Privileged Access Management, PAM
Решения для управления привилегированным доступом (мировой рынок)
Каталог продуктов и проектов PAM
2024: Новые сценарии применения PAM и фокус на удобство пользователей
По мнению аналитиков Gartner, управление привилегиями стало мейнстримом в 2024 году, и из нишевого продукта PAM превратился в большой класс инструментов по управлению привилегиями, который решает широкий спектр задач ИТ и ИБ и охватывает разные типы привилегированных пользователей, чувствительных систем, привилегированных учетных записей. В этом году аналитики Gartner на основе решаемых задач выделяют пять категорий инструментов PAM: управление привилегированными учетными записями и сеансами (PASM); управление повышением и делегированием привилегий (PEDM); управление секретами; управление правами в облачной инфраструктуре (CIEM) и новая категория — управление удаленным привилегированным доступом (RPAM).
Дополнительно Gartner выделил новый подкласс инструментов — Just in Time Privilege (JITP), — который при определенных условиях можно рассматривать как альтернативу PAM-системам.
Краткий обзор аналитического отчета Gartner Magic Quadrant for Privileged Access Management 2024 специально для TAdviser подготовила компания Web Control.
Определение/описание рынка
Как и в прошлом году, Gartner определяет PAM-системы как инструменты, которые обеспечивают повышенный уровень технологического доступа путем управления и защиты учетных записей, учетных данных и команд, которые используются для администрирования систем и приложений. Инструменты PAM управляют привилегированным доступом как людей, так и машин. Привилегированный доступ несет компаниям большую угрозу, так как позволяет пользователям управлять существующими средствами контроля доступа и даже отключать их, изменять настройки безопасности или вносить изменения, затрагивающие сразу несколько пользователей или систем, а также изменять и удалять данные компании. Таким образом, управление привилегированным доступом является критически важной функцией безопасности для каждой организации, что требует специализированных инструментов — систем управления привилегированным доступом (PAM). Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft
PAM-системы способны обнаружить интерактивные и неинтерактивные привилегированные учетные записи и обеспечить их безопасность посредством хранения их в защищенном хранилище и ротации секретов. Они также помогают организовать многофакторную аутентификацию и создают доверенный удаленный доступ для сотрудников и поставщиков. Такие инструменты подставляют учетные данные при установлении сеанса, что позволяет использовать привилегированные записи без раскрытия их пользователям. Часто PAM-системы обеспечивают контроль команд и могут временно повышать привилегии пользователя для выполнения команд в привилегированном контексте. Еще одна немаловажная функция PAM-инструментов — видимость и контроль использования привилегированных учетных записей и команд, а также фиксация действий привилегированных пользователей для последующего аудита. Средства контроля, предоставляемые инструментами PAM, могут реализовать управление привилегиями «точно в срок» (just in time), чтобы обеспечить соблюдение принципа наименьших привилегий.
Как и в прошлом году к обязательным возможностям PAM аналитики Gartner относят следующие:
- централизованное управление и организация привилегированного доступа путем контроля либо доступа к привилегированным учетным записям и учетным данным, либо выполнения привилегированных команд (или того и другого);
- управление и предоставление привилегированного доступа авторизованным пользователям (например, системным администраторам, операторам и сотрудникам службы поддержки) на временной основе.
В дополнение к ним в отчете этого года в числе обязательного функционала появилось хранение и управление учетными данными для привилегированных учетных записей.
Помимо перечисленного выше, традиционные PAM умеют обнаруживать привилегированные учетные записи в облачных инфраструктурах, повышать привилегии для выполнения команд в различных операционных системах и обеспечивают аудит для определения кто, когда и где использовал привилегированный доступ. Большинство вендоров из квадранта Gartner предоставляют также управление секретами приложений и служб и управление правами на облачную инфраструктуру.
Кто вошел в магический квадрант 2024
Магический квадрант этого года практически не отличается от прошлого года, что свидетельствует о том, что рынок PAM сформирован. Netwrix переместился из визионеров к нишевым игрокам, а Saviynt и HashiCorp выбыли из квадранта как не соответствующие теперь экономическим и техническим критериям соответственно.
Решения, попавшие в квадрант, должны соответствовать строгим требованиям, которые пересматриваются по мере изменения рынка. В этом году все вендоры должны предоставлять централизованное управление и обеспечение привилегированного доступа, управление и предоставление привилегированного доступа на временной основе, высокодоступное защищенное хранилище учетных данных и управление учетными данными.
Помимо функциональных требований эксперты при отборе в магический квадрант 2024 учитывали наличие пользовательского интерфейса для проверки привилегированных учетных данных и запроса доступа. Это является признаком зрелости рынка, когда помимо функционала существенным становится удобство его использования. Особенно важно это для ИТ-персонала, который и является основным пользователем PAM-систем, отсюда и возникает требование к пользовательскому интерфейсу для запроса доступа.
Кроме того, как и в прошлом году, инструменты должны поддерживать ролевой доступ, иметь полную документацию и соответствовать требованиям к географии продаж.
В каждом отчете эксперты перечисляют вендоров, не вошедших в текущий квадрант, но к которым стоит присмотреться. В этом году их число вошли Bravura Security, Fortinet, HashiCorp, Keeper Security, Microsoft, Okta, Saviynt, senhasegura, StrongDM, Teleport. HashiCorp, например, хорошо известен своим решением управления секретами и хранилищем паролей. В Microsoft, StrongDM и Okta эксперты высоко оценили возможность just in time-повышения привилегий во время сеанса доступа. Платформу Teleport Access Platform аналитики называют альтернативой PAM для облачных и мультиоблачных инфраструктур. Она обеспечивает доступ строго на основе идентификации, создавая виртуальную сетку привилегированного доступа для учетных записей, получающих доступ к SSH, Kubernetes, веб-приложениям, базам данных, рабочим столам Windows и облачным консолям.
Категории PAM-инструментов
В отчете прошлого года Gartner к трем категориям — управление сеансами, управление повышением привилегиями и управление секретами — добавил управление правами в облачной инфраструктуре (CIEM). В этом году появилась еще одна категория — управление удаленным привилегированным доступом (RPAM).
Управление привилегированными учетными записями и сеансами (PASM)
Решения этой категории нацелены на защиту учетных записей. Учетные записи хранятся в хранилище, секреты меняются по заданным правилам. При установлении сеанса привилегированного доступа пароли подставляются, действия пользователей фиксируются. PASM-решения могут также управлять паролями межмашинного взаимодействия (AAPM) и/или предоставлять zero-install-привилегированный доступ, не требующий VPN.
Управление повышением и делегированием привилегий (PEDM)
Это агентские решения, как правило, которые обеспечивают контроль команд на хосте, контроль приложений и/или повышают привилегии, позволяя запускать определенные команды с более высоким уровнем привилегий. К этой категории не относятся инструменты, которые контролируют команды через фильтрацию протоколов. PEDM-решения могут также предоставлять функции контроля целостности файлов.
Управление секретами
Решения этой категории нацелены на управления паролями, токенами OAuth, SSH-ключами, секретами межмашинного взаимодействия, которые управляются посредством API и SDK. Для обмена секретами и управления авторизацией между машинами, контейнерами, приложениями, процессами, скриптами, процессами и DevOps устанавливается доверие. Такие решения часто используются в динамичных и agile средах, таких как IaaS, PaaS и платформы управления контейнерами.
Управление правами в облачной инфраструктуре (CIEM)
CIEM-решения помогают снизить риски, связанные с правами доступа к виртуальной инфраструктуре (IaaS). Решения CIEM обычно используют аналитику, машинное обучение (ML) и другие методы для обнаружения аномалий в правах учетных записей, например, накопления привилегий, а также неактивных и ненужных прав. CIEM позволяет предоставлять наименьшие привилегии в облачных инфраструктурах.
Управление удаленным привилегированным доступом (RPAM)
RPAM-инструменты обеспечивают доступ для удаленных привилегированных пользователей. Они помогают организовывать сеансы доступа, подставляют учетные данные, обеспечивают строгую аутентификацию, что снижает многие риски, связанные с использованием этими пользователями неуправляемых устройств. Такие решения предоставляют средства контроля, мониторинга и записи сеансов, устраняют необходимость в VPN и обеспечивают более безопасный доступ к критическим системам. RPAM совместимы с zero trust-архитектурами, поскольку в них отсутствует доверие к корпоративным сетям и конечным устройствам по умолчанию. Большинство средств RPAM предлагают функции многофакторной аутентификации (MFA).
Новый подкласс инструментов Just in Time Privilege (JITP)
В отчете этого года Gartner отмечает рост популярности нового подкласса инструментов, относящихся к классу PAM — Just in Time Privilege (JITP). По мнению аналитиков, причина роста заключается в стремлении компаний снизить риски, связанные с привилегированным доступом. JITP-инструменты более просты и удобны в использовании, при этом решают проблемы видимости и упорядочивания привилегированного доступа.
