Открыть сервис

Privileged Identity Management

Privileged Identity Management (PIM) — это набор процессов, технологий и политик, предназначенных для контроля, мониторинга и защиты учётных записей с повышенными привилегиями (административных, суперпользовательских, сервисных) в информационных системах. PIM является подмножеством более широкой категории управления доступом (IAM) и фокусируется на минимизации рисков, связанных с использованием критически важных учётных записей, которые имеют доступ к конфиденциальным данным, критическим системам и сетевой инфраструктуре. Основная цель PIM — предотвращение несанкционированного доступа, злоупотребления привилегиями и утечек данных, а также обеспечение соответствия требованиям регуляторов (например, Федерального закона «О персональных данных» № 152-ФЗ, стандартов PCI DSS, ISO 27001).

История и предпосылки возникновения

Концепция управления привилегированным доступом возникла в конце 1990-х — начале 2000-х годов, когда организации начали осознавать, что традиционные методы управления учётными записями (например, использование общих паролей для администраторов) создают серьёзные уязвимости. Первые коммерческие решения PIM появились в середине 2000-х годов, когда компании, такие как CyberArk (основана в 1999 году, США), начали предлагать специализированные системы для хранения и ротации паролей.

В России развитие PIM активизировалось после принятия Федерального закона № 152-ФЗ «О персональных данных» (2006 год) и последующих требований к операторам персональных данных, а также после введения ответственности за утечки данных. Крупные российские компании (например, «Сбербанк», «Газпром», «Ростелеком») начали внедрять PIM-решения для соответствия стандартам Центрального банка РФ и ФСТЭК России. В 2010-х годах на рынке появились отечественные разработки, такие как «Сервер доступа к привилегированным учётным записям» (СДПУ) компании «Код Безопасности» и «Secret Net» от «Аладдин Р.Д.».

Ключевые компоненты PIM

Управление паролями и учётными данными

Централизованное хранение, автоматическая генерация и ротация паролей для привилегированных учётных записей. Пароли хранятся в зашифрованном виде (обычно с использованием алгоритмов AES-256 или ГОСТ 28147-89) и выдаются пользователям только на время выполнения задачи. После завершения сеанса пароль автоматически изменяется, что исключает его повторное использование.

Мониторинг и запись сеансов

Системы PIM обеспечивают запись всех действий привилегированных пользователей (включая нажатия клавиш, команды, запущенные процессы) в режиме реального времени. Записи хранятся в защищённом репозитории и могут быть использованы для аудита, расследования инцидентов и судебного разбирательства. В России такие системы должны соответствовать требованиям ФСТЭК России к средствам защиты информации (например, «Сертифицированные средства защиты информации»).

Контроль доступа по принципу наименьших привилегий

Принцип, согласно которому пользователю предоставляется минимально необходимый набор прав для выполнения конкретной задачи. PIM-системы автоматически выдают временные привилегии (например, на 30 минут) и отзывают их после завершения работы. Это снижает риск злоупотребления правами и случайных ошибок.

Управление сессиями и прокси-доступ

PIM-решения часто используют прокси-серверы, через которые проходят все сеансы привилегированных пользователей. Это позволяет изолировать критически важные системы от прямого сетевого доступа, а также применять дополнительные политики безопасности (например, блокировка определённых команд или запрет на копирование данных).

Виды привилегированных учётных записей

Учётные записи администраторов

Локальные и доменные администраторы, имеющие полный контроль над операционными системами, серверами, базами данных и сетевым оборудованием. В Windows это учётные записи группы «Администраторы», в Linux — root, в СУБД — sa (SQL Server) или sys (Oracle).

Сервисные учётные записи

Учётные записи, используемые для запуска служб, приложений и автоматизированных процессов. Они часто имеют высокие привилегии, но не связаны с конкретными людьми. Примеры: учётные записи для резервного копирования, мониторинга, обновлений.

