами. Привилегированный доступ позволяет администратору обходить существующие средства контроля доступа, изменять конфигурации безопасности или вносить изменения, затрагивающие нескольких пользователей или систем. Привилегированный доступ позволяет создавать, изменять и удалять элементы ИТ-инфраструктуры, а также данные компании, содержащиеся в этой инфраструктуре, поэтому он может нести в себе огромный риск. Таким образом, контроль привилегированным доступом является одной из важнейших функций безопасности для любой компании. Обычные средства контроля доступа пользователей не могут эффективно управлять привилегированным доступом, поэтому требуются специальные процедуры и инструменты.
Gartner выделяет 2 большие группы PAM-инструментов: инструменты, специализирующиеся на работе с привилегированными учетными записями, и инструменты для контроля исполнения привилегированных командам.
Инструменты, сфокусированные на работе с привилегированными учетными записями, помогают компаниям обнаружить привилегированные учетные записи, используемые людьми и машинами. Эти средства обеспечивают защиту учетных записей путем ротации и хранения их учетных данных (например, паролей, ключей), а также контролируемого делегирования доступа к ним. Говоря об интерактивных учетных записях, используемых людьми, инструменты PAM добавляют к унаследованным системам, не имеющим многофакторной аутентификации, функционал строгой аутентификации и удаленный zero-trust-доступ посредством механизмов управления сеансами, что позволяет использовать привилегированные учетные записи без раскрытия их учетных данных.
Говоря об неинтерактивных учетных записях, используемых машинами, инструменты PAM защищают взаимодействие с привилегированными учетными данными, чтобы не допустить их раскрытие в неиспользуемом состоянии. Для этого часто требуется кооперация с приложениями и кодом (и внесение в них изменений). Типичными примерами машинных учетных записей являются служебные учетные записи и учетные записи автоматизации, используемые в DevOps и современных облачных разработках.
Вторая категория PAM-инструментов обеспечивает контроль над исполнением команд, позволяя выполнять только определенные действия, и может временно повышать привилегии пользователя для выполнения команд в привилегированном контексте. Все средства PAM обеспечивают видимость и возможность контроля использования привилегированных учетных записей и команд путем отслеживания и регистрации привилегированного доступа для аудита. Сюда может относиться подробная запись сеансов, чтобы понять не только кто и когда использовал привилегированную учетную запись, но и для выполнения каких действий.
Сочетание технических средств контроля, предоставляемых инструментами PAM, позволяет внедрить управление привилегиями по принципу «точно в срок» (just in time) для реализации принципа наименьших привилегий: пользователи должны иметь только минимальный уровень привилегий исключительно на время, необходимое для выполнения конкретной задачи. Это является одним из существенных отличий PAM от других систем контроля доступа.
Традиционно в своих отчетах Gartner обозначает функциональные возможности решения, это позволяет производителям «не отрываться от рынка», а покупателям ориентироваться на рынке.
Обязательными функциональными возможностями PAM Gartner называет:
-
обеспечение централизованного управления и реализации привилегированного доступа посредством контроля доступа к привилегированным учетным записям и учетным данным или контроля выполнения привилегированных команд (или и то, и другое);
-
управление и посредничество в предоставлении привилегированного доступа авторизованным пользователям (например, системным администраторам, операторам, сотрудникам службы поддержки и т.д.) на временной основе.
Все PAM традиционно включают в себя: · хранилище учетных данных и управление привилегированными учетными записями; · управляемое повышение привилегий с использованием агентов для команд, выполняемых в операционных системах Windows, UNIX/Linux или macOS; · обнаружение привилегированных учетных записей в различных системах, приложениях и облачных инфраструктурах; · управление, мониторинг, запись и удаленный доступ к привилегированным сеансам; · предоставление возможности аудита для определения кто, когда и где использовал привилегированный доступ.
В сравнении с отчетом прошлого года к традиционному функционалу добавилось управление повышением привилегий и предоставление возможности аудита.
Gartner отмечает, что в настоящее время ряд вендоров PAM предоставляет дополнительный функционал, на который, по нашему мнению, стоит обратить внимание при выборе: · управление секретами для приложений и сервисов; · управление жизненным циклом привилегированных учетных записей и удаленный привилегированный доступ для поставщиков, провайдеров услуг и других внешних пользователей, которым требуется технический доступ; · управление привилегиями "точно в срок" (just in time), позволяющее сократить время и объем предоставленных пользователю привилегий до минимально возможных; · управление правами на облачную инфраструктуру (CIEM) и обнаружение таких учетных записей.
Кто вошел в магический квадрант 2023 года
Чтобы попасть в магический квадрант компании должны соответствовать определенным критериям. Решение должно поддерживать, как минимум, три из следующих пяти функциональных возможностей: хранилище учетных данных, автоматический запуск сеанса удаленного доступа по протоколам SSH, RDP или HTTPS без раскрытия пользователю учетных данных, управление секретами, управляемое повышение привилегий на основе агентов для Windows, UNIX/Linux или macOS и управление привилегиями в облачной инфраструктуре. Помимо этого, в PAM-продукте должны быть реализована ролевая модель доступа, функционал должен быть задокументирован, решение должно продаваться в нескольких регионах, использоваться в различных отраслях, позиционироваться как PAM и соответствовать требованиям Gartner к объемам продаж и/или количеству заказчиков. В отчете Gartner отмечает вендоров, которые не вошли в квадрант, но к которым стоит присмотреться по разным причинам. Например, в прошлогоднем отчете в число таких вендоров вошел HashiCorp, нишевой игрок этого года. В этом году эксперты рекомендуют обратить внимание, среди прочих, на Apono, Fudo Security, StrongDM и Teleport.
Компания Apono предлагает сервис, который предоставляет just-in-time-управление привилегированным доступом к облачным ресурсам для разработчиков и администраторов. Облачное решение StrongDM также ориентировано на установление сеансов привилегированного доступа на основе подхода just in time. Teleport ушел от классического PAM и предоставляет доступ на основе идентификации при работе с SSH, Kubernetes, веб-приложениями и базами данных. Fudo Security предлагает поведенческую аналитику на основе ИИ, которая используют анализ движения мыши, ввода текста с клавиатуры и команд для обнаружения угроз.
Тенденции и прогнозы
Требования страховщиков: новый драйвер внедрения PAM
Традиционными драйверами PAM на зарубежных рынках являются обеспечение безопасности доступа, соответствие корпоративным и нормативным требованиям. Последние два года к ним добавились страхованиекибербезопасности: страховщики все чаще требуют от компаний внедрения PAM с многофакторной аутентификацией для административного доступа, чтобы снизить риск утечек и вредоносных программ.
Использование PAM для удаленного и облачного доступа
По данным НКЦКИ 2023 год в России отмечен многочисленными атаками через цепочку поставщиков: «подрядчики и системы, имеющие сопряжение с целевой инфраструктурой» входят в ТОП-4 векторов проникновения.
Компании часто привлекают подрядчиков для администрирования серверов, баз данных и других систем. Традиционно для организации удаленного доступа внешних технических специалистов используется VPN, однако это несет определенные риски из-за отсутствия возможностей строгой аутентификации, учета и управления привилегированными учетными записями. Gartner говорит о росте интереса к инструментам PAM для управления удаленным привилегированным доступом. Многие вендоры PAM уже предлагают решения для контроля удаленного доступа, причем их функционал, по словам Gartner, аналогичен средствам контроля сетевого доступа на основе zero trust. Другие производители, по словам аналитиков, в настоящее время работают над расширением своего функционала в эту сторону. Таким решения выходят за рамки простого доступа по SSH и RDP, позволяя инструментам на удаленной рабочей станции функционировать в клиентской среде.
Кроме того, на рынке растет количество инструментов, ориентированных на управление удаленным привилегированным доступом разработчиков и инженеров к облачной инфраструктуре, в частности для поддержки DevOps. К числу таких инструментов Gartner относит HashiCorp, Apono, Teleport и StrongDM.
PAM для конечных точек
Аналитики ожидают, что будет расти потребность в PAM для конечных точек. Мы обратили внимание, что лидеры квадранта уже включили контроль привилегий на конечных точках в свой портфель решений. Иногда этот функционал реализуется решениями смежного рынка — EPP и UEM. Потенциально они могут стать заменой (или альтернативой) покупке PEDM у поставщиков PAM для управления привилегиями на конечных точках.
Применение модели безопасности, основанной на оценке рисков или минимальной эффективности, к PAM
PAM — сложная система, и не только из-за множества разрозненных сценариев использования и различных типов привилегий. PAM создает трудности для пользователей, поскольку изменяет способ их доступа к системам. Лучшим способом смягчить это влияние и сбалансировать затраты, операционное воздействие и безопасность является применение к PAM риск-ориентированного подхода.
Например, если значительная часть интеллектуальной собственности хранится на серверах Linux, а расходы и усилия направлены в основном на серверы Windows, то это свидетельствует о несбалансированности подхода к PAM. Если наибольшему риску подвергаются регулируемые данные, такие как персональная информация или информация о здоровье, а наибольшие затраты и усилия направлены на службу технической поддержки, это также может свидетельствовать о несбалансированном подходе к PAM.
Чтобы применить подход к PAM с учетом рисков, сначала необходимо провести углубленное изучение учетных записей во всех случаях использования PAM, для всех типов пользователей (человеческих и машинных) и для всех сред (локальных, IaaS и SaaS). После выявления и классификации сценариев использования PAM нужно определить риск доступа — от наибольшего риска к наименьшему. Затем следует выстроить практику PAM, направленную на решение тех задач, которые представляют наибольший риск для бизнеса. Надо понимать, что иногда снижение риска на 80%-90% — это нормально, особенно если для достижения последних 10%-20% необходимо потратить вдвое больше средств, чем уже было потрачено, но результат не будет соответствовать этим затратам.
Менеджеры паролей vs PAM
По мнению Gartner, менеджеры паролей не подходят для управления учетными данными привилегированных учетных записей из-за отсутствия необходимого функционала:
-
отслеживание привилегированных учетных записей в различных системах, приложениях и устройствах,
-
управление учетными данными служебных учетных записей,
-
установление сеансов привилегированного доступа по протоколам SSH, RDP или HTTPS, не раскрывая учетных данных пользователю,
-
запись сеансов привилегированного доступа и возможность их просмотра, управление живыми сеансами, возможность их приостановки и блокировки,
-
передача учетных данных другому ПО, что позволяет устранить учетные данные в открытом виде в конфигурационных файлах или сценариях,
* аналитика и отчетность по привилегированным учетным записям и их использованию (например, обнаружение несанкционированного использования привилегированных учетных данных или отчетность о необычных действиях).
Причины роста рынка PAM
По оценке Gartner, рост рынка PAM в 2023 году составляет 13,6% по сравнению с 2022 годом. Росту способствуют громкие утечки, связанные с компрометацией привилегированных учетных записей и злоупотреблениями привилегиями, требования регуляторов, размытие периметра безопасности и миграция в облако, как и общее увеличение числа атак. Интересно отметить, что от 10% до 20% клиентов Gartner начинают изучать и оценивать PAM из-за требований страховщиков киберрисков.
К росту продаж PAM привел и интерес к управлению удаленным доступом: PAM является общепризнанной оптимальной практикой для выполнения требований регуляторов и снижения рисков безопасности, связанных с удаленным доступом, поэтому выросли продажи продуктов, ориентированных на удаленный доступ. Это, в свою очередь, привело к тому, что производители стали уделять большое внимание развитию возможностей удаленного доступа.
Gartner также отметил появление новой целевой аудитории — разработчики ПО и операторы облачных сервисов, что было вызвано развитием возможностей управления секретами в PAM-решениях.
Рынок PAM в России
За редким исключением, решения вендоров, упомянутых в Gartner, в России недоступны. Тем не менее, отечественные продукты следуют общемировым тенденциям в развитии управления привилегированным доступом и предлагают достойную альтернативу покинувшим российский рынок зарубежным продуктам. Решения компаний АйТи БАСТИОН, Вэб Контрол ДК, Индид, РТК-Солар, NGR Softlab в полной мере способны минимизировать угрозы, связанные с привилегированным доступом. Более того, ряд вендоров уже сейчас предлагает поддержку just-in-time-доступа и обеспечение контролируемого удаленного доступа поставщиков, что есть не у всех западных производителей. Это позволяет отечественным продуктам занимать достойное месте в классе PAM.
