«Бесхозные» учетные записи – один из самых распространенных векторов атак. Функционал Discovery в системе контроля привилегированного доступа PAMInfrascope помогает обнаружить неиспользуемые учетные записи, взять их под контроль и пресечь попытки неконтролируемого доступа в обход PAM – напрямую через устройство.
Как показывает практика, даже если вы подключили сервер к PAM, это не гарантирует, что доступ к нему полностью контролируется. До момента внедрения на устройстве уже работали люди: штатные администраторы, подрядчики, аутсорсеры или же сотрудники, которые уже не числятся в компании. В результате на сервере накапливается множество локальных учетных записей. Часть из них забывают заблокировать, часть создается в спешке для разовых задач, а о существовании некоторых может не знать никто из текущей команды.
Цифры, которые нельзя игнорировать
Компании зачастую уделяют недостаточно внимания гигиене привилегированного доступа. Исследования показывают, что более половины привилегированных учетных записей в организациях никогда не истекают автоматически и могут существовать без владельца годами. Также более половины организаций не отзывают привилегированные доступы после увольнения сотрудников.
Это создает идеальную среду для атакующего: достаточно найти одну забытую учетную запись уволенного администратора или подрядчика, чтобы получить легитимный доступ к критически важным системам, минуя все средства защиты периметра.
Это создает идеальную среду для атакующего: достаточно найти одну забытую учетную запись уволенного администратора или подрядчика, чтобы получить легитимный доступ к критически важным системам, минуя все средства защиты периметра.
Что такое Discovery в PAM Infrascope?
Discovery – это механизм автоматического обнаружения и взятия под контроль неучтенных (неподконтрольных PAM) привилегированных учетных записей на целевом устройстве. С точки зрения архитектуры, это «умный» сканер, который работает от имени суперпользователя (root/Administrator) на подключенном к PAM устройстве. Получив легитимный доступ с высшими привилегиями для управления, система не только фиксирует факт существования сервера, но и проводит глубокую инвентаризацию его внутренней среды.
Процесс Discovery встраивается в логику работы Vault - хранилища учетных записей. После того как устройство добавлено в PAM (подключено к Infrascope), механизм автоматически сканирует целевую систему: анализирует локальные базы пользователей и выявляет учетные записи, обладающие привилегированными правами. Полученный список сопоставляется с учетными записями, которые уже находятся под контролем PAM (те, чьи пароли хранятся и ротируются через Infrascope). В результате формируется список учеток, которые существуют на устройстве, но не управляются через PAM. Это и есть те самые «серые» зоны, где скрываются потенциальные риски.
Процесс Discovery встраивается в логику работы Vault - хранилища учетных записей. После того как устройство добавлено в PAM (подключено к Infrascope), механизм автоматически сканирует целевую систему: анализирует локальные базы пользователей и выявляет учетные записи, обладающие привилегированными правами. Полученный список сопоставляется с учетными записями, которые уже находятся под контролем PAM (те, чьи пароли хранятся и ротируются через Infrascope). В результате формируется список учеток, которые существуют на устройстве, но не управляются через PAM. Это и есть те самые «серые» зоны, где скрываются потенциальные риски.
Возможности управления: от обнаружения к контролю
Ключевое отличие подхода Infrascope от простых инвентаризационных скриптов заключается в возможности автоматического устранения уязвимостей. Функционал Discovery встроен непосредственно в Vault, что позволяет администратору безопасности действовать точечно и без промедления.
После завершения сканирования система предоставляет оператору возможность выбрать дальнейшие действия прямо из интерфейса PAM: принять обнаруженные учетки в управление и «забрать» в Vault или удалить. В первом случае пароли забираются в безопасное хранилище, ротируются (изменяются), и доступ к ним начинает осуществляться строго через сессии PAM. Второй случай актуален, когда учетная запись признана нелигитимной – например, она была создана подрядчиком, с которым компания давно не работает, или просто давно не используется. Discovery позволяет инициировать её удаление прямо из интерфейса PAM. Вам не нужно заходить на сервер руками, вспоминая, где лежит эта учетка. Это кардинально ускоряет процесс очистки инфраструктуры от «мертвых душ» и потенциальных закладок.
После завершения сканирования система предоставляет оператору возможность выбрать дальнейшие действия прямо из интерфейса PAM: принять обнаруженные учетки в управление и «забрать» в Vault или удалить. В первом случае пароли забираются в безопасное хранилище, ротируются (изменяются), и доступ к ним начинает осуществляться строго через сессии PAM. Второй случай актуален, когда учетная запись признана нелигитимной – например, она была создана подрядчиком, с которым компания давно не работает, или просто давно не используется. Discovery позволяет инициировать её удаление прямо из интерфейса PAM. Вам не нужно заходить на сервер руками, вспоминая, где лежит эта учетка. Это кардинально ускоряет процесс очистки инфраструктуры от «мертвых душ» и потенциальных закладок.
Зачем это нужно бизнесу?
Внедрение Discovery решает две важнейшие задачи: пресекает попытки неконтролируемого доступа и автоматизирует процесс инвентаризации. Последнее особенно важно для крупных организаций, где количество учетных записей исчисляется десятками и сотнями тысяч. Ручная проверка каждого сервера требует огромных трудозатрат и практически нереализуема на регулярной основе. Discovery в Infrascope позволяет получить актуальный «срез» привилегированного периметра в автоматическом режиме.
Discovery в PAM Infrascope позволяет навести порядок в хаосе из неконтролируемых учетных записей и взять их под контроль. Компания может провести тотальную инвентаризацию всех привилегированных учеток за короткое время, исключить возможность обхода PAM через локальные учетные записи, очистить инфраструктуру от нелегитимных или устаревших учетных данных. А служба информационной безопасности получает бесценную возможность сосредоточиться на стратегических задачах, а не на рутинном «закрытии хвостов» на каждом отдельно взятом сервере.
Автор: Дмитрий Симак, менеджер по продукту NGR Softlab
