Гид по российским системам PAM (Privileged Access Management)

Привилегированные учетные записи являются одной из наиболее уязвимых точек информационной инфраструктуры организации. Именно они часто становятся целью злоумышленников, стремящихся получить несанкционированный доступ к важным данным и ресурсам предприятия с помощью фишинга и обмена механизмов аутентификации. Вовремя выявить взлом учётной записи администратора — одна из важных задач специалиста по защите корпоративной инфраструктуры. Для решения проблемы с контролем и управлением привилегированными учетными записями были разработаны продукты для управления привилегированным доступом (Privileged Access Management — PAM).

PAM-решения — это системы, предназначенные для контроля сессий привилегированных пользователей, которые позволяют отслеживать сеансы пользователей с расширенными правами и выявлять в них признаки атаки на корпоративные ресурсы и критически важные данные. Основная задача PAM — обеспечить безопасность привилегированных учётных записей, которые часто являются главной целью злоумышленников. Их компрометация может привести к серьёзным последствиям для бизнеса. Поэтому решения класса PAM также занимаются строгой аутентификацией привилегированных пользователей, фиксируют все их действия, а в некоторых случаях даже блокируют те из них, которые могут навредить системе, например, такие команды как «rm -rf» в Linux.

Основные задачи современных PAM-решений:

• Учет и контроль предоставления прав доступа привилегированным сотрудникам и подрядчикам;
• Сегментирование доступа, чтобы ни один пользователь не имел полный доступ к критическим ресурсам;
• Управление паролями привилегированных учётных записей, включая их автоматическое создание и обновление, чтобы обеспечить минимизацию и разделение полномочий;
• Инвентаризация привилегированных учётных записей, что позволяет как отслеживать появление несанкционированно созданных привилегированных учётных записей, так и вовремя их удалять после завершения работы привилегированного сотрудника или подрядчика;
• Ограничение по времени или по конкретным задачам, что позволяет избежать случайного или намеренного доступа к системам в нерабочее время;
• Мониторинг активности привилегированных учетных записей и полная запись их сеансов;
• Аудит и отчетность по действиям администраторов и владельцев специальных полномочий;
• Обеспечение соответствия требованиям регуляторов как международных (PCI DSS или GDPR), так и российских (законов №152-ФЗ «О персональных данных», №187-ФЗ «О безопасности КИИ РФ» и других).

Использование качественного и хорошо настроенного PAM-решения позволяет повысить уровень информационной безопасности. Решения подобного класса позволяют предотвращать несанкционированный доступ к критическим ресурсам и оперативно реагировать на подозрительную активность учетных записей с повышенным полномочиями. Некоторые решения PAM позволяют выявить аномальное поведение сотрудников, что интерпретируется как перехват учетных записей.

Контроль действий привилегированных пользователей упрощает соблюдение требований различных стандартов безопасности и регуляторов, поскольку в них встроены нормативы по разграничению и минимизации полномочий сотрудников, а также по фиксации критических для информационных систем действий административного персонала. Внедрение PAM обеспечивает необходимый уровень контроля и прозрачности работы с привилегированными учётными записями.

Контроль действий администраторов также позволяет оптимизировать работу ИТ-отдела, поскольку наличие записи действий администратора на независимом от него устройстве позволяет разбираться в его действиях и исправлять допущенные ошибки. PAM-системы автоматизируют многие рутинные процессы управления доступом, такие как смена паролей и предоставление временных привилегий, а также предлагают более строгие технологии аутентификации пользователей, что усложняет для злоумышленников методы обхода механизмов контроля доступа.

Рассмотрим системы управления привилегированным доступом отечественных разработчиков.

BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1600 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 800 клиентов.

Одним из решений, которые основаны на экспертном опыте BI.ZONE в направлении мониторинга и реагирования, стал продукт BI.ZONE PAM. Это платформа для управления привилегированным доступом, основанная на принципах нулевого доверия (zero trust).