Эти инструменты относятся к широкому классу PAM-решений, но имеют ряд отличий. Во-первых, они являются агентскими, взаимодействие с ними происходит автоматически. Они не требуют запуска интерфейса PAM-системы, достаточно запустить привилегированный сеанс RDP, HTML или SSH (вместе с MFA-аутентификацией), и инструмент позаботится о повышении привилегий и фиксации действий в соответствии с политикой компании. Во-вторых, такие инструменты ориентированы на разработчиков, инженеров, внутренних ИТ-специалистов. Традиционные PAM-системы требуют интеграции с любым устройством или программным обеспечением, к которому нужен контролируемый привилегированный доступ. JITP-инструменты не требуют интеграции со всеми устройствами из-за более ограниченного круга пользователей, что значительно сокращает время внедрения и освоения.
В инструментах этого класса нет хранилища учетных данных и их ротации, потому что в их основе лежит принцип нулевых постоянных привилегий, но свои задачи они выполняют эффективно. Эксперты Gartner не рекомендуют использовать исключительно JITP-инструменты для снижения риска PAM, поскольку не всегда возможно избавиться от постоянных привилегированных учетных записей (локального администратора или root), управление которыми требует традиционных возможностей PAM, таких как хранилище и ротация учетных данных. В качестве примера JITP-решений Gartner приводит Apono, Okta, SSH.com, StrongDM и Teleport.
Корпоративные менеджеры паролей (Workforce Password Management, WPM) и PAM
Многие вендоры PAM, BeyondTrust и CyberArk, например, начали предлагать своим заказчикам встроенные модули корпоративных менеджеров паролей, которые позволяют безопасно хранить пароли обычных пользователей. Они отличаются от пользовательских менеджеров большей защищенностью и наличием функционала, который ориентирован на корпорации (аудит, отчетность и т.д.).
Аналитики Gartner в отчете этого года подчеркивают, что такие инструменты предназначены для защиты паролей, а не привилегий. Они упрощают процесс авторизации в приложениях для всех сотрудников компании путем создания, хранения и извлечения паролей, а также обеспечивают контроль и видимость использования паролей в организации.
Тем не менее, они не подходят для управления привилегиями, потому что не справляются со следующими задачами:
- они не предоставляют возможности обнаружения, отображения и составления отчетов о привилегированных учетных записях в различных системах, приложениях и устройствах;
- они не могут управлять учетными данными учетных записей служб, таких как неинтерактивные учетные записи, используемые для запуска служб, приложений и скриптов;
- они не предоставляют возможности повышения привилегий JIT и, как правило, не управляют привилегированными правами;
- они не позволяют автоматически создавать привилегированный сеанс с использованием таких протоколов, как SSH, RDP или HTTPS, не раскрывая учетные данные пользователю;
- они не фиксируют действия пользователей и не могут управлять сеансами доступа;
- они не могут передавать учетные данные программному обеспечению, это значит, что их использование не позволяет исключить доступ к учетным данным в открытом виде в файлах конфигурации или сценариях;
- в них отсутствует аналитика и отчетность о привилегированных учетных записях и их использовании (например, обнаружение несанкционированного использования привилегированных учетных данных или отчетность о необычной деятельности).
Тенденции и прогнозы
По оценкам Gartner, доход рынка PAM в 2024 году составит 2,37 млрд долларов, что на 10 % больше, чем в 2023 году, и будет продолжать расти. Рост рынка стимулируют громкие утечки информации, связанные с компрометацией привилегированных учетных данных, злоупотреблением привилегиями, а также пониманием ИБ-руководителей критической необходимости PAM. Кроме того, росту внедрения PAM способствуют нормативные требования, ускоренная миграция в облако, автоматизация DevOps, размывание периметра безопасности предприятия и общее увеличение числа кибератак. Кроме того, от 15 до 25 % клиентов Gartner, которые впервые рассматривают PAM-инструменты для приобретения, утверждают, что делают это, потому что их страховщики кибербезопасности требуют развертывания таких инструментов.
Необходимость контроля удаленного доступа поставщиков и внешнего ИТ-персонала также повышает интерес к PAM. Обеспечение привилегированного удаленного доступа с помощью инструментов PAM (а не чистых инструментов удаленного доступа без контроля) является рекомендуемой лучшей практикой для удовлетворения требований регуляторов и снижения рисков безопасности. Растет интерес и к управлению секретами, что привлекает к PAM дополнительных покупателей (для использования в разработке ПО и с облачными сервисами). Малые и средние предприятия (SMB) сталкиваются с теми же проблемами, что и крупные и средние предприятия, хотя и в меньших масштабах, и все больше осознают важность внедрения PAM, поэтому поставщики начинают уделять больше внимания малым и средним компаниям. В связи с этим Gartner отмечает рост облачных PAM-решений.
Многие ранние последователи PAM — крупные предприятия — выходят за рамки базовых сценариев использования, таких как контроль действий администраторов или управление привилегированными учетными записями. В ответ поставщики развивают такой функционал, как управление секретами, доступ just in time, обнаружение угроз привилегиям и аудит привилегированных действий, а также управление привилегиями в мультиоблачных средах. Gartner подчеркивает, что все больше поставщиков предлагают опцию SaaS. Многие клиенты нуждаются в защите привилегированного доступа в частной и публичной облачной инфраструктуре, и все представленные в квадранте вендоры предлагают инструменты управления секретами для разработчиков в той или иной степени.
Выводы
Отчет Gartner показывает, что с формированием рынка конкуренция вендоров сместилась от функционала решения к удобству его использования ИТ-персоналом. Новый подкласс продуктов JITP создает альтернативу в пользу более легкого решения для определенного сегмента рынка, где не требуется полноценный PAM-функционал, однако он не может выступать полноценной заменой PAM-системам.
Главная мысль отчета заключается в том, что управление привилегированным доступом стало признанным трендом на рынке с появлением новых сценариев использования и сегодня реализуется как в форме традиционного PAM, так и более простых в использовании решений JITP. Есть вероятность, что PAM-скептики, которые все еще не внедрили у себя PAM, могут подступиться к решению задачи управления привилегиями через JITP. По нашему мнению, в ближайшие годы рынок PAM претерпит существенные изменения в сторону демократизации решений и расширения его использования в новых областях ИТ (DevOps, ИИ, big data, IoT).
2023: Основные тренды развития решений класса PAM. Обзор магического квадранта Gartner Magic Quadrant for Privileged Access Management
Управление привилегированным доступом (PAM) является основным инструментом противодействия атакам через цепочку поставщиков, которые вошли в топ-4 векторов проникновения в 2023 году по данным НКЦКИ. Экспертное описание PAM-решений, функциональных возможностей, прогнозов и тенденций можно найти в отчете Gartner Magic Quadrant for Privileged Access Management 2023, опубликованном в сентябре 2023 года. Отчет дает понимание направления развития решений управления привилегированным доступом, необходимое всем участникам рынка ИТ-безопасности. Краткий обзор 30-страничного отчета специально для TAdviser подготовила компания Вэб Контрол.
Gartner заявляет, что PAM-системы стали широко распространенными инструментами информационной безопасности, однако при их внедрении компании испытывают трудности, когда выходят за пределы базового функционала, объем этих трудностей зависит от вендора. От вендора зависит и как реализована поддержка обнаружения учетных записей и управления идентификацией машин, а также ценообразование и условия лицензирования.
Среди новых трендов этого года — поддержка принципов zero trust и нулевых постоянных привилегий (zero standing privilege) практически у всех вендоров, вошедших в квадрант. Продолжается тенденция прошлого года по поддержке контроля доступа к облачным ресурсам. Последние два года страховщики рисков кибербезопасности все чаще требуют от компаний внедрения PAM с многофакторной аутентификацией.
Определение и описание рынка
По определению Gartner, системы управления привилегированным доступом (PAM) — это инструменты управления и защиты учетных записей, учетных данных и команд, которые обеспечивают повышенный уровень технического доступа, т.е. доступ для администрирования или настройки систем и приложений. Такие системы могут поставляться в виде программного обеспечения, сервиса или устройства. PAM-инструменты управляют привилегированным доступом людей (системных администраторов и других лиц) и машин (систем или приложений). Как и в прошлом году, Gartner выделяет четыре категории PAM-инструментов: управление привилегированными учетными записями и сеансами (PASM), управление повышением и делегированием привилегий (PEDM), управление секретами и управление правами на облачную инфраструктуру (CIEM). Последняя категория впервые появилась в отчете прошлого года.
