Как и зачем меняется PAM. Мнение экспертного сообщества 08.08.2025 15:46PAM меняется вместе с инфраструктурой, рисками и ожиданиями бизнеса. Речь уже не просто о контроле привилегий, а о полноценном элементе архитектуры доверия. Редакция журнала “Информационная безопасность” спросила у экспертов, какие функции в PAM сегодня можно считать прорывными, как решаются задачи масштабирования и что помо- P гает выявлять слепые зоны.
Эксперты
Игорь Базелюк, операционный директор Web Control
Алексей Дашков, директор центра развития продуктов NGR Softlab
Илья Моисеев, руководитель продукта Indeed PAM (Компания “Индид”)
Артем Назаретян, руководитель BI.ZONE PAM
Любовь Смирнова, менеджер продукта PAM от Контур.Эгиды
Алексей Ширикалов, руководитель отдела развития продуктов, компания "АйТи Бастион"
Какие три функциональные возможности вы считаете наиболее прорывными в PAM 2025 года?
Алексей Ширикалов, "АйТи Бастион"
1. Интеграция с системами ИТ и ИБ.
2. Полноценный поведенческий анализ.
3. Облачное использование.
Артем Назаретян, BI.ZONE
1. Just-in-Time-доступ, выдача привилегий без постоянных учетных записей или под конкретную задачу.
2. ИИ-/МО-анализ поведения, который выявляет отклонения.
3. DevOps и API-first для гибкой интеграции PAM с другими средствами защиты и элементами инфраструктуры.
Алексей Дашков, NGR Softlab
1. Рынок PAM сформирован и ключевые возможности решений этого класса стали общепринятыми, но у пользователей по-прежнему много вопросов к удобству использования продуктов.
2. Функционал по контролю доступа к СУБД и маскированию чувствительных данных при выполнении запросов.
3. Встраивание управления секретами в решения класса PAM (хранилище паролей).
Игорь Базелюк, Web Control
1. Just-in-Time-подход в управлении привилегированным доступом.
2. Управление привилегированным доступом в неинтерактивных сеансах.
3. Интегрированный РАМ – запуск привилегированных сессий. пользователей в третьих приложениях (например, в Service Desk).
Любовь Смирнова, Контур.Эгида
1. ИИ-анализ поведения – предсказание аномалий на основе МО.
2. Автоматический ротационный доступ – динамическая выдача прав по запросу.
3. Интеграция с Zero Trust – непрерывная верификация сессий.
Какая функциональность предусмотрена в вашем решении для проверки эффективности политик PAM в процессе эксплуатации системы?
Алексей Ширикалов, "АйТи Бастион"
Поведенческий анализ с предустановленными правилами позволяет подсветить специалисту ИБ потенциально опасные действия или нелегитимные доступы, если ограничения еще не выстроены. В дальнейшем возможно использовать его для корректировки политик.
Артем Назаретян, BI.ZONE
В решениях класса PAM эффективность политик закладывается на уровне архитектуры с соблюдением принципа Zero Trust. Это означает, что аутентификация делится на две части: непривилегированный доступ к PAM и привилегированный доступ к целевой системе с помощью PAM. Секреты привилегированных учетных записей также передаются под управление PAM. Важную роль играет управление доступом и жизненным циклом учетных записей. В то же время поведенческая аналитика и автоматический пересмотр политик играют второстепенную роль.
Алексей Дашков, NGR Softlab
Менеджер доступа Infascope позволяет создавать гибкие ролевые модели, реализуя принцип наименьших привилегий и повышая эффективность управления политиками. Система также предлагает мощные инструменты мониторинга и отчетности, которые позволяют легко выявить неиспользуемые политики, политики в которых нет активных учетных записей или контролируемых устройств.
Илья Моисеев, "Индид"
В PAM важно рассматривать в связке политики и разрешения — именно через их сочетание обеспечивается управляемый и гибкий доступ. Indeed PAM позволяет задавать точечные права в соответствии с внутренними политиками компании. В новых релизах появится панель, которая покажет устаревшие и неиспользуемые разрешения – это упростит контроль за избыточными правами. Отслеживание эффективности политик требует дополнительного слоя – поведенческой аналитики.
Игорь Базелюк, Web Control
В sPACE PAM оценить эффективность политик РАМ позволяет интеграция с SIEM. Наша система позволяет получать любую информацию о происходящих в sPACE событиях, направлять эту информацию для анализа в сторонние системы (например, в SIEM).
Как у вас решаются задачи отказоустойчивости, балансировки нагрузки и централизованного управления при работе в больших инфраструктурах?
Игорь Базелюк, Web Control
sPACE PAM позволяет создавать отказоустойчивые кластеры и обладает возможностями практически неограниченного вертикального и горизонтального масштабирования. Система имеет внутреннюю балансировку нагрузки между компонентами. Для хранения привилегированных учетных данных и записей сессий могут использоваться любые внешние хранилища.
Алексей Ширикалов, "АйТи Бастион"
Имеем за плечами опыт использования в инсталляциях более 15 тыс. контролируемых устройств, георезервирование, геораспределенные инсталляции с централизованным доступом и анализом действий.
Илья Моисеев, "Индид"
Indeed PAM нативно поддерживает балансировку и настройку отказоустойчивого кластера с помощью HAProxy, который входит в пакет поставки. Наш продукт также поддерживает интеграцию со сторонними решениями для реализации сценариев отказоустойчивости. Это позволяет клиентам использовать привычные инструменты, если встроенные возможности не соответствуют их предпочтениям.