Привилегированные учётные записи приложений

Учётные записи, встроенные в программное обеспечение (например, для доступа к API или базам данных). Они могут быть скомпрометированы при атаках на цепочки поставок (supply chain attacks).

Учётные записи для аварийного доступа

«Аварийные» или «break-glass» учётные записи, предназначенные для экстренного доступа к системам при отказе основных механизмов аутентификации. Они обычно имеют длинные пароли, хранящиеся в сейфах, и их использование строго регистрируется.

Применение в различных отраслях

Банковский сектор

В России PIM активно используется в банках для защиты автоматизированных банковских систем (АБС), процессинговых центров и систем дистанционного банковского обслуживания. Например, «Сбербанк» внедрил PIM для контроля доступа к системам SWIFT, платежным шлюзам и базам данных клиентов. Требования к PIM установлены в стандартах Банка России (например, Положение № 719-П).

Государственные учреждения

Госорганы РФ (ФНС, МВД, Росреестр) применяют PIM для защиты государственных информационных систем (ГИС), содержащих персональные данные граждан. Системы должны быть сертифицированы ФСТЭК России и соответствовать требованиям к средствам криптографической защиты информации (СКЗИ).

Промышленность и энергетика

На предприятиях топливно-энергетического комплекса (ТЭК) PIM используется для защиты автоматизированных систем управления технологическими процессами (АСУ ТП) и SCADA-систем. Например, «Газпром» внедрил PIM для контроля доступа к системам управления газотранспортной инфраструктурой.

Облачные провайдеры

В облачных средах (например, Яндекс.Облако, VK Cloud) PIM применяется для управления доступом к консолям управления, API и виртуальным машинам. Решения PIM интегрируются с облачными провайдерами через API.

Критика и ограничения

Сложность внедрения

Внедрение PIM требует значительных временных и финансовых затрат. Необходимо провести инвентаризацию всех привилегированных учётных записей, настроить интеграцию с существующими системами (Active Directory, LDAP, базы данных) и обучить персонал. В крупных организациях процесс может занять от нескольких месяцев до года.

Проблемы с производительностью

Использование прокси-серверов и запись всех сеансов могут создавать задержки (латентность) при доступе к системам. В средах с высокими требованиями к производительности (например, в трейдинговых системах) это может быть критичным.

Риск единой точки отказа

Централизованное хранилище паролей (сейф PIM) само становится целью для атак. Если злоумышленник получает доступ к сейфу, он может скомпрометировать все привилегированные учётные записи. Для снижения риска применяются многоуровневая защита и аппаратные модули безопасности (HSM).

Недостаточная поддержка legacy-систем

Многие устаревшие системы (например, IBM AS/400, старые версии Oracle) не поддерживают современные протоколы аутентификации (SAML, OAuth), что затрудняет интеграцию с PIM. В таких случаях приходится использовать «адаптеры» или ручные процедуры.

Интересные факты

  • Согласно отчёту Verizon Data Breach Investigations Report (2023 год), более 80% утечек данных связаны с компрометацией привилегированных учётных записей.
  • В России с 2020 года действует ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций», который прямо предписывает использование PIM для банков.
  • Первый коммерческий продукт PIM — CyberArk Privileged Account Security Solution — был выпущен в 2005 году и до сих пор занимает лидирующую позицию на мировом рынке (доля около 30% по данным Gartner).
  • В 2022 году, после введения санкций против России, ряд западных вендоров PIM (CyberArk, BeyondTrust, Thycotic) приостановили продажи в РФ, что стимулировало развитие отечественных аналогов, таких как «Сервер доступа к привилегированным учётным записям» (СДПУ) и «Secret Net».

Источники

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Положение Банка России от 09.06.2021 № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств».
  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций».
  • Verizon Data Breach Investigations Report (DBIR), 2023.
  • Gartner Magic Quadrant for Privileged Access Management, 2023.
  • Материалы ФСТЭК России «Методика оценки угроз безопасности информации» (утв. 05.02.2021).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →