Как и зачем меняется PAM?

PAM меняется вместе с инфраструктурой, рисками и ожиданиями бизнеса. Речь уже не просто о контроле привилегий, а о полноценном элементе архитектуры доверия. Редакция журнала “Информационная безопасность” спросила у экспертов, какие функции в PAM сегодня можно считать прорывными, как решаются задачи масштабирования и что помогает выявлять слепые зоны.

Эксперты:

• Игорь Базелюк, операционный директор Web Control
• Алексей Дашков, директор центра развития продуктов NGR Softlab
• Илья Моисеев, руководитель продукта Indeed PAM (Компания “Индид”)
• Артем Назаретян, руководитель BI.ZONE PAM
• Любовь Смирнова, менеджер продукта PAM от Контур.Эгиды
• Алексей Ширикалов, руководитель отдела развития продуктов, компания "АйТи Бастион"

Какие три функциональные возможности вы считаете наиболее прорывными в PAM 2025 года?

Алексей Ширикалов, "АйТи Бастион"

1. Интеграция с системами ИТ и ИБ.
2. Полноценный поведенческий анализ.
3. Облачное использование.

Артем Назаретян, BI.ZONE

1. Just-in-Time-доступ, выдача привилегий без постоянных учетных записей или под конкретную задачу.
2. ИИ-/МО-анализ поведения, который выявляет отклонения.
3. DevOps и API-first для гибкой интеграции PAM с другими средствами защиты и элементами инфраструктуры.

Алексей Дашков, NGR Softlab

1. Рынок PAM сформирован и ключевые возможности решений этого класса стали общепринятыми, но у пользователей по-прежнему много вопросов к удобству использования продуктов.
2. Функционал по контролю доступа к СУБД и маскированию чувствительных данных при выполнении запросов.
3. Встраивание управления секретами в решения класса PAM (хранилище паролей).

Игорь Базелюк, Web Control

1. Just-in-Time-подход в управлении привилегированным доступом.
2. Управление привилегированным доступом в неинтерактивных сеансах.
3. Интегрированный РАМ – запуск привилегированных сессий. пользователей в третьих приложениях (например, в Service Desk).

Любовь Смирнова, Контур.Эгида

1.  ИИ-анализ поведения – предсказание аномалий на основе МО.
2. Автоматический ротационный доступ – динамическая выдача прав по запросу.
3. Интеграция с Zero Trust – непрерывная верификация сессий.

Экспертные мнения сходятся в том, что PAM в 2025 г. перестал быть просто инструментом контроля привилегий и стал динамичным элементом архитектуры доверия. Ключевыми трендами названы выдача прав по принципу Just-in-Time без постоянных учетных записей, поведенческая аналитика с применением ИИ и машинного обучения для выявления аномалий, а также интеграция с Zero Trust для непрерывной верификации сессий. Все больше внимания уделяется охвату неинтерактивных сценариев, автоматизации управления секретами и API-first-подходу для бесшовного встраивания PAM в DevOps и облачную инфраструктуру. Такой вектор развития отражает стремление бизнеса минимизировать "тлеющие" привилегии, усилить контроль над сложными цепочками доступа и адаптировать безопасность к гибким, распределенным средам.

Какая функциональность предусмотрена в вашем решении для проверки эффективности политик PAM в процессе эксплуатации системы?

Алексей Ширикалов, "АйТи Бастион"

Поведенческий анализ с предустановленными правилами позволяет подсветить специалисту ИБ потенциально опасные действия или нелегитимные доступы, если ограничения еще не выстроены. В дальнейшем возможно использовать его для корректировки политик.

Артем Назаретян, BI.ZONE

В решениях класса PAM эффективность политик закладывается на уровне архитектуры с соблюдением принципа Zero Trust. Это означает, что аутентификация делится на две части: непривилегированный доступ к PAM и привилегированный доступ к целевой системе с помощью PAM. Секреты привилегированных учетных записей также передаются под управление PAM. Важную роль играет управление доступом и жизненным циклом учетных записей. В то же время поведенческая аналитика и автоматический пересмотр политик играют второстепенную роль.

Алексей Дашков, NGR Softlab

Менеджер доступа Infascope позволяет создавать гибкие ролевые модели, реализуя принцип наименьших привилегий и повышая эффективность управления политиками. Система также предлагает мощные инструменты мониторинга и отчетности, которые позволяют легко выявить неиспользуемые политики, политики в которых нет активных учетных записей или контролируемых устройств.

Илья Моисеев, "Индид"

В PAM важно рассматривать в связке политики и разрешения — именно через их сочетание обеспечивается управляемый и гибкий доступ. Indeed PAM позволяет задавать точечные права в соответствии с внутренними политиками компании. В новых релизах появится панель, которая покажет устаревшие и неиспользуемые разрешения – это упростит контроль за избыточными правами. Отслеживание эффективности политик требует дополнительного слоя – поведенческой аналитики.

Игорь Базелюк, Web Control

В sPACE PAM оценить эффективность политик РАМ позволяет интеграция с SIEM. Наша система позволяет получать любую информацию о происходящих в sPACE событиях, направлять эту информацию для анализа в сторонние системы (например, в SIEM).

Большинство экспертов подчеркивают, что способность PAM оценивать эффективность политик должна быть не дополнительной функцией, а частью его базовой архитектуры, подкрепленной аналитикой, выявляющей устаревшие, неиспользуемые и избыточные разрешения. Важным трендом считается автоматизация пересмотра политик и тесная интеграция с SIEM или другими внешними системами для глубокой корреляции событий. При этом принцип наименьших привилегий в сочетании с гибким ролевым моделированием и контролем жизненного цикла учетных записей рассматривается как ключевой способ минимизировать скрытые точки риска, превращая PAM в инструмент постоянного аудита, а не только выдачи доступа.