Кібербезпека 5 хв читання

IAM та PAM: як зупинити накопичення привілеїв і забезпечити безпечний off-boarding

Як побудувати контрольований життєвий цикл ідентичностей, впровадити регулярний Access Review та усунути вразливості «висячих» доступів для захисту від кіберзагроз.

У сучасних умовах гібридної роботи та розподілених хмарних інфраструктур концепція традиційного мережевого периметра остаточно втратила свою ефективність. Ідентичність користувача перетворилася на єдину реальну лінію оборони. У парадигмі Zero Trust кожен запит на доступ має бути автентифікований, авторизований та підтверджений. Варто розуміти, що впровадження інструментів керування ідентичністю (IAM) та привілейованими доступами (PAM) не усуває ризики кібератак на сто відсотків. Проте це критичний архітектурний рівень захисту, який обмежує радіус ураження та ускладнює горизонтальне переміщення зловмисників у разі компрометації.

Ідентичність як новий периметр безпеки: чому класичний захист мережі більше не працює

Згідно зі звітом ENISA Threat Landscape за 2025 рік, фішинг залишається провідним вектором початкового доступу до корпоративних систем. Статистика підкреслює критичність проблеми: 53.7% усіх постраждалих організацій відносяться до категорії essential entities (критично важливих суб'єктів). Отримавши доступ через скомпрометований обліковий запис звичайного співробітника, зловмисники намагаються підвищити свої привілеї та закріпитися в системі.

Саме тому контроль життєвого циклу ідентичностей є фундаментальною складовою кіберстійкості. Оновлений фреймворк NIST CSF 2.0 впроваджує окрему функцію Govern (Управління), яка наголошує на тому, що управління кіберризиками, зокрема ризиками доступу, має бути невіддільною частиною загального корпоративного управління, а не суто технічним завданням IT-відділу.

Анатомія накопичення привілеїв (Privilege Creep): як виникають «висячі» доступи

Більшість успішних атак використовують організаційні прогалини в управлінні правами доступу, а не складні технічні вразливості нульового дня. Найбільш поширеною проблемою є privilege creep — поступове та непомітне накопичення надлишкових прав.

Це трапляється через накопичення надлишкових прав доступу у користувача, який змінив посаду або відділ. Під час кожного кадрового переходу IT-служба надає нові права, необхідні для поточної ролі, але забуває відкликати старі. Згодом такий працівник зосереджує у своїх руках доступ до клієнтських баз, фінансової звітності та інфраструктурних налаштувань одночасно.

Інший критичний ризик — orphaned accounts, або «висячі» облікові записи. Це профілі, що залишаються активними після звільнення співробітника. Відсутність регулярного аудиту прав доступу призводить до неконтрольованого розширення привілеїв, а залишені облікові записи стають ідеальною мішенню, адже їх компрометація може залишатися непоміченою тривалий час.

IAM проти PAM: де проходить межа та як налаштувати їхню взаємодію

Для ефективного управління доступом впроваджують два класи систем: IAM (Identity and Access Management) та PAM (Privileged Access Management). Вони вирішують різні завдання і не можуть замінити одна одну.

IAM керує ідентичністю та базовим доступом для всіх співробітників. Завдання IAM — верифікувати користувача (наприклад, через MFA) та надати йому доступ до стандартних бізнес-додатків. PAM, натомість, ізолює та захищає високопривілейовані облікові записи (адміністраторів, DevOps-інженерів) і контролює доступ до критичної інфраструктури.

Безпека вимагає інтеграції цих систем. Наприклад, якщо IAM фіксує блокування облікового запису користувача або зміну його статусу, PAM має автоматично перервати активні сесії та відкликати привілейовані доступи.

Access Review як регулярний процес: методологія проведення перевірки прав доступу

Access Review — це систематичний, задокументований процес перевірки відповідності реальних прав користувачів їхнім посадовим обов’язкам, що є необхідною умовою для відповідності стандартам ISO/IEC 27001 та директиві NIS2. Процес охоплює кілька етапів:

  1. Визначення критичності ресурсів. Системи різного рівня вимагають різної частоти перевірок. Доступ до інфраструктури розробки через PAM переглядається щомісяця або надається лише на час виконання завдання, тоді як базовий IAM-доступ можна переглядати щоквартально.
  2. Делегування відповідальності власникам (Data Owners). Підтверджувати або відкликати доступ має не IT-адміністратор, а керівник відповідного бізнес-напрямку, який чітко розуміє потребу працівника в інформації.
  3. Автоматизація аудиту. Сучасні рішення самостійно консолідують дані про права користувачів і формують завдання на погодження, виключаючи ручну роботу з таблицями.
  4. Фіксація результатів. Рішення щодо відкликання доступу повинно одразу виконуватися технічно та незворотно записуватися в журнал аудиту (audit trail).

Життєвий цикл ідентичності за NIST SP 800-63: від онбордингу до безпечного off-boarding

Настанови NIST SP 800-63 Digital Identity Guidelines розглядають ідентичність як процес, що включає фази надання (provisioning), підтримання (maintenance) та відкликання (off-boarding).

Найбільше інцидентів пов'язано з помилками на фінальній стадії. Безпечний off-boarding привілейованого користувача обов'язково передбачає:

  • Негайне блокування облікового запису в Identity Provider (IdP).
  • Відкликання активних сесій у всіх системах.
  • Анулювання доступу у PAM, ротацію паролів, видалення персональних SSH-ключів та відкликання API-токенів.
  • Перепризначення власників критичних даних (передача адміністративних прав іншому інженеру).

Архітектурна відповідність: як впровадити контроль доступу без шкоди для бізнес-процесів

Щоб правила контролю доступу не блокували повсякденну роботу, безпека повинна закладатися на рівні архітектури (Security by Design). Проєктування та розробка безпекових рішень від Softengi на базі платформи UnityBase дозволяє створювати корпоративні системи з контрольованим життєвим циклом доступу, які відповідають вимогам регуляторів.

Завдяки використанню вбудованих механізмів платформи UnityBase, таких як Row-Level Security (RLS), списки контролю доступу (ACL) та детальний аудит дій (audit trail), система автоматично розмежовує права на рівні окремих записів у базі даних. Для корпоративних клієнтів з високими вимогами до захисту офіційна сторінка платформи рекомендує Enterprise або Defence редакції. Вони забезпечують підтримку комерційних методів автентифікації, апаратних токенів та сертифікатів, що дозволяє легко інтегрувати систему розроблену на UnityBase у корпоративний IAM/PAM ландшафт і зробити процес off-boarding автоматизованим.

Матриця розділення та контролю: IAM vs PAM в процесах Access Review
ПараметрIAM (Identity & Access Management)PAM (Privileged Access Management)
Цільова аудиторіяУсі співробітники, підрядники, клієнтиАдміністратори, DevOps, суперкористувачі
Тип доступуСтандартний доступ до бізнес-додатків (Email, CRM, ERP)Доступ до критичної інфраструктури, баз даних, серверів
Частота Access ReviewЩоквартально або при зміні посади (ролі)Безперервно або щомісячно (принцип Just-in-Time)
Механізм Off-boardingАвтоматичне блокування облікового запису в IdPНегайне відкликання API-ключів, ротація паролів та сертифікатів

Поширені питання

Як часто потрібно проводити access review для звичайних та привілейованих користувачів?

Для звичайних користувачів перегляд базових доступів (IAM) зазвичай проводиться щоквартально або під час кадрових змін (переведення на іншу посаду). Для привілейованих облікових записів (PAM) аудит має бути безперервним або щомісячним, а права краще надавати за принципом Just-in-Time.

У чому різниця між IAM та PAM системами і чи можуть вони замінити одна одну?

IAM управляє ідентичністю та базовим доступом всіх співробітників до бізнес-додатків організації. PAM створений для ізоляції та захисту високопривілейованих облікових записів (адміністраторів) та критичної інфраструктури. Вони не замінюють, а доповнюють одна одну.

Які кроки є критичними для off-boarding привілейованого адміністратора?

Критичним є негайне блокування профілю в IdP, завершення активних сесій у всіх системах, відкликання доступу в PAM, ротація спільних паролів, видалення SSH-ключів та API-токенів, а також перепризначення власників критичних процесів.

Джерела даних