BI.ZONE PAM обеспечивает защищенные подключения, ротацию секретов, контроль и запись сессий, передачу событий в систему мониторинга (SIEM), а также блокировку нелегитимной активности. Принципы zero trust в платформе реализованы комплексно: она не только строго контролирует использование привилегий, но и делает управление IT-инфраструктурой удобным для пользователей.

Микросервисная архитектура BI.ZONE PAM позволяет обновлять, настраивать или перезапускать отдельные компоненты без остановки работы всей системы. Это же помогает сохранять работоспособность системы даже при сбое ее отдельных компонентов.

Продукт включен в реестр отечественного ПО и сертифицирован ФСТЭК России (4-й уровень доверия, сертификат № 4844).

Ключевые особенности:

• Совместимость с корпоративной IT-инфраструктурой на базе операционных систем семейств Windows NT и Linux/Unix, в том числе основных российских Linux-дистрибутивов.
• Встроенная поддержка двухфакторной аутентификации по протоколу TOTP и внутренний каталог для внесения в PAM-систему локальных учетных записей пользователей.
• Удобный просмотр записанных текстовых и графических сессий и быстрое перемещение по событиям внутри записанной сессии.
• Сервисы самостоятельных изменений по согласованию. В BI.ZONE PAM версии 2.3 появился механизм «второй руки»: пользователи могут предлагать изменения в настройках, учетных записях и серверах. И если администратор системы их одобрит, изменения сразу вступят в силу.
• Поддержка сценариев автоматизации и DevOps (container-native, скрипты Ansible, подход API-first и пр.).
• Горизонтальное масштабирование без необходимости приобретения дополнительных лицензий.
• Простота интеграции. Быстрая установка с готовыми скриптами развертывания и легкость подключения к различным инфраструктурным компонентам.

Продукт внедряется в организациях финансового сектора, на промышленных предприятиях и в крупных коммерческих структурах, где требуется стабильность работы платформы.

В ближайшем будущем PAM-решения будут активно применять ИИ-механизмы, уверен Артем Назаретян, руководитель BI.ZONE PAM. По его словам развитие таких решений напрямую связано с условиями, в которых работают заказчики PAM-систем.

Сегодня они сталкиваются с постоянными кибератаками, усилением требований законодательства и необходимостью сокращать расходы, используя ИИ для оптимизации процессов. В связи с этим PAM-системы будут усиливать возможности по реагированию и предотвращению нелегитимных действий, становясь частью платформ киберустойчивости и активно применяя ИИ-механизмы. При этом будут востребованы модульные и гибкие продукты, а у ощутимой части заказчиков — облачные и сервисные модели поставок, - полагает Артем Назаретян.

Компания «СКБ Контур» специализируется на предоставлении услуг защищённого электронного документооборота. Компания разработала PAM-решение «Контур.PAM», который является сервисом, который позволяет выдавать доступ к информации только привилегированным пользователям, например, удалённым сотрудникам, специалистам техподдержки, владельцам информационных систем и разработчикам.

«Контур.PAM» — система защиты критически важных ресурсов организации. Она обеспечивает полный контроль и прозрачность действий привилегированных пользователей.

Вот некоторые возможности сервиса:

• Контроль доступа. Привилегированные права предоставляются только по необходимости и на время задачи;
• Отслеживание всех событий. Система фиксирует события о входе привилегированных пользователей на конечные ресурсы, что помогает быстро выявлять подозрительную активность;
• Управление привилегиями в один клик. Настраивается минимально необходимый доступ для каждого пользователя, чтобы снизить риск ошибок и упростить администрирование;
• Быстрая реакция на инциденты. Система позволяет мгновенно прервать сессию при подозрительных действиях, оперативно предотвращая угрозы и защищая данные.

Сервис подходит для предприятий любых отраслей, где требуется защита данных. Он может интегрироваться в существующую инфраструктуру предприятия.

Этот продукт для контроля привилегированного доступа был изначально разработан компанией «Новые технологии безопасности» (НТБ). В декабре 2022 года вся компания была приобретена «Ростелеком-Солар», и продукт был добавлен в ассортимент этого производителя средств защиты информации.

Solar SafeInspect — полнофункциональная платформа для управления привилегированными учётными записями и сессиями в современных облачных и классических информационных системах. Программа может использоваться не только как самостоятельное решение, но и как надстройка для других PAM-продуктов.

Вот некоторые возможности Solar SafeInspect:

• Поддержка различных протоколов администрирования. Система выполняет мониторинг и анализ данных, передаваемых по протоколам SSH, RDP, HTTP/HTTPS, Telnet и другим;
• Контроль подключений. Инструмент позволяет контролировать, по каким протоколам осуществляется подключение, с каких адресов, портов и куда подключались;
• Различные методы авторизации. Система поддерживает аутентификацию через сертификаты, двухфакторную аутентификацию с помощью токенов, а также доступ по одноразовому паролю;
• Просмотр сеансов работы. Действия привилегированных пользователей можно контролировать онлайн или записывать их сеансы работы.
• Создание отчётов. Система обеспечивает ведение журналов действий пользователей, где регистрируются время, субъект и объект доступа, а также совершённые действия.
• Интеграция с другими системами защиты. Интеграция с SIEM-системами позволяет проводить более детальное расследование произошедших событий и выявлять уязвимости в реальном времени.

Solar SafeInspect сертифицирована ФСТЭК России по 4-му уровню доверия (№4816), внесена в Единый реестр отечественного ПО и подходит для импортозамещения.

Компания «Индид», отечественный разработчик ПО для обеспечения информационной безопасности в финансовой, промышленной, транспортной и других сферах выпустила свою систему для контроля привилегированного доступа в 2018 году. Indeed PAM — программный комплекс для управления административным доступом и контроля действий привилегированных пользователей разных категорий: штатных и внештатных сотрудников, а также внешних исполнителей.

Некоторые возможности Indeed PAM:

• Защита учётных записей. Авторизация привилегированных пользователей защищена двухфакторной аутентификацией с использованием мобильного приложения TOTP или серверов RADIUS. Пароли привилегированных учётных записей, включая пароли локальных администраторов, ротируются автоматически по заданному расписанию;
• Контроль действий администраторов. Администратор PAM управляет правами привилегированного доступа к целевым ресурсам через единую консоль. При необходимости можно запретить привилегированному пользователю вводить SSH-команды и передавать файлы на ресурс по протоколам SSH и RDP;
• Расследование инцидентов. Все привилегированные пользовательские сессии записываются. При этом фиксируются дополнительные данные, которые могут помочь при расследовании;
• Соответствие политике Zero Trust. Политика нулевого доверия подразумевает отсутствие доверия кому-либо внутри и за пределами сети.

Версия Indeed PAM 2.7 сертифицирована ФСТЭК России (№4667) по 4 уровню доверия.

Компания «АйТи Бастион» начала свою деятельность в России в 2014 году. Изначально она была эксклюзивным поставщиком иностранного PAM-решения Wallix. Однако компания сделала собственное PAM-решение под названием «Система контроля действий поставщиков услуг» (СКДПУ) и зарегистрировала его в реестре отечестенного ПО в 2019 году.

Комплексный продукт под названием СКДПУ НТ обеспечивает безопасность дистанционного доступа к ИТ-ресурсам компании для привилегированных пользователей и подрядчиков. Он внесён в Реестр ПО Минкомсвязи России, а шлюз доступа СКДПУ НТ сертифицирован ФСТЭК России.

