Приобретение PAM-системы — это только первый шаг на пути к повышению безопасности инфраструктуры. Важно правильно внедрить, настроить и эксплуатировать платформу, чтобы она действительно стала эффективным инструментом защиты. Рассмотрим ключевые моменты, на которые стоит обратить внимание в начале работы с решением этого класса.
Обучение сотрудников и применение регламентов
Для начала должны быть определены ответственные за контроль привилегированных пользователей офицеры и администраторы ИБ. Однако научить взаимодействовать с системой необходимо всех сотрудников, работающих с подрядчиками. Важно сформировать четкие регламенты и инструкции, чтобы каждый понимал, например, каким образом можно передавать сторонние файлы в конечную систему. А именно — через PAM, под запись, с установлением ответственных, с передачей теневой копии этого файла в сторонние инструменты проверки безопасности и антивирусы.
На уровне регламентов и настроек должны быть исключены передачи файлов через личную почту или с флешек.
Исключение распространения паролей
Следует контролировать работу администраторов внутренней сети с их паролями, а также ограничить любые другие возможности авторизации.
Часто в компании есть одна-две локальные учетные записи, root, технологические учетки, необходимые для работы в офлайн-режиме или в случае отказа домена. Поэтому надо иметь четкий сценарий взаимодействия администраторов с этими общедоступными УЗ.
Это тоже реализуется через PAM. Например, можно настроить сценарий с раскрытием пароля — когда четко видно, кто, когда, почему его запросил, на какое время он был выдан и через сколько PAM-система подключится и сбросит этот пароль.
Взаимодействие с целевой инфраструктурой
Нужно учитывать те средства защиты, которые уже используются в инфраструктуре организации, и интегрировать с ними PAM-систему. Например:
• Обеспечить передачу логов в сторонние системы для анализа и расследования инцидентов.
• Передавать копии файлов в DLP или антивирусы для дополнительной защиты от угроз.
• Предоставить API внешней SOAR-системе для автоматического реагирования на инциденты (например, блокировки доступа в случае сработки).
• Использовать существующие в организации каналы доставки второго фактора для усиления аутентификации пользователей.
• Если в организации установлено SIEM-решение, необходимо обеспечить его интеграцию с PAM -системой.
Важно понимать, что PAM-система не должна работать изолированно. Ее необходимо встроить в общее взаимодействие, усилив безопасность инфраструктуры в целом.
Организация мониторинга
Необходимо организовать мониторинг, предоставить аналитикам доступ к логам и отчетности. Это позволит оперативно выявлять подозрительные действия, анализировать тенденции и своевременно реагировать на потенциальные угрозы.
Проработка плана восстановления
При внедрении системы с таким уровнем критичности как PAM, необходимо тщательно проработать план восстановления в случае катастрофы или отказа в обслуживании.
Решение должно иметь возможность создания кластера, желательно геораспределенного, чтобы обеспечить непрерывную работу даже в случае отказа одной из нод или потери связи между цодами.
Также необходимо иметь сценарии восстановления из резервных копий (снэпшотов) при использовании виртуализации и физических резервных копий (ЗИП) для железных компонентов системы.
У администратора ИБ должно быть несколько проработанных сценариев восстановления работы системы или получения данных в оффлайн-режиме с разными уровнями SLA (соглашения об уровне сервиса).
Ознакомиться нашим PAM-решением Infrascope и заказать демо можно на сайте.
Обучение сотрудников и применение регламентов
Для начала должны быть определены ответственные за контроль привилегированных пользователей офицеры и администраторы ИБ. Однако научить взаимодействовать с системой необходимо всех сотрудников, работающих с подрядчиками. Важно сформировать четкие регламенты и инструкции, чтобы каждый понимал, например, каким образом можно передавать сторонние файлы в конечную систему. А именно — через PAM, под запись, с установлением ответственных, с передачей теневой копии этого файла в сторонние инструменты проверки безопасности и антивирусы.
На уровне регламентов и настроек должны быть исключены передачи файлов через личную почту или с флешек.
Исключение распространения паролей
Следует контролировать работу администраторов внутренней сети с их паролями, а также ограничить любые другие возможности авторизации.
Часто в компании есть одна-две локальные учетные записи, root, технологические учетки, необходимые для работы в офлайн-режиме или в случае отказа домена. Поэтому надо иметь четкий сценарий взаимодействия администраторов с этими общедоступными УЗ.
Это тоже реализуется через PAM. Например, можно настроить сценарий с раскрытием пароля — когда четко видно, кто, когда, почему его запросил, на какое время он был выдан и через сколько PAM-система подключится и сбросит этот пароль.
Взаимодействие с целевой инфраструктурой
Нужно учитывать те средства защиты, которые уже используются в инфраструктуре организации, и интегрировать с ними PAM-систему. Например:
• Обеспечить передачу логов в сторонние системы для анализа и расследования инцидентов.
• Передавать копии файлов в DLP или антивирусы для дополнительной защиты от угроз.
• Предоставить API внешней SOAR-системе для автоматического реагирования на инциденты (например, блокировки доступа в случае сработки).
• Использовать существующие в организации каналы доставки второго фактора для усиления аутентификации пользователей.
• Если в организации установлено SIEM-решение, необходимо обеспечить его интеграцию с PAM -системой.
Важно понимать, что PAM-система не должна работать изолированно. Ее необходимо встроить в общее взаимодействие, усилив безопасность инфраструктуры в целом.
Организация мониторинга
Необходимо организовать мониторинг, предоставить аналитикам доступ к логам и отчетности. Это позволит оперативно выявлять подозрительные действия, анализировать тенденции и своевременно реагировать на потенциальные угрозы.
Проработка плана восстановления
При внедрении системы с таким уровнем критичности как PAM, необходимо тщательно проработать план восстановления в случае катастрофы или отказа в обслуживании.
Решение должно иметь возможность создания кластера, желательно геораспределенного, чтобы обеспечить непрерывную работу даже в случае отказа одной из нод или потери связи между цодами.
Также необходимо иметь сценарии восстановления из резервных копий (снэпшотов) при использовании виртуализации и физических резервных копий (ЗИП) для железных компонентов системы.
У администратора ИБ должно быть несколько проработанных сценариев восстановления работы системы или получения данных в оффлайн-режиме с разными уровнями SLA (соглашения об уровне сервиса).
Ознакомиться нашим PAM-решением Infrascope и заказать демо можно на сайте.