Привилегированный доступ превышает уровень доступа, предоставляемого обычным бизнес-пользователям. Бизнес-пользователи могут иметь доступ к конфиденциальной информации: ноу-хау, финансовые документы, персональные данные, однако их деятельность и их права контролируются и ограничиваются различными инструментами. Привилегированный доступ позволяет администратору обходить существующие средства контроля доступа, изменять конфигурации безопасности или вносить изменения, затрагивающие нескольких пользователей или систем. Привилегированный доступ позволяет создавать, изменять и удалять элементы ИТ-инфраструктуры, а также данные компании, содержащиеся в этой инфраструктуре, поэтому он может нести в себе огромный риск. Таким образом, контроль привилегированным доступом является одной из важнейших функций безопасности для любой компании. Обычные средства контроля доступа пользователей не могут эффективно управлять привилегированным доступом, поэтому требуются специальные процедуры и инструменты.
Gartner выделяет 2 большие группы PAM-инструментов: инструменты, специализирующиеся на работе с привилегированными учетными записями, и инструменты для контроля исполнения привилегированных команд.
Инструменты, сфокусированные на работе с привилегированными учетными записями, помогают компаниям обнаружить привилегированные учетные записи, используемые людьми и машинами. Эти средства обеспечивают защиту учетных записей путем ротации и хранения их учетных данных (например, паролей, ключей), а также контролируемого делегирования доступа к ним. Говоря об интерактивных учетных записях, используемых людьми, инструменты PAM добавляют к унаследованным системам, не имеющим многофакторной аутентификации, функционал строгой аутентификации и удаленный zero-trust-доступ посредством механизмов управления сеансами, что позволяет использовать привилегированные учетные записи без раскрытия их учетных данных.
Говоря об неинтерактивных учетных записях, используемых машинами, инструменты PAM защищают взаимодействие с привилегированными учетными данными, чтобы не допустить их раскрытие в неиспользуемом состоянии. Для этого часто требуется кооперация с приложениями и кодом (и внесение в них изменений). Типичными примерами машинных учетных записей являются служебные учетные записи и учетные записи автоматизации, используемые в DevOps и современных облачных разработках.
Вторая категория PAM-инструментов обеспечивает контроль над исполнением команд, позволяя выполнять только определенные действия, и может временно повышать привилегии пользователя для выполнения команд в привилегированном контексте. Все средства PAM обеспечивают видимость и возможность контроля использования привилегированных учетных записей и команд путем отслеживания и регистрации привилегированного доступа для аудита. Сюда может относиться подробная запись сеансов, чтобы понять не только кто и когда использовал привилегированную учетную запись, но и для выполнения каких действий.
Сочетание технических средств контроля, предоставляемых инструментами PAM, позволяет внедрить управление привилегиями по принципу «точно в срок» (just in time) для реализации принципа наименьших привилегий: пользователи должны иметь только минимальный уровень привилегий исключительно на время, необходимое для выполнения конкретной задачи. Это является одним из существенных отличий PAM от других систем контроля доступа.
Традиционно в своих отчетах Gartner обозначает функциональные возможности решения, это позволяет производителям «не отрываться от рынка», а покупателям ориентироваться на рынке.
Обязательными функциональными возможностями PAM Gartner называет:
- обеспечение централизованного управления и реализации привилегированного доступа посредством контроля доступа к привилегированным учетным записям и учетным данным или контроля выполнения привилегированных команд (или и то, и другое);
- управление и посредничество в предоставлении привилегированного доступа авторизованным пользователям (например, системным администраторам, операторам, сотрудникам службы поддержки и т.д.) на временной основе.
Все PAM традиционно включают в себя: · хранилище учетных данных и управление привилегированными учетными записями; · управляемое повышение привилегий с использованием агентов для команд, выполняемых в операционных системах Windows, UNIX/Linux или macOS; · обнаружение привилегированных учетных записей в различных системах, приложениях и облачных инфраструктурах; · управление, мониторинг, запись и удаленный доступ к привилегированным сеансам; · предоставление возможности аудита для определения кто, когда и где использовал привилегированный доступ.
В сравнении с отчетом прошлого года к традиционному функционалу добавилось управление повышением привилегий и предоставление возможности аудита.
Gartner отмечает, что в настоящее время ряд вендоров PAM предоставляет дополнительный функционал, на который, по нашему мнению, стоит обратить внимание при выборе: · управление секретами для приложений и сервисов; · управление жизненным циклом привилегированных учетных записей и удаленный привилегированный доступ для поставщиков, провайдеров услуг и других внешних пользователей, которым требуется технический доступ; · управление привилегиями "точно в срок" (just in time), позволяющее сократить время и объем предоставленных пользователю привилегий до минимально возможных; · управление правами на облачную инфраструктуру (CIEM) и обнаружение таких учетных записей.
Кто вошел в магический квадрант 2023 года
Чтобы попасть в магический квадрант компании должны соответствовать определенным критериям. Решение должно поддерживать, как минимум, три из следующих пяти функциональных возможностей: хранилище учетных данных, автоматический запуск сеанса удаленного доступа по протоколам SSH, RDP или HTTPS без раскрытия пользователю учетных данных, управление секретами, управляемое повышение привилегий на основе агентов для Windows, UNIX/Linux или macOS и управление привилегиями в облачной инфраструктуре. Помимо этого, в PAM-продукте должны быть реализована ролевая модель доступа, функционал должен быть задокументирован, решение должно продаваться в нескольких регионах, использоваться в различных отраслях, позиционироваться как PAM и соответствовать требованиям Gartner к объемам продаж и/или количеству заказчиков. В отчете Gartner отмечает вендоров, которые не вошли в квадрант, но к которым стоит присмотреться по разным причинам. Например, в прошлогоднем отчете в число таких вендоров вошел HashiCorp, нишевой игрок этого года. В этом году эксперты рекомендуют обратить внимание, среди прочих, на Apono, Fudo Security, StrongDM и Teleport.
Компания Apono предлагает сервис, который предоставляет just-in-time-управление привилегированным доступом к облачным ресурсам для разработчиков и администраторов. Облачное решение StrongDM также ориентировано на установление сеансов привилегированного доступа на основе подхода just in time. Teleport ушел от классического PAM и предоставляет доступ на основе идентификации при работе с SSH, Kubernetes, веб-приложениями и базами данных. Fudo Security предлагает поведенческую аналитику на основе ИИ, которая используют анализ движения мыши, ввода текста с клавиатуры и команд для обнаружения угроз.
Тенденции и прогнозы
Требования страховщиков: новый драйвер внедрения PAM
Традиционными драйверами PAM на зарубежных рынках являются обеспечение безопасности доступа, соответствие корпоративным и нормативным требованиям. Последние два года к ним добавились страхование кибербезопасности: страховщики все чаще требуют от компаний внедрения PAM с многофакторной аутентификацией для административного доступа, чтобы снизить риск утечек и вредоносных программ.
Использование PAM для удаленного и облачного доступа
По данным НКЦКИ 2023 год в России отмечен многочисленными атаками через цепочку поставщиков: «подрядчики и системы, имеющие сопряжение с целевой инфраструктурой» входят в ТОП-4 векторов проникновения.
Компании часто привлекают подрядчиков для администрирования серверов, баз данных и других систем. Традиционно для организации удаленного доступа внешних технических специалистов используется VPN, однако это несет определенные риски из-за отсутствия возможностей строгой аутентификации, учета и управления привилегированными учетными записями. Gartner говорит о росте интереса к инструментам PAM для управления удаленным привилегированным доступом. Многие вендоры PAM уже предлагают решения для контроля удаленного доступа, причем их функционал, по словам Gartner, аналогичен средствам контроля сетевого доступа на основе zero trust. Другие производители, по словам аналитиков, в настоящее время работают над расширением своего функционала в эту сторону. Таким решения выходят за рамки простого доступа по SSH и RDP, позволяя инструментам на удаленной рабочей станции функционировать в клиентской среде.
Кроме того, на рынке растет количество инструментов, ориентированных на управление удаленным привилегированным доступом разработчиков и инженеров к облачной инфраструктуре, в частности для поддержки DevOps. К числу таких инструментов Gartner относит HashiCorp, Apono, Teleport и StrongDM.
PAM для конечных точек
Аналитики ожидают, что будет расти потребность в PAM для конечных точек. Мы обратили внимание, что лидеры квадранта уже включили контроль привилегий на конечных точках в свой портфель решений. Иногда этот функционал реализуется решениями смежного рынка — EPP и UEM. Потенциально они могут стать заменой (или альтернативой) покупке PEDM у поставщиков PAM для управления привилегиями на конечных точках.
Применение модели безопасности, основанной на оценке рисков или минимальной эффективности, к PAM
PAM — сложная система, и не только из-за множества разрозненных сценариев использования и различных типов привилегий. PAM создает трудности для пользователей, поскольку изменяет способ их доступа к системам. Лучшим способом смягчить это влияние и сбалансировать затраты, операционное воздействие и безопасность является применение к PAM риск-ориентированного подхода.
Например, если значительная часть интеллектуальной собственности хранится на серверах Linux, а расходы и усилия направлены в основном на серверы Windows, то это свидетельствует о несбалансированности подхода к PAM. Если наибольшему риску подвергаются регулируемые данные, такие как персональная информация или информация о здоровье, а наибольшие затраты и усилия направлены на службу технической поддержки, это также может свидетельствовать о несбалансированном подходе к PAM.
Чтобы применить подход к PAM с учетом рисков, сначала необходимо провести углубленное изучение учетных записей во всех случаях использования PAM, для всех типов пользователей (человеческих и машинных) и для всех сред (локальных, IaaS и SaaS). После выявления и классификации сценариев использования PAM нужно определить риск доступа — от наибольшего риска к наименьшему. Затем следует выстроить практику PAM, направленную на решение тех задач, которые представляют наибольший риск для бизнеса. Надо понимать, что иногда снижение риска на 80%-90% — это нормально, особенно если для достижения последних 10%-20% необходимо потратить вдвое больше средств, чем уже было потрачено, но результат не будет соответствовать этим затратам.
Менеджеры паролей vs PAM
По мнению Gartner, менеджеры паролей не подходят для управления учетными данными привилегированных учетных записей из-за отсутствия необходимого функционала:
- отслеживание привилегированных учетных записей в различных системах, приложениях и устройствах,
- управление учетными данными служебных учетных записей,
- установление сеансов привилегированного доступа по протоколам SSH, RDP или HTTPS, не раскрывая учетных данных пользователю,
- запись сеансов привилегированного доступа и возможность их просмотра, управление живыми сеансами, возможность их приостановки и блокировки,
- передача учетных данных другому ПО, что позволяет устранить учетные данные в открытом виде в конфигурационных файлах или сценариях,
* аналитика и отчетность по привилегированным учетным записям и их использованию (например, обнаружение несанкционированного использования привилегированных учетных данных или отчетность о необычных действиях).
Причины роста рынка PAM
По оценке Gartner, рост рынка PAM в 2023 году составляет 13,6% по сравнению с 2022 годом. Росту способствуют громкие утечки, связанные с компрометацией привилегированных учетных записей и злоупотреблениями привилегиями, требования регуляторов, размытие периметра безопасности и миграция в облако, как и общее увеличение числа атак. Интересно отметить, что от 10% до 20% клиентов Gartner начинают изучать и оценивать PAM из-за требований страховщиков киберрисков.
К росту продаж PAM привел и интерес к управлению удаленным доступом: PAM является общепризнанной оптимальной практикой для выполнения требований регуляторов и снижения рисков безопасности, связанных с удаленным доступом, поэтому выросли продажи продуктов, ориентированных на удаленный доступ. Это, в свою очередь, привело к тому, что производители стали уделять большое внимание развитию возможностей удаленного доступа.
Gartner также отметил появление новой целевой аудитории — разработчики ПО и операторы облачных сервисов, что было вызвано развитием возможностей управления секретами в PAM-решениях.
Рынок PAM в России
За редким исключением, решения вендоров, упомянутых в Gartner, в России недоступны. Тем не менее, отечественные продукты следуют общемировым тенденциям в развитии управления привилегированным доступом и предлагают достойную альтернативу покинувшим российский рынок зарубежным продуктам. Решения компаний АйТи БАСТИОН, Вэб Контрол ДК, Индид, РТК-Солар, NGR Softlab в полной мере способны минимизировать угрозы, связанные с привилегированным доступом. Более того, ряд вендоров уже сейчас предлагает поддержку just-in-time-доступа и обеспечение контролируемого удаленного доступа поставщиков, что есть не у всех западных производителей. Это позволяет отечественным продуктам занимать достойное месте в классе PAM.
2022: Главные тренды в развитии технологий управления привилегированным доступом. Отчет Gartner
По мнению аналитиков Gartner, в 2022 году PAM-решения с основным функционалом по-прежнему остаются важными инструментами безопасности, при этом изменение спроса на рынке привнесло новый акцент на облако, от SaaS-доставки инструментов PAM до поддержки обеспечения безопасности облака, включая управление секретами и CIEM (Cloud infrastructure entitlement management). Аналитические документы Gartner позволяют быть в курсе актуальных трендов отрасли. И даже несмотря на отсутствие на отечественном рынке большинства решений, исследуемых Gartner, выявленные тенденции актуальны и для России. ИТ носит глобальный характер, и требования к обеспечению безопасности также едины. Знание тенденций развития дает возможность пользователям отбирать решения, соответствующие современным вызовам, а отечественным производителям - создавать и выводить на мировой рынок конкурентоспособные российские решения. Компания Web Control специально для TAdviser подготовила обзор Gartner Magic Quadrant for Privileged Access Management 2022, который предлагает описание класса решений, ситуации на рынке и тенденций его развития.
Что такое PAM (управление привилегированным доступом)
Инструмент управления привилегированным доступом (PAM) используется для снижения рисков привилегированного доступа пользователей. Однако в последние годы остро встал вопрос обеспечения безопасности и неинтерактивных сеансов привилегированного доступа - API, компонентов микросервисной архитектуры. Решение PAM может быть развернуто в виде локального программного обеспечения, SaaS или аппаратного устройства.
Основными возможностями PAM принято считать:
- обнаружение привилегированных учетных записей в различных системах, инфраструктуре и приложениях;
- управление учетными данными привилегированных учетных записей;
- хранение учетных данных и контроль доступа к привилегированным учетным записям;
- установка, управление, мониторинг и запись сеансов интерактивного привилегированного доступа.
Помимо базового функционала разработчики подобных систем предлагают различные опциональные возможности, такие как, например:
- делегирование доступа к привилегированным учетным записям;
- контролируемое повышение прав при исполнении системных команд;
- управление секретами приложений, служб и устройств;
- автоматизация привилегированных задач (PTA);
- удаленный привилегированный доступ для сотрудников и внешних пользователей;
- управление правами доступа в облачной инфраструктуре (Cloud infrastructure entitlement management, CIEM).
Категории PAM-решений
В зависимости от выбора вендором опционального функционала Gartner выделяет четыре категории инструментов PAM:
1. Управление привилегированными учетными записями и сеансами привилегированного доступа (PASM)
Привилегированные учетные записи защищаются с помощью хранилища учетных данных. Доступ к этим учетным записям затем разграничивается для пользователей, служб и приложений с помощью инструмента PAM. Инструментарий управления сеансами привилегированного доступа (PSM) устанавливает сеансы, обычно с подстановкой учетных данных и полной записью сеанса. Пароли и другие учетные данные, такие как сертификаты и токены для привилегированных учетных записей, активно управляются (например, сменяются через определенные промежутки времени или при наступлении определенных событий). Решения PASM могут также обеспечивать управление паролями приложений (AAPM) и/или организовывать безагенский удаленный привилегированный доступ, не требующий VPN, для внешнего ИТ-персонала и третьих лиц.
2. Управление повышением и делегированием привилегий (PEDM)
Централизованные агенты в управляемой системе предоставляют определенные привилегии авторизованным в системе пользователям. Инструменты PEDM обеспечивают контроль (фильтрацию) команд на хосте, контроль разрешения/запрета/изоляции приложений и/или повышение привилегий, что позволяет запускать определенные процессы с более высоким уровнем привилегий. Инструменты PEDM должны выполняться в реальной операционной системе (на уровне ядра или процесса). Инструменты PEDM могут также предоставлять функции контроля приложений и мониторинга целостности файлов. Наличие функционала именно из этой категории часто являются обязательным требованием для регулируемых отраслей и там, где требуется соответствие PCI DSS, SOX и другим нормативным и финансовым требованиям. Часто требуют удаления привилегий локального администратора оборонные и правительственные учреждения.
3. Управление секретами
Учетные данные (такие как пароли, токены OAuth, ключи SSH), секреты ПО и устройств управляются, хранятся и извлекаются с помощью API и SDK на программном уровне. Основная задачи решений управления секретами - установить доверие путем обмена секретами и управления авторизацией и связанными с ней функциями при взаимодействии устройств, контейнеров, приложений, сервисов, скриптов, процессов и конвейеров DevSecOps. Управление секретами часто используется в динамичных и agile-средах, таких как IaaS, PaaS и платформы управления контейнерами. Продукты для управления секретами также могут предоставлять функционал AAPM.
4. CIEM
Предложения CIEM — это специализированные SaaS-решения, ориентированные на идентификацию, которые управляют рисками облачного доступа с помощью административного контроля прав доступа в гибридных и мультиоблачных IaaS. Они обычно используют аналитику, машинное обучение (ML) или другие методы для обнаружения аномалий в правах учетных записей, таких как накопление привилегий или неактивные и ненужные права. В идеале CIEM обеспечивает устранение чрезмерных разрешений и внедрение подходов предоставления наименьших привилегий в облачных инфраструктурах.
