Илья Моисеев, 17/09/25
Сегодня в стратегиях обеспечения информационной безопасности практически всех компаний действует ключевое правило: за пользователями с расширенными правами доступа необходим особый контроль. Мы поговорим о PAM (Privileged Access Management) – решении для управления привилегированным доступом к критически важным данным. При внедрении РАМ-системы между заказчиками и вендорами все чаще возникает вопрос: а можно ли без агента? Чтобы ответить на него, давайте разберем, какие существуют технологии работы PAM с точки зрения реализации механизмов, основанных на агентах: плюсы, минусы, подводные камни.
Автор: Илья Моисеев, руководитель продукта Indeed PAM (Компания “Индид”)
Зачем нужен агент?
Агент занимает важное место в архитектуре PAM-систем и играет ключевую роль в обеспечении безопасности: выполняет функции сбора данных, управляет доступом привилегированных пользователей и контролирует их действия. Он отвечает за обогащение данных пользовательских сессий, что существенно облегчает задачи мониторинга и помогает в расследовании инцидентов.
Агент устанавливается на целевых системах и ведет скрытый контроль пользовательских сессий. Он обеспечивает мониторинг и оценивает все действия пользователя: какие команды тот выполняет, какие окна открывает, какие параметры меняет. При таком контроле фиксируется не просто факт подключения пользователя к целевым ресурсам, но и вся последовательность его действий. В результате появляется возможность полностью воспроизвести сессию. При отсутствии агента подобный уровень детализации недостижим. Например, при удаленных подключений в RDP-сессиях администраторы систем в большинстве случаев не смогут сформировать даже простой текстовый лог.
Рис. Схема работы Indeed PAM
Но агент в системах PAM обеспечивает не только наблюдение. В некоторых решениях данного класса он может выполнять и защитные функции. В частности, предоставлять пользователю привилегию выполнять команды от имени суперпользователя без ввода имени соответствующей учетной записи и пароля. Агент может мгновенно блокировать опасные действия, запускать скрипты, подменять ввод, контролировать сетевую активность. То есть, по сути, он расширяет возможности PAM до уровня активной защиты.
Почему компании не доверяют агентам?
Недоверие к агентам обусловлено не принципиальными техническими разногласиями между бизнесом и специалистами по информационной безопасности, а двумя вполне понятными опасениями заказчиков: дорого и небезопасно. И то, и другое мы в компании "Индид" слышим все чаще и чаще как от крупных предприятий с десятками тысяч машин, так и от небольших организаций с ограниченными ресурсами. И нам, как разработчику РАМ, причины этого недоверия хорошо понятны.
Первая проблема ("дорого") актуальна в основном для крупных заказчиков: агент нужно установить на каждую целевую систему, в которой используется PAM. Это сотни, а иногда и тысячи инсталляций. Их нужно обслуживать, обновлять, проверять. Вся соответствующая работа ложится на плечи администраторов, у которых и без того может не хватать ресурсов. Получается долгий, трудоемкий и дорогой процесс. Даже если агент устанавливается всего в два клика, в итоге получается поистине масштабный объем работы.
Вторая проблема ("небезопасно"), актуальна для абсолютного большинства заказчиков и не зависит от масштаба инфраструктуры. Агент – это сторонняя программа с привилегиями. Она работает внутри критичных систем иногда круглосуточно и по определению получает доступ ко всему, что происходит в системе. Таким образом, вопрос "Можно ли обойтись без агента?" продиктован стремлением сохранить контроль над инфраструктурой, минимизировать зависимость от внешнего кода и снизить затраты. Это серьезный и осмысленный запрос, на который нельзя ответить односложно.
OCR как альтернатива
В качестве наиболее очевидной альтернативы на ум приходит полностью безагентский PAM с интегрированной технологией распознавания текста OCR (Optical Character Recognition).
Идея выглядит элегантно: система просто "смотрит" на запись экрана и распознает, что происходит в сессии пользователя, словно невидимый администратор за его спиной. Звучит разумно – никаких агентов, никакого вмешательства, только наблюдение. Но у этого подхода есть существенные недостатки.
Во-первых, технология OCR крайне требовательна к ресурсам. Поэтому придется не добавить "пару серверов", а серьезно изменить существующую инфраструктуру. Чтобы в реальном времени распознавать и обрабатывать экранные данные даже от пары десятков сессий, потребуются мощные вычислительные ресурсы. А это ощутимые расходы даже для крупной компании, не говоря уже о среднем и малом бизнесе.
Во-вторых, при использовании OCR требуется больше времени для получения результата. В зависимости от реализации, работа OCR возможна как и после завершения сессии, так и в режиме реального времени. Однако текстовый лог сессии все равно может появляться с задержкой.
