Sistemele PAM (Privileged Access Management) reprezintă unul dintre cele mai importante elemente de protecție a infrastructurii IT. Acestea sunt utilizate în principal pentru protecția credențialelor conturilor non-personale (conturi partajate și conturi tehnice), în special în elementele critice ale mediului informatic. Implementarea politicilor adecvate pentru securitatea parolelor conturilor precum root, admin, sys, dba etc. este adesea dificilă și necesită efort manual din partea echipelor IT. Automatizarea procesului de gestionare a credențialelor (inclusiv rotația și criptarea parolelor) și securizarea și verificarea accesului la conturile cu drepturi la nivel superior reprezintă baza protecției infrastructurii critice împotriva accesului neautorizat.
- Domeniul PIM/PAM (Privilege Identity Management, Privilege Access Management) este identificat de Gartner ca una dintre cele mai importante investiții în domeniul securității IT.
- Sistemele PAM abordează trei nevoi de bază – gestionarea parolelor conturilor privilegiate, organizarea accesului și responsabilitatea pentru utilizarea conturilor cu drepturi la nivel superior, înregistrarea sesiunilor la distanță.
- Dezvoltarea naturală a sistemelor PAM sunt soluțiile PEDM (Privilege Elevation and Delegation Management) care permit o reglementare precisă a drepturilor conturilor.
- Premisa de bază pentru sistemele PAM este gestionarea conturilor partajate și tehnice, dar este indicată și gestionarea conturilor privilegiate personale.
- Implementarea corectă a unui sistem PAM este un proces care durează în medie între 4 și 8 săptămâni.
Nu doar înregistrarea sesiunilor
Soluțiile PIM/PAM (Privilege Identity Management, Privilege Access Management) sunt adesea percepute ca sisteme care înregistrează sesiunile la distanță ale administratorilor IT și subcontractorilor. Desigur, înregistrarea sesiunilor este una dintre funcțiile cheie ale acestor instrumente, dar este important să reținem că gestionarea accesului privilegiat (sau gestionarea identității privilegiate) nu se reduce doar la înregistrări. O problemă foarte importantă, în special din perspectiva protecției conturilor critice, este implementarea mecanismelor care permit limitarea și responsabilitatea pentru utilizarea conturilor privilegiate.
Un alt aspect important al designului este, din perspectiva securității, posibilitatea de a separa utilizatorii de parole. Un sistem PIM/PAM corect implementat permite administratorilor să lucreze fără a restricționa productivitatea lor, stabilind sesiuni utilizând un cont privilegiat și introducând automat credențialele acestui cont. Astfel, administratorul poate efectua acțiuni utilizând conturi critice, dar nu este încărcat cu responsabilitatea asociată cu cunoașterea parolei. Sistemul PAM este responsabil pentru procesul de schimbare a parolelor – fie ciclic, fie după fiecare utilizare a contului.
Sistemul PAM și subcontractorii
Unul dintre factorii care stimulează proiectele legate de protecția conturilor cu drepturi la nivel superior, este dorința de a controla acțiunile subcontractorilor, care, în cadrul contractelor de service, au acces la infrastructura critică de IT. Indiferent dacă este vorba de dispozitive de rețea, servere sau medii OT/SCADA – lipsa de control asupra acțiunilor reprezentanților companiilor terțe reprezintă o sursă de îngrijorare pentru echipele IT și de securitate. Atunci când conștientizarea riscului și nevoia de a aborda această zonă sunt ridicate, organizațiile încep să ia în considerare mecanismele de protecție. În astfel de situații, sistemul PIM/PAM este prima alegere. Desigur, sistemele de gestionare a accesului privilegiat, datorită mecanismelor avansate de control al accesului, introducerii de credențiale și înregistrării sesiunilor, vor satisface cu siguranță nevoile asociate cu acest caz de utilizare. Cu toate acestea, este important să reținem că acestea sunt sisteme concepute în principal pentru infrastructura internă și scopul lor principal este protejarea mediilor IT împotriva amenințărilor interne ale organizației.
Pentru o protecție dedicată a infrastructurii împotriva entităților externe, merită să vă familiarizați cu soluțiile dedicate – link.