Кто вошел к Магический квадрант 2022
В магический квадрант 2022 года вошли 11 игроков. В число лидеров аналитики Gartner включили ARCON, BeyondTrust, CyberArk, Delinea, One Identity и Wallix. Нишевыми игроками стали Broadcom (Symantec), Hitachi ID, ManageEngine и Netwrix. К визионерами эксперты отнесли Saviynt.
В сравнении с предыдущими отчетами в магический квадрант этого года добавились Delinea, возникшая в результате слияния двух лидеров прошлого года Thycotic и Centrify, Hitachi ID, «challenger» 2020 года и отсутствующая в прошлогоднем отчете, ManageEngine, нишевой вендор 2020 года, Netwrix и Saviynt, отсутствующие в предыдущих 3 квадрантах 2018-2021 годов. Krontech и senhasegura не попали в отчет этого года, так как не прошли критерий по объему выручки.
Для включения в отчет компании должны соответствовать ряду строгих условий, куда входят и технические требования, и требования к функционалу, выручке, географии присутствия, позиционированию, структуре продаж и наличию ИС. Кроме того, компании оцениваются еще и с точки зрения жизнеспособности, под которой понимается, главным образом, возможность инвестирования в продукт, реагирование на потребности заказчиков и поддержка клиентов.
Каким функционалом должны обладать решения для управления привилегированным доступом
При сравнении вендоров Gartner предъявлял строгие требования к наличию определенного функционала. Этот перечень функциональный требований и их описание может быть также полезен при определении заказчиками списка требований к решению управления привилегированным доступом. Следует отметить, что нецелесообразно ориентироваться исключительно на функционал, существующий на данный момент. Для динамично развивающихся компаний важным критерием является поддержка решения производителем и добавление нового функционала в ответ на требования рынка.
Административное управление привилегированным доступом (Privileged access governance). Эта возможность предоставляет возможности и инструменты для управления назначением привилегий на основе политик и нормативных документов компании, периодической проверки и сертификации привилегированного доступа, а также разделения обязанностей на основе набора политик.
Обнаружение и добавление учетных записей (Account discovery and onboarding). Эта возможность позволяет обнаруживать, идентифицировать и добавлять привилегированные учетные записи, включая возможность поддержки периодического, по запросу или непрерывного их сканирования. Сюда также входит возможность автоматического обнаружения целевых служб и систем (включая виртуальные машины) для дальнейшего обнаружения привилегированных учетных записей, содержащихся в них.
Управление привилегированными учетными данными (Privileged credential management). Эта возможность предоставляет основной функционал для управления и защиты определенных системой и предприятием учетных данных привилегированных учетных записей или секретов (включая ключи SSH). Она включает генерирование, хранение, ротацию и извлечение учетных данных для интерактивного доступа к ним определенных пользователей. Здесь также предполагается ротация учетных данных для служебных и программных учетных записей (например, встроенных учетных записей) на целевых системах. Эти функции требуют возможности доступа к инструменту PAM как минимум через веб-консоль или API.
Управление сеансами привилегированного доступа (Privileged session management). Эта возможность обеспечивает создание, управление, запись и воспроизведение сеансов, мониторинг в реальном времени, фильтрацию команд на основе протокола и разделение сеансов привилегированного доступа. Она включает функционал для управления интерактивным сеансом с помощью PAM, от получения учетных данных до авторизации с их помощью, хотя в обычных случаях эти данные не раскрываются пользователю. Эта возможность также может включать ограничения, такие как разрешение/запрет определенных типов команд и функций при входе в целевую систему.
Управление секретами. Эта возможность обеспечивает управление доступом к учетным данным (таким как пароли, токены OAuth и ключи SSH) для машинных сценариев использования, таких как устройства, приложения, сервисы, скрипты, процессы и конвейеры DevSecOps. Этот функционал дает возможность генерировать, хранить, осуществлять ротацию и предоставлять учетные данные машинным сущностям (например, через API). Он также предполагает посредничество в установлении доверия между различными машинными сущностями с целью обмена секретами, а также управления авторизациями и связанными с ними функциями. В совокупности эта возможность поддерживает управление секретами в динамических средах и обеспечивает поддержку платформ RPA.
Журналирование и отчетность. Эта возможность обеспечивает запись всех единичных событий, включая изменения и операции, в рамках работы PAM. Единичное событие основывается на пользователе, времени, дате и местоположении и обрабатывается с другими событиями посредством корреляции в логическом порядке. Это необходимо для мониторинга и определения первопричины рискованных событий и выявления несанкционированного доступа. Эта возможность также предоставляет функционал, необходимый для аудита и генерирования отчетности базы данных событий, включая готовые отчеты и отчеты по запросу. Данные о событиях должны также включать информацию о сеансах привилегированного доступа. Она же предоставляет аналитику (часто с использованием машинного обучения) действий привилегированных учетных записей для обнаружения и маркировки аномалий, включая базовую оценку, оценку рисков и оповещение. Цель состоит в том, чтобы лучше определять как текущие, так и прогнозируемые показатели, которые выявляют аномалии привилегированного доступа для запуска в ответ автоматизированных контрмер.
Автоматизация привилегированных задач. Эта возможность предоставляет функционал для автоматизации многошаговых, повторяющихся задач, связанных с привилегированными операциями, которые оркестрируются и/или выполняются в ряде систем. Для этого используются расширяемые библиотеки предварительно сконфигурированных операций, требующих привилегированного доступа, для распространенных ИТ-систем и устройств. Такая автоматизация позволяет выполнять различные действия и запрашивать дополнительную информацию по мере необходимости, обеспечивая при этом защиту путем проверки вводимых данных на соответствие политикам и настройкам.
Повышение и делегирование привилегий для Unix/Linux. Эта возможность предоставляет функционал на базе хоста, который обеспечивает соблюдение политик на системах UNIX/Linux и macOS для разрешения запуска авторизованных команд или приложений под повышенными привилегиями. Администраторы авторизуются в системе, используя непривилегированную учетную запись, и повышают привилегии по мере необходимости. Любая команда, требующая дополнительных привилегий, должна будет пройти через эти инструменты, что, по сути, не позволит администраторам выполнять небезопасные действия. Эти функции должны выполняться в реальной операционной системе (на уровне ядра или процесса).
Повышение и делегирование привилегий для Windows. Эта возможность предоставляет функционал на базе хоста для реализации политик на системах Windows, которые реализуют контроль разрешения/запрета/изоляции приложений, а также для разрешения запуска авторизованных команд или приложений под повышенными привилегиями. Администраторы авторизуются в системе с помощью простой учетной записи, и повышают привилегии по мере необходимости. Любая команда, требующая дополнительных привилегий, должна будет пройти через эти инструменты, фактически не позволяя администраторам выполнять небезопасные действия. Эти функции должны выполняться в реальной операционной системе (на уровне ядра или процесса). Инструменты Windows PEDM могут также предоставлять функции контроля целостности файлов.
Интеграция со смежными системами. Эта возможность требует способности предоставлять функционал для интеграции и взаимодействия со смежными системами безопасности и управления услугами. Сюда входят IGA, SSO, MFA, корпоративные каталоги, поддержка гибких коннекторов и интеграционных фреймворков, общий доступ к API, интеграцию с системами ITSM, системами SIEM и системами управления уязвимостями.
Простота развертывания, производительность. Эта возможность предоставляет функционал для упрощения развертывания решения PAM, одновременно обеспечивая доступность, восстанавливаемость, производительность и масштабируемость. Реализация подхода «на определенное время» (just in time). Эта возможность обеспечивает привилегированный доступ по требованию без необходимости в общих учетных записях с постоянными привилегиями. Как правило, для этого непривилегированным учетным записям предоставляются соответствующие привилегии на временной основе. Общепринятыми методами для достижения этой цели могут быть использование подходов PEDM, использование временного членства в группах по требованию или использование эфемерных учетных записей или токенов безопасности. Эта возможность ориентирована на соблюдение принципа наименьших привилегий и последующее достижение нулевых постоянных привилегий (ZSP) для доступа к PAM. Реализация подхода JIT предполагает:
- возможность динамического добавления и удаления пользователей из групп AD;
- динамическое предоставление ограниченного по времени доступа к привилегированным учетным записям;
- функциональность PEDM посредством повышения привилегий по требованию;
- возможность создания и удаления привилегированных учетных записей по требованию;
- возможность создания и использования эфемерных токенов;
- возможность доступа по требованию к панелям управления SaaS, таким как AWS.
Текущая ситуация
Говоря о текущей ситуации, Gartner отмечает тенденцию к сближению рынков IAM, формулирует лучшие практики внедрения PAM, которые можно брать за основу при внедрении решения, и идентифицируют причины, побуждающие компании внедрять PAM-решения.
Сближение рынков IGA, IDM и PAM
Gartner в своем отчете отмечает заимствование PAM-решениями функционала смежных рынков, когда инструменты управления доступом, например, предлагают некоторый функционал IGA или в PAM-системе реализованы возможности управления доступом. Это он называет макроконвергенцией, или сближением различных рынков. CyberArk, в частности, предлагает функционал IAM (Identity and Access Management), One Identity и Broadcom предлагают возможности IGA и IAM. Эксперты предупреждает, что такой функционал реализован посредством отдельных решений, часто не интегрированных между собой с точки зрения политик, управления и развертывания.
