PIM, PUM, PAM!

Привычна ситуация, когда для иностранного термина в области информационной безопасности нет общепринятого русского перевода и приходится использовать англоязычные понятия/аббревиатуры, а вот с контролем (действий) привилегированных пользователей нет чёткости и в западных источниках.

Пожалуй, самый распространённые сокращения — те, что вынесены в заголовок этого поста:

  • PIM — Privileged Identity Management;
  • PUM — Privileged User Management;
  • PAM — Privileged Account/Access Management.

Мне (обзор PUM. Обзор хороший, но чуть уже устаревший и, на мой взгляд, не до конца полный в части представленных на российском рынке решений.

Так, например, решение Xceedium после покупки компанией CA Technologies стало частью бандла  CA Privileged Access Manager Bundle .

Покопавшись в архивах памяти и своей персональной базе знаний Evernote, к рассмотренным в обзоре коллег продуктам добавил ещё несколько. Все они собраны вот в этом разделе Каталога СрЗИ:  Контроль привилегированных пользователей .

Сначала чуть подробнее коснусь решений по контролю привилегированных пользователей c сертификатами ФСТЭК. Всё же, такая сертификация — это определённая инвестиция вендора в российский рынок и, чаще всего, демонстрация намерений активно им заниматься.

Самый ранний из действующих сертификатов ФСТЭК у решения  Программный комплекс управления привилегированными учетными записями и привилегированными сессиями Cyber-Ark Privileged Identity Management and Session Management Suite 8.0 . Сертификат получен в ноябре 2014 года, схема сертификации — серия (т.е. можно сертифицировать любое количество изделий в зависимости от потребностей клиентов), правда, сертификат выдан только на ТУ (технические условия), без проверки на НДВ. Но, есть и ещё одна ложка дёгтя — с момента сертификации вышло уже не одно обновление, актуальная версия и вовсе 9.x (даже называется решение сейчас чуть иначе — CyberArk Privileged Account Security ), так что желающие использовать сертифицированный продукт CyberArk обречены работать с прошлой версией ПО.

В феврале 2015 года был получен сертификат на  Программный комплекс Система контроля действий поставщиков ИТ-услуг , под которым, если верить пресс-релизам, скрывается вот такой зверь:

СКДПУ разработана российской компанией «АйТи БАСТИОН» и создана с использованием исходного кода французской компании Wallix , ОАО «НПО РусБИТех», производителя защищенной операционной системы специального назначения Astra Linux Special Edition, и собственных разработок компании «АйТи БАСТИОН».

Помимо сертификации на ТУ, у СКДУ есть и НДВ (по 4 уровню), но сертифицировано только 500 экземпляров, что, в зависимости от схемы лицензирования и архитектуры решения, может означать как потенциал в 500 проектов, так и лишь один проект, где задействованы все 500 экземпляров. Впрочем, раз процедура сертификации была однажды пройдена, можно ведь и повторить её ещё раз.

Третий из решений этого класса продукт с сертификатом ФСТЭК — это Программно-технический комплекс «Shell Control Box»  от Balabit. Тоже ТУ и тоже НДВ4, но экземпляров поменьше — только 300. Зато тут не чисто программное решение, а программно-техническое, что как-то логичнее вяжется с сертификацией ограниченного числа экземпляров.

Из остальных представленных на российском рынке PAM-решений о планах сертификации мне известно только для продукта SafeInspect . В апреле этого года были обещаны : ТУ, НДВ4 и даже СВТ5. Пока ждём. Само решение позиционируется как отечественное, а в качестве прародителя по некоторым данным имеет  CryptoAuditor от финской SSH Communication Security.

Про решения от IBM ( Security Privileged Identity Manager ) и Centrify ( Centrify Server Suite ) раньше особо слышать не приходилось, но в Каталог СрЗИ всё же добавил их, тем более, что и русские описания какие-никакие, но найти удалось.

Lieberman Software ( Enterprise Random Password Manager ) были замечены среди участников InfoSecurity Russia, Форума АЗИ и Уральского форума ИБ банков, так что на российском рынке они явно представлены.

С решением ObserveIT  в своё время довелось познакомиться достаточно близко, успешные проекты в России у них есть — точно знаю.

Что же касается заключительного решения в этой категории — Wheel Fudo PAM  от Wheel Systems, то на российском рынке оно продвигается силами компании Дефсис  под своим более коротким вариантом названия: FUDO.

Общее число решений такого класса, конечно, существенно больше. Например, Forrester в отчёте Privileged Identity Management, Q3 2016 ещё называет: BeyondTrust, Bomgar, Dell, ManageEngine, Thycotic. Однако, вопрос их представленности на российском рынке остаётся открытым.

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.