И наконец, OCR не гарантирует абсолютной точности распознавания. Даже в лучших реализациях технология может ошибаться: не распознавать язык консоли, путать команды, пропускать важные детали, записывать в лог то, чего на экране не было. А если мы имеем дело со сложным интерфейсом или нестандартной системой, то вероятность ошибок дополнительно возрастает.
В ситуациях, когда важна однозначность и доказуемость, такой подход становится рискованным.
На практике большинство решений класса РАМ с функционалом OCR ограничиваются распознаванием заголовков окон или отдельных текстов. Полноценный разбор содержимого – слишком дорогой и ненадежный путь. Тем не менее в некоторых случаях технология OCR может оказаться полезной. Например, если по каким-либо причинам установить агент невозможно – из-за ограничений в инфраструктуре или строгих регламентов – даже базовое распознавание экрана лучше, чем полное отсутствие контроля. Такой подход не заменяет полноценного аудита, но может дать общее представление о происходящем. Главное осознавать его ограничения: OCR не обеспечивает такого уровня точности и надежности, как агент, и применять эту технологию стоит только в тех случаях, когда других вариантов действительно нет.
Можно применять и гибридный подход: сочетать постепенную установку агентов с использованием OCR. Это позволяет уменьшить нагрузку на администраторов, сохранить приемлемый уровень прозрачности и избежать установки агентов везде и сразу.
Временный агент: компромисс, который работает
Компания "Индид" тщательно изучила потребности и запросы наших клиентов, использующих PAM: мы рассмотрели различные сценарии реализации безагентской схемы работы PAM, которая могла бы максимально эффективно решать задачи заказчиков.
Неожиданно простой и в то же время перспективной оказалась идея о временном агенте в PAM. Она предполагает, что этот компонент не нужно устанавливать вручную и оставлять в системе надолго – достаточно запускать его только на время сессии. Пользователь подключается – агент автоматически запускается, а когда сессия завершается – прекращает свою работу. При этом нет никакой необходимости в инсталляциях по всей инфраструктуре и лишних процессах на хостах. На первый взгляд, это техническое решение представляется практически идеальным, поскольку оно устраняет два главных фактора, смущающих заказчика: ручной труд и постоянный риск.
Хотя временный агент не устанавливается на целевых системах, он может выполнять все стандартные функции: захватывать команды, собирать артефакты, выполнять аудит пользовательских действий, управлять привилегиями. Такое решение дает тот же уровень прозрачности и контроля, что и традиционное развертывание, но без побочных эффектов от постоянного присутствия. Таким образом, временный агент представляется оптимальным решением, которое не оказывает влияние на среду функционирования.
Служба безопасности заказчика может не опасаться того, что на эксплуатационном сервере функционирует сторонний недоверенный компонент. Агент, конечно, все равно присутствует, но живет он временно, а его "жизнь" контролирует РАМ.
Конечно, и у этого решения есть свои недостатки, которые придется учитывать. Нужно четко определить, что делать, если сессия оборвется: например, как гарантированно завершить работу агента и удалить его без следов? Придется следить за тем, чтобы агенты не конфликтовали с политиками безопасности и антивирусами. Важно также заранее продумать, как система будет работать в изолированных или нестабильных сегментах сети, где доставка и удаление компонента в автоматическом режиме может дать сбой. Все это требует аккуратной настройки и тестирования – временный агент сам по себе не решает все проблемы автоматически, он лишь позволяет преодолевать самые сложные препятствия, если сохранять ответственный подход к работе.
Временный агент – это способ двигаться навстречу заказчикам и удовлетворить их потребности, поддерживая высокий уровень безопасности. Он сохраняет все преимущества технологии, но адаптирует их под реальные потребности рынка. Такой подход дает возможность существенно упростить внедрение, повысить уровень доверия и приблизить систему РАМ идеалу с точки зрения клиента – продукту, который эффективно обеспечивает безопасность, но не мешает работать.
По нашему мнению, временный агент – это разумный баланс между контролем и удобством. Реализация такого подхода уже включена в план развития продуктов "Индид" и станет важной частью будущей версии платформы Indeed PAM [1].
Выводы
Запрос на безагентские системы PAM – это не просто требование упростить архитектуру. Это сигнал от рынка, что модели взаимодействия с инфраструктурой должны становиться более гибкими, прозрачными и безопасными без чрезмерного вмешательства. Не все готовы мириться со сложностью развертывания классического агента и постоянным присутствием стороннего кода ради строгого контроля и полного логирования пользовательских действий. Что касается технологии OCR, то она выглядит красиво только в теории, а на практике оказывается затратной, капризной и медленной, чтобы стать полноценной альтернативой агентам.