Другим примером сближения, на этот раз микроконвергенции, когда производитель «проникает» в смежную по функционалу категорию инструментов, является возросший интерес производителей PAM к управлению секретами и CIEM. Семь поставщиков PAM, представленных в этом отчете, в настоящее время предлагают продукты для управления секретами, еще три поставщика планируют их добавить, и только один не планирует этого делать. Пять компаний из отчета предлагают функциональность CIEM, шесть компаний планируют внедрение этой функциональности, а четыре включили ее в дорожную карту. Только одна компания не планирует использовать ни CIEM, ни средства управления секретами в составе своих PAM-инструментов.
Пользователи не всегда видят разницу между инструментами управления привилегированным доступом и управления паролями. Эксперты Gartner разъясняют, что PAM-системы направлены на снижение рисков, связанных с привилегированным доступом.
Эти решения управляют привилегированными учетными записями — учетными записями, которые могут выполнять операции создания, получения, обновления, удаления (CRUD) в ИТ-инфраструктуре. Инструменты управления паролями предназначены для того, чтобы помочь обычным пользователям с обычными правами (бухгалтерам, продавцам или инженерам, например) справиться с широким набором паролей, которые они должны помнить для своей повседневной работы. Они не занимаются ротацией учетных данных, управлением сеансами, записью сеансов, управлением идентификацией или повышением привилегий. Многие организации считают их критически важными для помощи пользователям, но их не следует путать с PAM-инструментами. Они могут хранить пароли в хранилищах, требовать пароля для доступа к хранилищу, а некоторые из них могут генерировать уникальные и сложные пароли. Однако ни одна из этих функций не делает их инструментами PAM.
Лучшие практики внедрения PAM
Изучение лучших практик позволяет оптимизировать ресурсы при внедрении инструментов. Эксперты выяснили, что правильное развертывание инструмента PAM требует двух основных моментов:
1. Четкое понимание того, где находятся привилегированные учетные записи (с планом действий по их защите).
2. Изменение организационных процессов с целью максимизации эффективности контроля привилегированного доступа.
Для этого организациям следует внедрить комплексную практику обнаружения привилегированных учетных записей, чтобы понять, какой привилегированный доступ существует в их среде в настоящее время, а затем определить, как привилегированный доступ будет происходить в будущем.
С точки зрения процесса и практики, при развертывании инструмента PAM руководители подразделений управления информационными рисками должны следовать четырем принципам PAM, предложенным Gartner:
1. Отслеживайте и защищайте каждую привилегированную учетную запись.
2. Осуществляйте комплексное управление и контроль доступа.
3. Ведите журнал и проводите аудит действий с использованием привилегированных учетных записей.
4. Используйте автоматизацию задач, реализуемых с использованием привилегированного доступа.
Есть еще один принцип, фундаментальный, без учета которого успешное внедрение инструментов и практик PAM будет намного сложнее — культура.
Культура управления привилегиями
Невнимание к культуре или недооценка ее влияния - одна из самых больших причин неудач в проектах PAM. Без учета культурных особенностей компании сталкиваются с сопротивлением проекту внедрения PAM со всех сторон, включая отдельных сотрудников, руководителей IAM и бизнес-лидеров. Поскольку внедрение PAM - это изменение подхода людей к административной работе, недостаточное объяснение того, почему требуются изменения, вызовет сопротивление этим изменениям.
Основные практики для внедрения культуры управления привилегиями
- Создать видение (vision) PAM, с одностраничным манифестом, ориентированным на всех заинтересованных лиц. На этой странице должно быть изложено видение, указано, какова их роль в проекте, и четко сказано, что от них ожидается.
- Создайте руководящую группу и пригласите все заинтересованные стороны. Работа руководящей группы заключается в определении ожиданий в отношении обязанностей, а также в создании положительного импульса и канала связи для всех групп на протяжении всего проекта.
- Добейтесь поддержки руководства. Иногда, когда проект упирается в стену, требуется более высокая инстанция, которой поручено поддерживать проект на должном уровне. Наличие поддержки со стороны руководства, возможно с включением его в руководящую команду, позволяет проекту преодолевать сложные проблемы во время кризиса.
Какие причины побуждают компании внедрять PAM
Аналитики Gartner выделили 3 основных причины внедрения инструмента управления привилегированным доступом.
Защита бизнеса. Это основная причина. Эффективный PAM уменьшает поверхность атаки для привилегированных учетных записей и снижает риски, чтобы уменьшить или устранить воздействие на бизнес от действий злоумышленников. Правильное управление PAM, возможно, не устранит компрометацию сети и учетных записей, но оно может снизить риск значительного воздействия на бизнес за счет предотвращения эскалации атаки.
Поддержка бизнес-процессов. Помимо безопасности, наличие хороших и эффективных процессов управления привилегированным доступом помогает оптимизировать изменения и тем самым способствует гибкости бизнеса (business agility). Цель состоит в том, чтобы управлять рисками PAM настолько успешно, чтобы бизнес мог быстро переходить к новым возможностям, не будучи обремененным унаследованными проблемами безопасности, такими как PAM. Просто приобретение PAM-инструмента без изменения порядка предоставления и использования привилегированного доступа оставляет организации незащищенными — существует множество историй о взломах компаний несмотря на использование PAM-систем. Обычно таких инцидентов можно избежать при правильном использовании инструментов.
Соответствие нормативным требованиям. Соблюдение аудиторских и нормативных требований всегда было движущей силой для PAM. Gartner отмечает, что из-за недавнего распространения атак ransomware, страховщики киберрисков сегодня требуют от многих своих клиентов подтверждения наличия средств контроля PAM и эффективной практики PAM.
Обзор рынка
Размер рынка и движущие силы
Gartner отметил 20% рост объема продаж PAM-решений, представленных в текущем отчете, и прогнозирует дальнейший рост. Причинами роста аналитики называют повышение осведомленности о важности управления привилегированным доступом, громкие инциденты, связанные с компрометацией привилегированных учетных записей, размывание периметров безопасности, миграцию в облако и увеличение кибератак. Увеличение доли удаленных сотрудников также простимулировало интерес к системам управления привилегированным доступом — использование PAM для организации удаленного доступа администраторов к ресурсам компании является признанной практикой. Это привело к росту продаж решений, поддерживающих эту возможность, и повышению ее приоритета в дорожных картах остальных поставщиков.
Считается, что PAM-решения — это исключительно для крупных компаний, однако малый и средний бизнес сталкивается с теми же проблемами, хотя и в меньших масштабах. Полнофункциональные системы для небольших компаний могут оказаться сложными в обслуживании, и производители отвечают на это созданием SaaS-функционала. Крупные компании со зрелыми процессами организации привилегированного доступа начинают выходить за рамки базовых сценариев использования PAM, поэтому разработчики удвоили своим усилия по развитию таких возможностей, как управление секретами, JIT PAM, автоматизация привилегированных задач и управление привилегиями в мультиоблачных средах. Проникая на смежный рынок, они сталкиваются с конкуренцией со стороны поставщиков, не входящих в основной рынок PAM, например, тех, кто предлагает отдельные продукты для управления секретами или CIEM.
Динамика рынка
Исследование показало, что поставщики делают акцент либо на переводе своих решений на SaaS, либо на предложении SaaS как варианта. В этом году из 11 поставщиков, включенных в отчет Gartner, только один не имеет SaaS в своей дорожной карте. Остальные 10 в настоящее время предлагают или разрабатывают инструмент PAM на базе SaaS.
Другим направлением развития рынка является управление секретами. Пять поставщиков из отчета этого года предлагают инструменты управления секретами для разработчиков, а остальные разработали некоторые функции управления секретами в своих продуктах. Кроме того, пять поставщиков предлагают инструменты CIEM, несколько компаний внесли разработку таких возможностей в дорожную карту.
С вертикальной точки зрения возникает потребность в специальных функциях для организаций, использующих IoT и OT. В качестве примера можно привести компании коммунального и энергетического секторов, а также больницы. Эти организации нуждаются в защите привилегированного доступа к своим устройствам диспетчерского контроля и сбора данных (SCADA) и ОТ, а также в предварительно настроенных коннекторах для подключения к популярным ОТ-системам.
Конкуренция на рынке PAM остается острой благодаря присутствию большого количества игроков. В последние несколько лет рынок постоянно движется в сторону консолидации. Слияние в 2021 году компаний Thycotic и Centrify с образованием компании Delinea продолжает эту тенденцию.
Географические и вертикальные тенденции
Основными отраслями-пользователями PAM являются компании из финансовой сферы, СМИ, услуг и государственного управления, что связано с большими нормативными требованиями. В последнее время растет спрос со стороны здравоохранения, производства и обрабатывающей отрасли.