Некоторые возможности СКДПУ НТ:

• Контроль доступа, запись сеансов и наблюдение за действиями привилегированных пользователей;
• Мониторинг действий, выполняемых привилегированными пользователями на администрируемых устройствах: бизнес-приложениях, базах данных, гипервизорах, серверах Windows и Unix/Linux, сетевых устройствах и т. д.;
• Статистика и отчёты о действиях, например, журналы подключений, статистика количества подключений, рейтинг пользователей и т. д.;
• Запись сеансов. Причем сессии Windows Terminal Server (RDP) или VNC можно записывать в видеоформате, а действия, выполняемые из командной строки (SSH, Telnet и т. д.) — в текстовом формате;
• Менеджер паролей, позволяет автоматически или вручную изменять пароли привилегированных пользователей;
• Контроль в реальном времени, в результате которого система уведомляет о любых попытках подключения к устройствам, определённым как критичные, о неудачных попытках входа в СКДПУ или о невозможности автоматического входа с использованием заданной учётной записи;
• Единая точка входа (SSO), с помощью которой каждый пользователь входит в СКДПУ, используя свои учётные данные и получает доступ к разрешённым в рамках политики устройствам без повторного введения пароля.

Современная система СКДПУ НТ базируется на российской ОС Astra Linux SE, сертифицирована ФСТЭК России по УД-4 (№ 4811) и Министерством обороны по требованиям на НДВ-2.

Компания NGR Softlab является российским разработчик решений по информационной безопасности. Она работает на рынке с 2019 года. Основная специализация – разработка аналитических систем для информационной безопасности. Среди продуктов компании есть в том числе и PAM-решение под названием Infrascope.

PAM Infrascope — это профессиональное российское решение для управления привилегированным доступом. Он является комплексным продуктом, который позволяет защитить доступ к сетевой инфраструктуре и приложениям, а также осуществить мониторинг и регистрацию действий, влияющих на непрерывность бизнес-процессов. Данный продукт нацелен на укрепление информационной безопасности организаций путем надежного контроля и мониторинга привилегированных учетных записей, используемых администраторами и техническими специалистами.

Функционал PAM Infrascope:

• Централизация хранения паролей. Все учетные данные хранятся в едином защищенном репозитории, исключающем человеческий фактор при управлении доступом;
• Мониторинг активности администраторов. Каждый сеанс работы с привилегированной учетной записью отслеживается, ведется запись и анализ всех действий;
• Многоуровневая аутентификация. Используются методы биометрической и аппаратной аутентификации для увеличения уровня безопасности;
• Отчеты и аналитики. Инструменты отчетности позволяют отслеживать изменения и выявлять потенциальные угрозы;
• Масштабируемость. Подходит для предприятий любого размера, начиная от небольших офисов и заканчивая крупным бизнесом.

Продукт разработан с учетом особенностей российских стандартов информационной безопасности и потребностей локального рынка. Внедрён в банковских учреждениях, компаниях телеком-сектора, производственных предприятиях и государственных органах. В январе 2024 года системе присвоен сертификат ФСТЭК №4752.

Казанская компания [1] является системным интегратором, который имеет собственный центр мониторинга и реагирования на инциденты (SOC). Однако она также занимается и разработкой решений для автоматизации процессов обеспечения информационной безопасности. Для контроля привилегированных пользователей разработчики компании разработали и выпустили на российский рынок PAM-решение Innostage PAM.

Оно предназначено для автоматизации процесса инвентаризации, хранения, ротации паролей и предоставления доступа к привилегированным учетным записям, контроля и аудита действий привилегированных пользователей.

Innostage PAM не только контролирует, но и организует доступ привилегированных пользователей к информационным ресурсам компаний-клиентов.

