Привілейовані акаунти належать співробітникам, які мають багато прав у системі — змінювати важливі налаштування, роздавати доступи іншим співробітникам, створювати та правити важливі документи. Вони належать керівникам відділів, системним адміністраторам, офіцерам безпеки, генеральному директору та його заступникам.
Впровадження PAM-рішень – важливий крок для безпеки, який сприймається як акт недовіри. Замість пояснення необхідності та проведення кордонів, бізнес часто вирішує просто не злити співробітників, відмовляючись від PAM на корені. А це небезпечно, і ось чому.

Тезово на прикладах про можливі сценарії, потім підсумуємо:
➔ Заступник головного бухгалтера дуже розлютився, що не обійняв вакантну посаду начальника і залишився заступником, а тому тепер приторговує конфіденційними даними або просто працює напівсили.

➔ Зламавши обліковий запис операційного директора з паролем qwerty123, хакер виявив, що такий же пароль у нього в месенджері, пошті та на корпоративній хмарі, на кшталт Google Диску або OneDrive.

➔ Сисадмін-інтерн випадково видалив усі бекапи системи, коли йому треба було просто відкотити налаштування роутера. Весь відділ до ранку повертатиме все у вихідне положення.

➔ Юрист на випробувальному терміні видалив папку зі звітами бухгалтерії, яку збирали п'ять років, просто через недосвідченість, не розібравшись у тому, куди треба було натискати. Тепер треба якось поновити, хоча юрист навіть не повинен був мати туди доступ.
Зрозуміло, приклади перебільшені, а продовжувати можна безкінечно, але суть одна: недосвідчені співробітники не зламають те, до чого не мають доступу; записи сесій допоможуть швидко провести розслідування, а двофакторна автентифікація убезпечить від слабких паролів.

Не потрібно стежити за кожним кроком співробітників, але потрібно мати таку можливість.
У великих компаніях щодня хтось звільняється, когось наймають, хтось переходить між відділами та рухається кар'єрними сходами. Коригувати доступи в таких умовах - значить убезпечити себе від ситуацій, описаних вище.
Другий важливий аспект – робота з підрядниками. Просто спробуйте відповісти: на якому рівні кібербезпека ваші підрядники? наскільки відповідально вони зберігають паролі у вашу систему? чи захищені їх пристрої? як би ви оцінили безпеку з'єднання? працювали вони тиждень над проектом, як було заявлено та оплачено, чи кілька годин/днів? скільки людей заходили до системи під одним обліковим записом? і так далі.
Ми не намагаємося підірвати ваші стосунки з підрядниками, натякаючи, що всі відповіді негативні.
Проблема в іншому: «я не знаю» — ось найпопулярніша відповідь на ці запитання. Ми наполягаємо, щоб ви були в курсі того, що відбувається.

Слабка поінформованість загрожує серйозними ризиками навіть у спокійний час — коли всі працюють в офісі за графіком. Перехід на віддалену роботу ще більше зменшує простір контролю. Щось можна вирішити робочими комп'ютерами — видали співробітникам девайси, налаштовані за потрібними параметрами, і рівень безпеки сягнув хоча б базових значень.
Але видалення пов'язана з роботою на власних пристроях. «Домашні» девайси – це змішування робочих та особистих завдань, невизначена кількість користувачів одним пристроєм, загрози для даних та облікових записів та багато іншого.
Це ж стосується і підрядників — тепер вони взагалі працюють невідомо де, з якого пристрою, мережі і так далі.

Один із двох варіантів — використання PAM-рішень, детально про які йтиметься вже зовсім скоро. Але як вирішують усі ці проблеми ті бізнеси, які не використовують PAM? Ніяк.
Відсутність розуміння базових всередині інфраструктури сприймається як норма. Це навіть працює в дуже невеликих компаніях, там, де ціна помилки невисока, а зловмисникам нема чим нажитися.
Але цей шлях не підходить банкам, телеком-компаніям, IT-компаніям, великим юридичним та бухгалтерським фірмам, бізнесу у сфері логістики або компаніям, які виконують держзамовлення. По суті, вони є головними користувачами PAM.