Северная Америка и Европа по-прежнему остаются основными рынками для PAM-продуктов на мировом уровне. Однако в более широком Азиатско-Тихоокеанском регионе также наблюдается рост интереса и продаж. Крупные производители, такие как Broadcom (Symantec), CyberArk, BeyondTrust и Delinea, все чаще пытаются расширить свою географию. Однако в регионах есть свои сильные поставщики: ARCON на Ближнем Востоке и в Азиатско-Тихоокеанском регионе, Senhasegura в Латинской Америке, а также WALLIX и Krontech в Европе. Несмотря на меньшие размеры, эти компании обладают знанием местных особенностей, связей, языка и близости к потребителю.
Большинство решений из отчета Gartner отсутствует на отечественном рынке, однако потребности в управлении привилегированным доступом в российских компаниях в той или иной мере удовлетворяются решениями отечественных производителей: Indeed PAM (Индид), SafeInspect (НТБ), sPACE (Вэб Контрол), СКДПУ НТ (АйТи Бастион). Динамика, которую показывают отечественные производители в этом году, дает уверенность что уже в ближайшее время российские потребители PAM продуктов смогут получить адекватную замену продуктам иностранных компаний.
2020
К 2024 году 50% организаций внедрят привилегированный доступ на основе модели justintime
Аналитическое агентство Gartner выпустило очередной сравнительный анализ Magic Quadrant for Privileged Access Management 2020 (Управление привилегированным доступом). Об этом стало известно 28 сентября 2020 года. Отчеты агентства Gartner формулируют основной функционал решений конкретного класса, дают максимальный охват рынка и называют особенности и узкие места продуктов отобранных вендоров, позволяя соотнести свои ключевые потребности с предложениями на рынке и подойти к выбору продукта с позиции разумной достаточности.
В магическом квадранте основные игроки рынка традиционно делятся на 4 категории:
- Лидеры – компании с хорошим функционалом и хорошим заделом на будущее.
- Визионеры – компании, понимающие направление развитие рынка или имеющие потенциал к изменению правил рынка
- Нишевые игроки – компании, которые функционируют на маленьком сегменте
- Претенденты выпускают хороший продукт или могут лидировать в большом сегменте, но не всегда демонстрируют понимание направления рынка.
Согласно прогнозу, к 2024 году 50% организаций внедрят привилегированный доступ на основе модели «just in time», что предполагает предоставление привилегий в нужное время и в нужном объеме и устраняет избыточные привилегии. Такой шаг, по мнению экспертов, приведет к снижению компрометации привилегированный учетных записей на 80%. Кроме того, автоматизация задач, связанных с привилегированным доступом, сократит затраты на обслуживание IaaS и PaaS на 40% и снизит число инцидентов на 70% к этому же сроку.
Эксперты Gartner сформулировали функционал решений управления привилегированным доступом, на который можно ориентироваться при выборе вендора. Следует отметить, что он практически не изменился по сравнению с предыдущим отчетом 2018 года:
- обнаружение, управление и оркестрация привилегированных учетных записей различных систем и приложений;
- контроль доступа к привилегированным учетным записям, включая совместно используемые и аварийные учетные записи;
- рандомизация, управление и безопасное хранение привилегированных учетных данных (паролей, ключей);
- обеспечение единого входа (SSO), чтобы не допустить раскрытие учетных данных;
- контроль, фильтрация и оркестрация привилегированных команд, действий и задач;
- управление и передача учетных данных в приложения, сервисы и устройства без их раскрытия;
- мониторинг привилегированного доступа, сеансов и действий, ведение журнала и анализ.
Большой класс решений Privileged Access Management аналитики Gartner подразделяют на 3 категории:
- PASM (Privilege account and session management)
- PEDM (Privilege account and delegation management)
- Secrets Management
Решения PASM (Privilege account and session management) защищают учетные записи посредством хранения учетных данных в защищенном хранилище и организации доступа к ним. Управление сеансами привилегированного доступа предполагает инжектирование учетных данных без их раскрытия пользователю. PASM-решения могут обеспечивать управление служебными паролями (AAPM – Application-to-application password management).
Решения PEDM раздают привилегии авторизованным пользователям. Такие решения обеспечивают фильтрацию команд, контроль приложений и эскалацию привилегий, т.е. выполнение команд с более высоким уровнем привилегий.
Решения Secrets management обеспечивают управление, хранение и извлечение секретов посредством API или SDK. Управление секретами часто используется в динамических и agile-средах, таких как IaaS, PaaS и контейнерах, говорится в обзоре Magic Quadrant for Privileged Access Management 2020, подготовленном компанией Web Control.
Обязательным условием включения в отчет «Magic Quadrant PAM 2020» является наличие PASM-функционала. В число других критериев для включения в отчет входит наличие определенных возможностей, таких как защищенное хранилище, средства обнаружения привилегированных учетных записей и автоматической ротации секретов, запуск сеанса привилегированного доступа по протоколам SSH, RDP, HTTPS, запись и просмотр сеансов, ролевая модель доступа, интеграция с существующей средой заказчика. Gartner также предъявляет серьезные требования к уровню, росту и географии продаж, числу клиентов и позиционированию. Местоположение компании в квадранте определяется не только качеством продукта, но и уровнем удовлетворенности клиентов, политикой продаж и ценообразования, маркетингом, стратегией, инновационностью и другими факторами.
Из 12 отобранных для анализа вендоров в число лидеров попали следующие компании:
По сравнению с 2019 годом в команде лидеров произошли изменения – BeyondTrust, Centrify и CyberArk остались лидерами, к ним добавилась компания Thycotic, перешедшая из команды визионеров, а CA Technologies, бывшая лидером в отчете 2018 года, после поглощения ее компанией Broadcom (Symantec) перешла в число нишевых игроков. В отчет 2020 года не вошли Fudo Security, Micro Focus и Osirium, что связано не с качеством их продуктов, а с невыполнением требований к росту и числу клиентов.
В решении BeyondTrust представлен функционал как управления сеансами привилегированного доступа, так и эскалации доступа. Эксперты отметили наличие у решений компании особого функционала - мониторинга целостности файлов для Unix/Linux и Windows, возможности генерирования отчетности с использованием большого количества предварительно настроенных шаблонов и балансировку нагрузки при кластерном размещении. При выборе PAM-решения следует учесть, что в реализации BeyondTrust Password Safe управление паролем в сторонних решениях реализуется через CLI интерфейс, использующий SSH или Telnet, но не через инструменты SDK. Так же отсутствует SaaS-версия решения. В 2018 году BeyondTrust прошел через процедуру слияния и поглощения, объединив на одной платформе такие признанные решения как BeyondTrust, Liebermann, Bomgar и Avecto. В результате объединения нескольких решений на одной общей платформе управления всеми привилегиями компании претерпела изменение техническая поддержка, на сентябрь 2020 года нет данных, чтобы оценить, вернулась ли поддержка к прежнему высокому уровню. Объединение нескольких решений на одной платформе – серьезный и достаточно сложный шаг, однако компания BeyondTrust справилась с ним, предложив рынку подход универсального управления всеми привилегиями. Этот подход дает возможность подбирать актуальный на сентябрь 2020 года функционал и дополнять его дополнительным по мере необходимости.
Решение Centrify объединяет возможности PASM и PEDM. Centrify предлагает полноценное SaaS PAM-решение. В отчете отмечен бесплатный сервис Centrify Health Check – однодневная консалтинговая программа оценки зрелости PAM-программы компании и определения следующих шагов. При выборе решения следует учесть, что стоимость решения этого вендора выше среднерыночного, PEDM-функционал не реализован для macOS. Centrify нацелен на использование MS AD, поэтому обнаружение учетных записей эксперты называют слабым и сфокусированным на AD, главным образом.
CyberArk известен в качестве трендсеттера отрасли. В его решениях реализован как PASM функционал, так PEDM и Secrets management. В мае 2020 CyberArk приобрел Idaptive для управления доступом. CyberArk – это полноценное решение, охватывающее различные сценарии использования. Эксперты Gartner обращают внимание потенциальных клиентов на его высокие требования к оборудованию и трудность в установке некоторых его компонентов. При выборе решения следует учесть, что в решении не предусмотрена поддержка Kerberos и групповой политики MS AD для UNIX/Linux.
Решение Thycotic обладает функционалом PASM, PEDM и Secrets management. Эксперты отмечают легкость установки и настройки решения. В 2020 году компания приобрела Onion ID для расширения контроля привилегированного доступа на платформах IaaS, SaaS и для баз данных.
