Защита цепочки поставок

Indeed PAM — PAM-платформа, которая делает безопасность встроенным элементом процесса, а не барьером

Каждый новый сервер, приложение или подрядчик в цепочке поставок — потенциальная точка входа для атаки. При этом бизнес не готов ждать: простой из-за долгой настройки доступов обходится дорого. Классический подход «сначала безопасность, потом скорость» больше не работает. Типичная картина при масштабировании инфраструктуры: подключение нового ресурса занимает дни, подрядчики получают избыточные привилегии, потому что «так быстрее», а после инцидента нет ни записей сессий, ни полноценных логов для расследования.

Indeed PAM обеспечивает подрядчикам и внутренним администраторам мгновенный контролируемый привилегированный доступ к критичным ресурсам — без VPN-туннелей, без передачи паролей, без установки ПО на рабочие станции.

Ускоренный онбординг подрядчиков и новых систем. Indeed PAM устраняет необходимость в VPN, передаче паролей, установке агентов и выдаче корпоративных ноутбуков. Ad hoc ресурсы позволяют подключаться к новым серверам и виртуальным машинам мгновенно — без предварительной регистрации в системе, а PAM фиксирует всё происходящее в сессии.

Единая точка входа. Indeed PAM работает как единый шлюз для всех типов подключений. Подрядчик подключается к PAM и получает доступ строго к назначенным ресурсам через RDP, SSH, Web, SQL или проприетарные протоколы — без прямого доступа к целевой инфраструктуре.

Запись сессий и мониторинг в реальном времени. Видеозапись, текстовые логи, распознавание команд, фиксация передачи файлов. Администратор может прервать подозрительную сессию мгновенно.

Снижение рисков от третьих сторон. Каждый подрядчик проходит многофакторную аутентификацию при каждом подключении к критичным ресурсам. Пароли от привилегированных учётных записей никогда не передаются пользователям — Indeed PAM подставляет их автоматически и сбрасывает после завершения сессии.

Привлечение внешних подрядчиков — стандартная практика. Аутсорсеры обслуживают серверы, настраивают оборудование, сопровождают внедрённые продукты. Однако каждый подрядчик с привилегированным доступом — это потенциальная точка входа для атаки. В отличие от штатных сотрудников, подрядчики работают с неконтролируемых рабочих мест, из внешних сетей, нередко с личных устройств. Классический подход — VPN-туннель и выданный пароль — создаёт риски: пароль может быть перехвачен, скомпрометирован или просто передан другому человеку.

Indeed PAM решает эту задачу архитектурно. Система работает как jump-сервер — промежуточный шлюз, через который проходят все привилегированные подключения. Подрядчик не получает прямого доступа к целевой инфраструктуре. Вместо этого он подключается к Indeed PAM и видит только те ресурсы, которые ему назначены. Учётные данные от целевых систем не передаются пользователю — PAM подставляет их автоматически в момент подключения.

Для аутентификации подрядчиков поддерживается как встроенная двухфакторная аутентификация с одноразовыми паролями, так и интеграция с системами многофакторной аутенитфикации по протоколам RADIUS и OpenID Connect.

Для организаций с инфраструктурой АСУ ТП это особенно критично. Подрядчик, обслуживающий промышленное оборудование, получает доступ строго к нужной системе управления — без возможности перемещения по сети.

Результат — подрядчик начинает работу быстро и безопасно, а служба ИБ сохраняет полный контроль над тем, кто, куда и когда подключается.

Предоставить подрядчику доступ — половина задачи. Вторая — знать, что именно он делает в вашей инфраструктуре. Без записи и мониторинга привилегированных сессий расследование инцидента после сбоя превращается в гадание: кто подключался, что изменил, какие файлы передал.

Indeed PAM фиксирует каждую привилегированную сессию в нескольких форматах одновременно. Видеозапись экрана позволяет увидеть, какие окна открывал пользователь, какие действия выполнял, как перемещался по интерфейсу. Текстовые логи фиксируют введённые команды, запущенные приложения и выполненные операции. Система распознаёт и записывает метаданные — IP-адрес источника, время подключения, длительность сессии.

При работе с базами данных, PAM логирует все SQL-запросы, выполненные в рамках привилегированной сессии. Это даёт детальный аудит действий в базах данных — критически важный слой контроля для финансовых и телеком-организаций.

Контроль не ограничивается пост-фактум анализом. PAM-администратор может наблюдать за активной сессией в реальном времени. Если действия пользователя вызывают подозрения — например, попытка скопировать базу данных или выполнить нетипичную команду — администратор мгновенно прерывает сессию и блокирует дальнейший доступ.

Для интеграции с централизованным мониторингом предусмотрена нативная поддержка SIEM — события передаются по протоколу syslog в форматах CEF и LEEF без необходимости разработки дополнительных коннекторов.

Записи сессий также используются для оценки качества работы подрядчика: объём фактически выполненных работ можно сопоставить с требованиями SLA и оплатить только то, что было сделано.

Избыточные привилегии — одна из главных причин успешных кибератак. Подрядчик, которому нужен доступ к одному серверу для обновления ПО, нередко получает учётную запись с правами, позволяющими удалять логи, устанавливать произвольное ПО или менять конфигурацию всей среды. Это происходит не по злому умыслу, а потому что «так быстрее» и «он всё равно свой».

Indeed PAM реализует принцип наименьших привилегий (least privilege) на уровне архитектуры, а не на уровне договорённостей. Система управления правами построена на трёх осях: кто подключается (пользователь или группа), куда подключается (конкретный сервер, приложение, ресурс) и с какими правами (какая привилегированная учётная запись используется для подключения).