PAM (Privileged Access Management) — це таке програмне забезпечення, яке вміє вирішувати вищезазначені проблеми. Йдеться про управління доступами, але єдиного портрета PAM немає.
Перш ніж вибрати PAM, слід знати:● Усі PAM мають різний набір функцій: одні мають мільйон гнучких налаштувань, інші вирішують лише кілька ключових питань. Все це відбивається на ціні, тому не кидайтеся у фінансові крайнощі, а вибирайте те, що підходить саме вам.● Деякі PAM вміють запобігати шкідливим діям. Це може стати додатковим рівнем безпеки у зв'язку з іншими технологіями.● Часто PAM вимагають установки агента - це клієнт програми, який ставиться на кожен пристрій або централізовано працює на сервері. Агентські PAM вимагатимуть встановлення агента на особисті комп'ютери співробітників. Якщо ви використовуєте лише корпоративні ноутбуки і можете дати їх додому віддаленим співробітникам – ставте агенти та віддавайте. Якщо ж такої можливості немає, агентські PAM не для вас.● Багато PAM вимагають від вас зміни процесів, наприклад, отримання доступу тільки через спеціальні підключення або програмне забезпечення. Також пам'ятайте, що розгорнути та обслуговувати PAM буває складно через їхню глибоку інтеграцію в інфраструктуру. Будьте готові до того, що сисадміни та безпечники витратить частину часу на впровадження та налаштування PAM.

При підборі PAM-рішення для компанії ви, напевно, загубитесь в такій величезній кількості продуктів. Але як же підібрати "ідеальне" програмне забезпечення, яке покривало всі потреби без переплат за зайві функції?
З величезного списку варто виділити рішення, яке можна назвати без перебільшення класичним PAMом, в якому є всі необхідні інструменти — One Identity, і ось чому:
● Три модулі для контролю паролів, запису сесій та аналітики дій користувачів. Можна використовувати лише необхідні, виходячи із потреб.
● Гнучкість у налаштуванні політик дозволяє налаштувати доступи до дрібних деталей: крім заборон і дозволів також налаштовується і час надання доступу, прописуються допустимі підключення (наприклад, заборона входу через VPN або навпаки - вхід тільки через VPN).
● Широкі можливості для безпеки: модуль аналітики OI Safeguard створює профіль користувача на основі типових дій та біометричних даних, таких як особливості набору тексту, руху курсору тощо. При вході в систему зловмисника система побачить нетипову поведінку, аналітика відразу дасть сигнал тривоги, і це дозволить фахівцям блокувати шкідливі дії.
● Запис та зберігання сесій, а також навігація по них. Можна сортувати записи сесій з дій і навіть ключових слів, спростивши розслідування інцидентів.
● Контроль бізнес-користувачів. В умовах віддаленої роботи та роботи з підрядниками ви зберігаєте всі можливості контролю, як при офісному форматі.
● Безагентна архітектура. Розширює контроль на рівень домашніх пристроїв, спрощує адміністрування і не заважає усталеним процесам.
● Простота розгортання. Рішення розгортається на великих інфраструктурах в межах одного дня, імплементація та налаштування – до двох тижнів, що для PAM – відмінний показник.
Це створює ситуацію, в якій все в плюсі: клієнт отримує вирішення проблем, інтегратор отримує клієнта, а вся угода швидко закривається завдяки простоті експлуатації самого рішення і його гнучкості. По суті, кожен окремий аспект OI це те, на що варто вам орієнтувати у виборі PAM. Не все, що є у OI, має бути у вашому PAM, але те, що в ньому вже є, нехай буде як у OI.

PAM — історія не про тоталітаризм. 
Це про елементарну поінформованість і можливість бути спокійним за свій бізнес, не допустити проблему або швидко вирішити її, якщо вона все-таки сталася.