Отчеты аналитиков Gartner – это не призыв к приобретению того или иного решения, это возможность выбрать то, что отвечает потребностям конкретной компании. Для этого не всегда следует ориентироваться на лидеров рынка. Менее крупные вендоры или вендоры, не вошедшие в квадрат лидеров, часто предлагают особенные возможности. Hitachi, например, реализует подход «just in time» для инжектирования учетных данных в AWS, OneIdentity использует машинное обучения для анализа действий в сеансе, биометрию для анализа клавиатурного почерка и обнаружения несанкционированного доступа. Senhasegure сфокусирована на расширении интеграции с DevOps инструментами и быстро выводит на рынок функционал, связанный с управлением Kubernetes и контейнерами.
KuppingerCole: рынок PAM-решений вырастет до 4,5 миллиардов долларов к 2025 году
Ведущее европейское независимое аналитическое агентство KuppingerCole, специализирующееся на исследованиях в области информационной безопасности, IAM, IAG, управления рисками и цифровой трансформации, выпустило 113-страничный аналитический отчет KuppingerCole's Leadership Compass PAM 2020, которым в конце мая 2020 года с TAdviser поделилась компания Web Control (Вэб Контрол ДК).
В отчете представлен сравнительный анализ 24 вендоров рынка решений управления привилегированного доступа (Privileged Access Management, PAM) и краткий обзор еще 8 вендоров, к которым, по словам аналитиков агентства, «стоит присмотреться». Для проведения анализа эксперты агентства исследовали сегменты рынка, технические возможности решений и вендоров, относительную долю рынка и инновационность решений.
По мнению аналитиков агентства, лидирует на рынке компания CyberArk, за ней с небольшим отрывом следуют Thycotic и обновленная компания BeyondTrust, которая лишь в 2019 году полностью закончила процедуру слияния с Bomgar, Lieberman Software и Avecto.
Решения класса Privileged Access Management предназначены для снижения рисков, связанных с несанкционированным использованием привилегированных учетных записей. При этом к привилегированным записям относятся не только учетные записи администраторов (серверов, сетевого оборудования, рабочих станций), имеющих доступ к управлению элементами ИТ-инфраструктуры, но и бизнес-пользователей, которые имеют доступ к конфиденциальным данным компании, а также пользователей, которым требуется непостоянный привилегированный доступ, на время проекта, например.
В последние годы рынок решений для управления привилегированным доступом стал одним из наиболее быстро растущих рынков. По оценке экспертов KuppingerCole рынок PAM-решений, на котором на май 2020 года представлено около 40 основных вендоров, вырастет с 2,2 миллиарда долларов в 2020 году до 4,5 миллиардов долларов к 2025 году. Среди причин такого роста называют цифровую трансформацию, DevOps, распределенные вычисления и рост киберпреступлений.
Сравнение решений в этом отчете производилось на основе оценки следующего функционала:
- управление жизненным циклом привилегированных учетных записей (PADLM),
- контроль совместно используемых паролей (Shared Account Management),
- управление служебными учетными записями (AAPM),
- контролируемая эскалация привилегий (CPEDM),
- управление привилегиями на конечных точках (EPM),
- запись и мониторинг сеансов в реальном времени,
- реализация принципа «just in time»,
- реализация SSO,
- мониторинг и анализ действий с привилегированными учетными записями.
Из 32 вендоров аналитики KuppingerCole выделили лидеров, претендентов на лидерство и вендоров, на которых стоит обратить внимание из-за наличия, возможно, уникального функционала и/или предложения, перспективности подхода или каких-иных факторов.
Лидерство определялось по трем характеристикам – качество продукта, присутствие на рынке и партнерская сеть и инновации.
В категорию «Product Leaders» попали компании, предлагающие зрелые продукты с наиболее полным функционалом. К «Market Leaders» отнесли вендоров с большим количеством клиентов по всему миру и крепкой партнерской сетью для поддержки продуктов. В категорию «Innovation Leaders» включили компании, которые определяют направление развития продуктов на рынке. Они предлагают наиболее инновационный и перспективный функционал.
На основе качества продукта, присутствия на рынке и инновационной политики эксперты составили список лидеров «Overall Leaders», куда попали 9 компаний: BeyondTrust (США), Broadcom (США), Centrify (США), CyberArk (США), Hitachi ID (Канада), One Identity (США), SSH (Финляндия), Thycotic (США), Wallix (Франция).
По каждой компании, вошедшей в число лидеров и претендентов на лидерство, эксперты составляют краткий отчет, в котором отдельно выделяются преимущества и недостатки, а также дается оценка по реализации основного функционала.
Большинство компаний из группы лидеров хорошо известно на российском рынке и не нуждаются в представлении. Они предлагают зрелые продукты с полным функционалом. Здесь хочется упомянуть несколько менее известных в России компаний, предлагающих нестандартный функционал. Компания SSH, например, ушла от традиционного подхода на основе управления паролями и обеспечивает привилегированный доступ на основе выпуска разового сертификата для SHH и RDP. В решении Hitachi ID HiPAm эксперты отметили мощные инструменты восстановления системы, репликацию данных в режиме реального времени и распределенные данные. Особенной чертой этого решения, по мнению аналитиков, является кнопка «Recent», которая позволяет быстро открыть предыдущие запросы и сеансы. Отметим, что для российского рынка такая функция не является уникальной, потому что быстрый переход в последние сеансы привилегированного доступа предлагает российской решение. В группу лидеров эксперты отнесли компанию Broadcom, которая хотя до этого года не фигурировала в независимых аналитических отчетах как PAM-вендор, но не является новичком этого рынка после приобретения CA Technologies с решением CA Privileged Access Management Suite и Symantec, под брендом которого будет продаваться новое PAM-решение.
В число претендентов в лидеры (Chellengers) вошли Kron (Турция), Micro Focus (Великобритания), Arcon (Индия), ManageEngine (США), Systancia (Франция) и Stealthbits (США), слегка не дотянувшие до лидерства, и Onion ID (офисы в США и Индии), EmpowerID (США), Senhasegura (Бразилия), Osirium (Великобритания), Xton Technologies (США), Sectona (Индия), Devolutions (Канада), Fudo Security (офисы в США и Польше) и Remediant (США). Эти компании не вошли в число лидеров из-за отсутствия полного PAM-функционала, но решения этих компаний могут закрыть какие-то специфические потребности. Xton Technologies, например, предоставляет еженедельные обновления, в том числе с новым функционалом. Kron и Osirium, например, предлагают автоматизацию управления привилегированных задач посредством делегирования не привилегий, а задач, и автоматизируя рутинные привилегированные операции. Автоматизацию некоторых задач предлагает и Sectona, в частности отзыв привилегированных учетных записей без участия администратора и автоматизацию управления привилегированными задачами. По прогнозу экспертов KuppingerCole, высока вероятность того, что автоматизация станет важным функционалом PAM решений в ближайшие годы.
В число вендоров, к которым стоит присмотреться, вошли Deep Identity (Сингапур), HashiCorp Vault (США), Identity Automation (США), IRaje (Индия), NRI Secure Technologies (Япония), ObserveIT (США), Saviynt (США), Venafi (США). В этих решениях присутствует не полный PAM-функционал, что подойдет для компаний из малого и среднего бизнеса. Следует отметить, что недостающий функционал часто восполняется интеграцией. NRI Secure Technologies, например, использует BeyondTrust Powerbroker Password Safe для управления паролями, а Saviynt для хранения секретов использует хранилище HashiCorp. Партнерство Venafi с HashiCorp, в котором Venafi обеспечивает централизованный контроль политик, прозрачность и автоматизацию жизненного цикла служебных учетных записей машин, включая публичные и частные SSL/TLS сертификаты, а HashiCorp предоставляет свое хранилище, ориентировано на DevOps команды.
Бытует ошибочное мнение, что PAM-решения предназначены только для крупных компаний. Это не так. Хакеры не выбирают свои цели по размеру компании, они просто ищут точки доступа, и небольшие компании также могут столкнуться с вирусами-вымогателями или, скажем, удалением базы данных клиентов недовольным привилегированным пользователем. Зачастую небольшие компании являются подрядчиками крупных компаний и выполняют для них какие-то работы. Такие компании не обладают большим бюджетом на ИБ, но, по мнению экспертов Gartner, управление привилегированными учетными данными относится к списку топ-10 проектов, реализация которых окажет наибольшее влияние на бизнес и кибербезопасность.
Из числа компаний, включенных в отчет KuppingerCole, только 3 вендора, IRaje, Kron и Devolutions, ориентированы на компании малого и среднего бизнеса, поэтому некрупным российским компаниям целесообразно ориентироваться на российские решения.
Хотя в отчет KuppingerCole's Leadership Compass PAM 2020 не вошла ни одна российская компания, среди российских вендоров есть как полноценные PAM решения, так и базовые, ориентированные на малый и средний бизнес.
Смотрите также
- Системы контроля доступа (СКД) на базе RFID
- Техническое задание на СКУД
- Девять советов для инсталляторов СКУД
- Системы контроля и управления доступом - СКУД (мировой рынок)