Разрешения (permissions) в Indeed PAM — основной инструмент управления доступом. Каждое разрешение определяет конкретную комбинацию: пользователь, ресурс, учётная запись, протокол подключения и временные рамки. Нет «общих» привилегий — каждое подключение авторизуется по заранее настроенной политике.

Подрядчик не видит ресурсы, к которым у него нет доступа. В пользовательской консоли отображаются только назначенные ему серверы и приложения. Это исключает не только несанкционированный доступ, но и разведку инфраструктуры.

Повышение привилегий внутри сессии также контролируется. Indeed PAM поддерживает сценарий, при котором подрядчик подключается к ресурсу с непривилегированной учётной записью, а для выполнения критичных операций (sudo) PAM предоставляет повышенные привилегии точечно — на конкретную команду.

Для PAM-администраторов предусмотрен механизм копирования разрешений. Если для нового подрядчика нужен доступ, аналогичный существующему, администратор копирует разрешение и редактирует только отличающиеся параметры. Это ускоряет настройку без ущерба точности.

Во многих организациях подрядчик не может просто подключиться к критичному ресурсу — его работа должна быть согласована ответственным лицом. Однако на практике процесс согласования часто сводится к переписке в почте или мессенджере, и после одобрения доступ остаётся открытым бессрочно.

Indeed PAM встраивает процесс согласования непосредственно в систему управления доступом. Для подключения к критичным ресурсам можно настроить обязательное подтверждение PAM-администратором или владельцем ресурса. Пока одобрение не получено, подключение невозможно — не на уровне регламента, а на уровне системы. Такое согласование можно потребовать не только для открытия сессии, но и для просмотра пароля привилегированной учётной записи. Это закрывает сценарий, при котором подрядчик запрашивает пароль «на всякий случай» и использует его вне PAM.

Indeed PAM также поддерживает интеграцию с системами обработки заявок (Service Desk) через CLI или SDK. Это позволяет автоматически создавать разрешения на доступ на основании согласованных тикетов — подрядчик подаёт заявку в привычной системе, после одобрения PAM автоматически открывает доступ на заданный период.

Такой подход переводит согласование из области «бумажных» процедур в автоматизированный контроль, где невозможно «забыть» отозвать доступ или потерять историю решений.

Одна из частых ошибок при работе с подрядчиками — доступ, который остаётся активным после завершения работ. Подрядчик получил учётные данные для задачи в понедельник, а в пятницу они всё ещё работают. Или доступ выдан на рабочие часы, но фактически открыт круглосуточно.

Indeed PAM позволяет задать точное расписание доступа для каждого подключения. Администратор определяет временное окно — например, с 9:00 до 18:00 в рабочие дни — и за пределами этого расписания подключение к ресурсу невозможно.

Помимо расписания, поддерживаются временные права доступа с датой истечения. Если подрядчик привлечён на проект длительностью два месяца, доступ автоматически прекращается по завершении срока. Не нужно помнить об отзыве прав — система делает это сама.

Для сессий, которые пользователь оставил открытыми, предусмотрено автоматическое завершение по неактивности. Если в течение заданного периода в сессии нет действий, PAM разрывает соединение. Это освобождает лицензии, снижает нагрузку на инфраструктуру и закрывает забытые подключения.

После завершения сессии — штатного или принудительного — пароли привилегированных учётных записей автоматически сбрасываются (это поведение настривается в политиках). Даже если подрядчик каким-то образом запомнил или перехватил пароль во время работы, после окончания сессии эти данные бесполезны. Каждая новая сессия использует новые учётные данные.

PAM-администратор также может мгновенно заблокировать доступ конкретного пользователя в два клика — без необходимости удалять учётную запись или перенастраивать разрешения. Разблокировка после расследования выполняется так же просто.

В связке с SIEM блокировка доступа может быть автоматизирована: при срабатывании правила корреляции (например, подключение в нерабочее время с нетипичного IP-адреса) SIEM отправляет сигнал, и PAM прерывает сессию.

Когда подрядчики используют учётные записи из того же каталога, что и штатные сотрудники, возникают риски: избыточная видимость корпоративной структуры, сложность отслеживания и невозможность быстро отозвать весь доступ вендора одним действием.

Indeed PAM позволяет организовать управление доступом подрядчиков отдельно от корпоративного каталога. Подрядчикам не нужно заводить учётные записи в Active Directory или другом корпоративном каталоге. PAM управляет их идентификацией и правами доступа самостоятельно: пользователь создаётся в системе Indeed PAM, ему назначаются разрешения на конкретные ресурсы и учётные записи — без необходимости включения в корпоративные группы и подразделения.

Это создаёт логическую изоляцию: подрядчик аутентифицируется в PAM, видит только назначенные ему ресурсы, подключается через привилегированные учётные записи, которыми управляет PAM, — и при этом не оставляет следа в корпоративном каталоге. Корпоративная структура Active Directory, FreeIPA, OpenLDAP или ALD PRO остаётся невидимой для внешнего пользователя.

Для аутентификации подрядчиков используется встроенная двухфакторная аутентификация с одноразовыми паролями.

Управление жизненным циклом учётной записи подрядчика полностью автономно. Создание, назначение прав, временное ограничение, блокировка и удаление выполняются PAM-администратором в интерфейсе Indeed PAM. При завершении контракта с подрядчиком его учётная запись блокируется или удаляется из PAM — и доступ прекращается полностью, без необходимости координации с администраторами корпоративного каталога.