Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Применение систем класса PAM для организации проактивной защиты

11/06/25

580jxo0e07p0dcm5rner8v5py118fd8k

В условиях постоянно растущих сложности IT-ландшафта и изощрённости атак контроль привилегированных сессий становится одним из важнейших аспектов практической безопасности. Встречаются мнения (на взгляд автора - ошибочные) о том, что основные функции PAM-систем могут быть замещены с использованием SIEM и (или) IDM/IAM-решений.

Так, хотя IAM/IDM платформы обеспечивают централизованное управление учётными записями и правами входа и реализуют продвинутые сценарии аутентификации, они мало влияют на действия пользователей (в т. ч., привилегированных), выполняемые последними после входа в систему. С другой стороны, практические реализации SIEM-систем не во всех случаях обладают достаточным контекстом для прецизионного обнаружения угроз в действиях привилегированных пользователей, а также могут
оказаться существенно ограничены в своих возможностях по оперативному реагированию на выявленные опасные действия.

Системы класса PAM как раз создают «последний рубеж» защиты — централизованный механизм для подключений с повышенными правами, продвинутые механизмы контроля в реальном времени, в идеале – работая совместно с SIEM и IAM.

Однако, без реализованного в PAM глубокого анализа привилегированных сессий остается «слепая зона» в своевременном понимании намерений пользователя: анализ видео- или текстовых записей сессий может оказаться делом трудоемким, на практике реализуемым только в ситуациях, связанных с разбором уже состоявшихся инцидентов, уже реализованных угроз.

Разработанное компанией Аванпост ПО SmartPAM обрабатывает не только «сырые» записи, но и семантически размеченные данные, выявляя в сессиях опасные события (вместо отдельных команд!) или даже их цепочки.

Детекция событий, соединенная с гибко настраиваемыми пользовательскими правилами, политиками выявления угроз и различными вариантами реакции на них, открывает возможности к избирательному, точно настраиваемому обнаружению и пресечению нежелательных, опасных действий привилегированных пользователей. Достигается возможность учитывать, что одни и те же операции, выполняемые над различными объектами либо на различных управляемых ресурсах, могут в одних случаях быть маркерами угроз, тогда как в других – являться частью нормальной эксплуатации.

Опционально устанавливаемые агенты обеспечивают SmartPAM дополнительным контекстом о происходящем в привилегированных сессиях в частности и на защищаемых ресурсах вообще. С их помощью становится возможным, например, выявлять привилегированные сессии, установленные «в обход» PAM, получать информацию о старте процессов и других важных событиях, которые могут быть связаны с деятельностью привилегированных пользователей и представлять интерес с точки зрения анализа и проактивного предотвращения угроз.

Реализуемая на базе ИИ аналитика поведенческих аномалий (UBA) в SmartPAM строит «портрет» нормальной рабочей активности: время входа, частоту и характер команд, самые распространённые хосты и др. При отклонении от модели система автоматически помечает сессию для дополнительного аудита, прерывает её в проактивном режиме или реализует другую из доступных реакций (например, уведомление ответственных либо блокирование пользователя). Такой интеллектуальный подход блокирует атаки нулевого дня и инсайдерские угрозы до того, как они перерастут в серьёзный инцидент.

Существенным преимуществом PAM-системы может явиться бесшовная ее интеграция с IAM. Например, важно, чтобы при увольнении/переводе сотрудника PAM-система автоматически обновляла бы свои политики, своевременно отзывая привилегированный доступ без необходимости прибегать к ручным операциям. Другим значимым аспектом взаимодействия с этим классом систем может явиться возможность делегировать IAM-системе аутентификацию привилегированных пользователей: это позволит применить различные варианты аутентификации с использованием второго фактора, а также воплотить продвинутые сценарии аутентификации.

При организации сценариев использования PAM-системы представляется важным ориентироваться на варианты, позволяющие достигать максимальной изоляции защищаемых ресурсов. Так, например, применение в составе PAM прокси-серверов исключает непосредственное воздействие привилегированных пользователей на ресурсы; а использование нескольких прокси позволит реализовать сегментацию, минимизируя тем самым боковые движения («lateral movements») привилегированных пользователей. Ограничение прямого доступа администраторов к секретам инфраструктуры — таким как пароли и SSH-ключи привилегированных учётных записей — существенно снижает риск их компрометации, в том числе при неформальном обмене этими данными между сотрудниками в целях решения рабочих задач.

Последняя мера, очевидно, предполагает необходимость хранить секреты в инфраструктуре PAM. Необходимо обеспечить безопасность соответствующей инфраструктуры. Очевидной, но недостаточной в современных условиях мерой является применение для обратимого шифрования этих данных криптографически стойких алгоритмов. Критически важно обеспечить надежное управление ключами, применяемыми в этих алгоритмах. Недопустимо, в частности, хранение ключей в инфраструктуре PAM-системы: необходимо исключить ситуацию, когда возможный доступ туда злоумышленника позволит последнему раскрыть хранящиеся в PAM секреты.

Внедряя современный PAM, организация получает не просто ещё один элемент защитного стека, а полнофункциональный движок проактивной безопасности: семантический анализ сессий, UBA-аналитику, автоматическое реагирование на выявляемые угрозы. Интеграция с IAM-системами обеспечивает синергетический эффект, формируя единое, управляемое пространство Zero Trust.

Таким образом, контроль привилегированных доступов перестаёт быть точечным решением и становится важным элементом стратегии киберзащиты, повышая надёжность инфраструктуры и устойчивость бизнеса к современным угрозам.

Темы:Пресс-релизОтрасльSIEMPAMAvanpost
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Avanpost SmartPAM: как устроено интеллектуальное управление привилегированным доступом
    Сергей Померанцев, владелец продукта Avanpost SmartPAM
    В Avanpost мы поставили перед собой амбициозную цель: предложить рынку инновационный продукт, обеспечивающий высокий уровень защиты за счет проактивного реагирования на угрозы. Кроме того, мы хотели усилить успешную линейку фокусирующихся на управлении доступом продуктов, поэтому в этом году анонсировали Avanpost SmartPAM – систему управления привилегированным доступом.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Как разгрузить SIEM, уже работающую в инфраструктуре?
    Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.
  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Невыдуманная история расследования одного инцидента
    Василий Кочканиди, аналитик RuSIEM
    В 2024 г. в ходе одного из пилотных проектов по внедрению в инфраструктуру крупной частной клиники системы RuSIEM было обнаружено неизвестное вредоносное ПО, незамеченное ранее в атаках и незафиксированное антивирусом. Подробнее рассмотрим, как удалось обнаружить угрозу.
  • PAM – строим вместе
    Василий Окулесский, вице-президент по информационной безопасности ЦМРБанка
    Хороший продукт – это всегда плод совместных усилий производителя и пользователей. Чтобы продукт был успешным и востребованным, им должны пользоваться, давать обратную связь, и производитель должен реагировать на нее. Только тогда он станет по-настоящему полезным, конкурентоспособным, будет расти и развиваться.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...