Если в компании используют системы двухфакторной аутентификации, например ID, логины и пароли — уже не единственные преграды на пути потенциальных злоумышленников. К логину и паролю добавляется второй фактор: пуш-уведомление или одноразовый код, а это значит, что даже при утечке пароля войти в систему будет непросто. Такой подход снижает риск компрометации учётной записи почти до нуля, а конкретнее — до 0,1%.
Но здесь стоит задать ещё один важный вопрос: что происходит после того, как пользователь успешно вошёл в систему? Особенно если у него есть привилегированный доступ — к серверам, базам данных, финансовой отчётности компании или конфиденциальной внутренней переписке. В этот момент пользователь, можно сказать, получает в руки ключи к инфраструктуре компании. И если на этапе входа в систему работает ID, то что может проконтролировать действия внутри этой системы?
Ответ — PAM от Контур.Эгиды. В этой статье рассказываем, почему система PAM (Privileged Access Management) может стать полезным дополнением для всех, кто уже использует ID.
Почему одной двухфакторной аутентификации может быть недостаточно
Легитимный вход в систему — ещё не гарантия безопасности: угрозы могут появиться не только извне, но и изнутри. Например, если сотрудник ошибся — случайно удалил важный файл или получил доступ к данным, которые ему не предназначались. Или если он действует намеренно — копирует конфиденциальные документы, пересылает их третьим лицам, устанавливает программы, которые создают точки уязвимости в системе, или вносит вредоносные фрагменты в код.
Особенно опасными могут быть такие действия, когда речь идёт о привилегированных пользователях: системных администраторах, разработчиках, бухгалтерах, руководителях. У них обычно больше полномочий, чем у обычных сотрудников. Они могут управлять инфраструктурой, настраивать доступы, работать с важной информацией — а значит, и потенциальный ущерб от их действий гораздо выше.
Поэтому важно не только фиксировать, кто вошёл в систему, но и отслеживать, что он делает после входа. Именно это и делает PAM-система — последовательно и прозрачно. Ниже — три основные причины, почему такая система будет особенно полезной для пользователей, уже работающих с ID.
Управление привилегированными правами доступа
РАМ — полный контроль и прозрачность действий привилегированных пользователей.
Причина первая: полный контроль действий после входа
ID справляется с задачей аутентификации — авторизации пользователя и допуска его к системе в целом. Но после этого пользователь как бы «растворяется» — никто не видит, что он делает внутри. А ведь именно эти действия зачастую важнее самого факта входа. Например, зашёл разработчик на сервер — хорошо. А дальше? Посмотрел логи? Скачал дамп базы? Подключил внешний диск и загрузил с него новые файлы? Без PAM это остаётся за кадром.
С PAM-системой этот «чёрный ящик» становится открытой книгой. Каждое действие пользователя фиксируется — в виде логов или даже видеозаписи сессии. Это не только помогает в случае расследования инцидентов, но и просто даёт уверенность: если что-то пойдёт не так, можно будет быстро понять, кто, когда и почему сделал тот или иной шаг.
Особенность PAM-системы в том, что она делает это ненавязчиво. Сотрудник просто работает в привычной среде, а система ведёт наблюдение в фоновом режиме. Если действия сотрудника соответствуют его роли, регламентам компании и требованиям безопасности — всё хорошо. Если что-то вызывает подозрения — у админа есть возможность оперативно отреагировать. А главное — у команды, отвечающей за информационную безопасность компании, появляется полная картина происходящего.
Интеграция с ID выполняется логично: пользователь проходит двухфакторную аутентификацию, подтверждает свою личность, а затем попадает под «мониторинг» системы PAM, которая соотносит все дальнейшие действия сотрудника с его ролью и полномочиями. Это единая цепочка без «белых пятен» и провалов.
Причина вторая: предотвращение инцидентов, а не только расследование
Даже когда действия пользователя фиксируются, лучше не допустить инцидента, чем потом разбираться с его последствиями. И здесь система PAM особенно полезна: она умеет не только записывать, но и анализировать поведение пользователя в реальном времени. Система поможет настроить правила: например, запретить копирование файлов на внешние носители или ограничить доступ к определённым базам, серверам или даже ко всей системе в нерабочее время.
Если сотрудник нарушает правила — PAM-система может либо сразу приостановить сессию, либо отправить уведомление администратору. Это позволяет выявить угрозу ещё до того, как она станет реальной проблемой, и предпринять необходимые действия.
В связке с ID всё работает ещё надёжнее. Представьте, что ID — это «входная дверь с охраной», которая проверяет документы. А система PAM — это человек, который сопровождает гостя внутри офиса, следит, чтобы тот не зашёл в серверную без разрешения или не попытался вынести документы. Такой подход значительно снижает риск и человеческой ошибки, и злонамеренных действий и делает инфраструктуру в целом безопаснее.
Причина третья: простая интеграция и единая экосистема
В некоторых компаниях внедрение PAM-системы может стать отдельным сложным проектом: закупка, настройка, обучение пользователей и администраторов, интеграция с существующей инфраструктурой требуют финансовых и временных затрат. Часто это становится препятствием для руководителей и сотрудников департамента информационной безопасности — у них просто не хватает ресурсов.
Но когда речь идёт о PAM, ситуация другая. Это решение развивается вместе с ID, использует тот же пользовательский интерфейс, и администратору не нужно переключаться между двумя разными программами. Всё работает в единой связке: ID отвечает за вход, PAM — за действия пользователей внутри.
Если в компании уже внедрён ID, подключение PAM не потребует радикальных изменений. Интеграция быстрая, техническая поддержка — единая, а обновления происходят регулярно. В результате получается не два отдельных инструмента, а единая система защиты, нейтрализующая максимум угроз.
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Вместе — надёжнее
ID — это контроль доступа: кто вошёл, когда и откуда. PAM — контроль действий: что делает пользователь внутри, с какими данные работает, к каким базам, папкам, файлам обращается.
По отдельности каждый из этих инструментов уже приносит пользу. Но вместе они создают практически нерушимую защиту от потенциальных угроз со стороны привилегированных пользователей: от момента их входа до завершения работы с системой. Особенно это важно, если речь идёт о критичных зонах — серверах, базах данных, бухгалтерии, внутреннем документообороте.
PAM — это логичное продолжение ID. Если компания уже защищает аккаунты сотрудников с помощью ID, следующий шаг — защитить систему изнутри. И чем раньше это произойдёт, тем надёжнее будет корпоративная инфраструктура.
Если вы уже используете ID — подключение PAM станет несложным шагом, который даст вам больше уверенности, прозрачности и контроля. А ИБ-специалистам компании — меньше поводов для тревоги.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.