Некоторые возможности Innostage PAM:

• Снижение операционных издержек. Структурированное и централизованное управление доступом снижает вероятность ошибок и сбоев, минимизируя операционные риски и сокращая расходы на восстановление после инцидентов;
• Уменьшение риска внутренних угроз. PAM помогает управлять доступом и ограничивать привилегии, снижая риск внутренних угроз и позволяя оперативно расследовать инциденты по видео и текстовым журналам;
• Повышение трудовой дисциплины. PAM позволяет повысить дисциплинированность ИТ-команды за счёт отслеживания показателей SLA для ИТ-команд.
• Защищённое хранение привилегированных учётных записей (ПУЗ). Предоставление пользователям персональных зашифрованных хранилищ ПУЗ с возможностью контролируемого делегирования доступа к ним;

В 2025 году компания Innostage представила обновлённую версию системы управления привилегированным доступом — Innostage Cardinal PAM. Разработчики решили обновить и название, чтобы подчеркнуть переход на новый уровень зрелости.

Web Control была основана в 2008 году с целью продвижения на рынок высокотехнологических решений. Она является дистрибьютором продуктов кибербезопасности, который выпускает продукты под собственной торговой маркой. Первыми вендорами компании стали Blue Coat System, предлагающий защищенный веб-шлюз, Lieberman с системой управления привилегированным доступом и ObserveIT – разработчик решения для анализа поведения пользователя.

Продукт sPACE PAM был выпущен на рынок в 2021 году. В реестре он значится под именем «Автоматизированная система организации и управления рабочим процессом привилегированных пользователей с интегрированной защищённой средой реализации полномочий и подсистемой управления жизненным циклом паролей и ключей доступа», то есть включает в себя не только функционал PAM, но и управления паролями и ключами доступа.

Решение может выполнять следующие функции:

• Организация и обеспечение доступа;
• Контроль действий пользователей и внешних поставщиков;
• Удаленный доступ с публичных рабочих станций;
• Вспомогательный PAM для конкретных задач.

Российская компания Avanpost с 2007 года специализируется на разработке систем управления учетными данными (IDM). Флагманским продуктом компании является Avanpost IDM, к которому через некоторое время были добавлены SSO и PKI. Компания концентрировала внимание на моделях управления правами доступа, предлагая для этого интеллектуальные инструменты анализа и минимизации прав доступа.

Продукт SmartPAM был выпущен компанией в феврале 2025 года, однако ключевой его особенностью является использование искусственного интеллекта. Используемые в продукте интеллектуальные алгоритмы работают на основе двух нейросетей, каждая из которых отвечает за ключевые аспекты анализа поведения привилегированных пользователей. Одна сеть изучает модели поведения пользователей в нормальном состоянии, а вторая – выделяет аномалии в этом поведении. В разработке подобных технологий и был использован опыт компании по управлению правами доступа – IDM.

В результате, SmartPAM от Avanpost позволяет решать следующие задачи:

• Упорядочивать использование привилегированных учетных записей;
• Автоматизировать процессы управления правами доступа, исключая человеческий фактор;
• Выполнять функции контроля и аудита действий сотрудников, с расширенными полномочиями;
• Защищать доступ к привилегированным учетным записям с помощью поиска аномалий в поведении;
• Обеспечивать соблюдение внутренних политик безопасности.

Компания AVSoft («АВ Софт») была образована в 2010 году Антоном Чухновым. Ее основным направлением деятельности является разработка программного обеспечения в области информационной безопасности. Компания предлагает решения для защиты корпоративной ИТ-инфраструктуры от целенаправленных атак, вирусного программного обеспечения, спама, фишинга. С 2022 компания является резидентом «Сколково», а в 2024 году — участвовала в проекте «Национальный мультисканер».

AVSoft PAM — система контроля привилегированных пользователей в корпоративном сегменте. Она фиксирует действия пользователей с критическими для безопасности полномочиями и выполняет аудит их действий, что позволяет предотвратить утечки конфиденциальной информации и оперативно исправлять ошибки в деятельности администраторов и подрядчиков.

Вот некоторые возможности системы:

• Поддержка протоколов FTP, SSH, RDP, Telnet и других;
• Запись сессий привилегированных пользователей;
• Изоляция объектов сети, сбор данных для расследования инцидентов;
• Контроль основных привилегированных учётных записей: личных, служебных, доменных, аварийных, административных, локальных.