Алексей Дашков, NGR Softlab
В базовой лицензии Infrascope по умолчанию присутствуют сразу два экземпляра (инстанса) системы, что позволяет построить отказоустойчивый кластер с репликацией данных, функционирующий в режиме Active-Active без дополнительных затрат. Централизованное управление реализовано через единую консоль, обеспечивающую полный контроль доступа, аутентификации и сессий по всей инфраструктуре.
Артем Назаретян, BI.ZONE
BI.ZONE PAM использует микросервисную архитектуру с механизмами Health Check, что обеспечивает кластеризацию, репликацию и отказоустойчивость. Система масштабируется через балансировщик нагрузки и Stand-Inинсталляции. Управление централизовано: единая консоль, синхронизация политик, аудит, RBAC и API-интеграции позволяют обойтись без отдельных инсталляций даже в сложных инфраструктурах.
После внедрения PAM часто выясняется, что заметная часть привилегий остается вне зоны контроля. Как можно автоматизировать регулярный поиск и устра- нение таких слепых зон?
Илья Моисеев, "Индид"
PAM не предназначен для поиска слепых зон, а фокусируется на контроле доступа по заданным политикам. Обычно доступ к критически важным системам возможен только через PAM, что обеспечивает соблюдение внутренней стратегии безопасности. При этом внедрение PAM нередко вскрывает уязвимые участки, требующие отдельного внимания со стороны ИБспециалистов.
Алексей Дашков, NGR Softlab
В Infrascope существует возможность поиска и добавления привилегий в собственное хранилище со сменой пароля неподконтрольных учетных записей на целевых системах. Реализована также функция автоматизированного поиска устройств в сети, что позволяет своевременно выявлять неконтролируемые устройства.
Артем Назаретян, BI.ZONE
После внедрения PAM слепые зоны остаются из-за теневых привилегий и обходных доступов. Чтобы устранить их, нужно действовать системно. Вопервых, использовать сканеры привилегий в целевых системах, а затем сравнивать результаты с данными PAM. Во-вторых, интегрировать PAM с системами управления конфигурациями (CMDB) и учетными записями (IDM), чтобы автоматически контролировать новые объекты. В-третьих, ограничить доступ к критическим системам в обход PAM и настроить отправку событий в SIEM или SOC.
Алексей Ширикалов, "АйТи Бастион"
Для автоматического выявления и устранения слепых зон в доступе PAM интегрируется с LDAP и IDM, что позволяет инвентаризировать пользователей и их учетные записи. Подключение к СОВ и анализ сетевых доступов помогают находить обходные пути и незарегистрированные подключения. Все привилегированные учетные записи централизованно хранятся в PAM без выдачи паролей администраторам, а их ротация осуществляется автоматически.
Игорь Базелюк, Web Control
Чаще всего привилегированные учетные записи добавляются в РАМ централизованно и вручную, однако в масштабных геораспределенных инфраструктурах это бывает сложно обеспечить. В этих случаях для автоматического поиска и импорта в РАМ привилегированных учетных данных необходимо использование специализированных инструментов Account Discovery.
Как вы защищаете PAM от внутренних злоумышленников, чтобы исключить несанкционированное изменение политик, логов и конфигурации?
Алексей Дашков, NGR Softlab
Для защиты PAM необходимо обеспечить строгий контроль доступа и четкое разграничение прав – только ограниченный круг пользователей управляет политиками и конфигурацией. Всем администраторам обязательна двухфакторная аутентификация. Система ведет детальный аудит действий с привилегированными учетными записями, включая изменения настроек, и отправляет события в SIEM для своевременного обнаружения несанкционированных изменений.
Артем Назаретян, BI.ZONE
Для защиты PAM от внутренних злоумышленников реализован механизм контроля второй рукой. Все изменения конфигурационных элементов в разделе "Настройки системы" проходят через систему заявок: пользователь создает запрос на изменение, который должен быть одобрен другим уполномоченным сотрудником. То есть реализован принцип двойного контроля.
Алексей Ширикалов, "АйТи Бастион"
Для защиты PAM от внутренних злоумышленников реализован ряд механизмов: ролевые ограничения (RBAC) ограничивают доступ к критическим функциям. Все действия сопровождаются уведомлениями и анализируются с помощью поведенческой аналитики. Обеспечивается контроль целостности и конфигураций системы. Администраторы PAM и ОС (например, Astra Linux) разделены, что снижает риск пересечения полномочий. Вся активность фиксируется во внутреннем журнале аудита с возможностью передачи событий в SIEM. Дополнительно применяется многофакторная аутентификация.
Илья Моисеев, "Индид"
Защита PAM от внутренних угроз начинается с многофакторной аутентификации и строгого разграничения прав. В Indeed PAM реализована гибкая ролевая модель с возможностью создания кастомных ролей, что позволяет назначать только необходимые полномочия. Вся активность логируется, а логи защищены от изменений и могут передаваться в SIEM. Даже при попытке злоупотребления действия администратора будут зафиксированы и выявлены.
Игорь Базелюк, Web Control
В sPACE PAM реализованы механизмы, предотвращающие несанкционированные действия как со стороны пользователей, подключающихся через систему, так и со стороны администраторов и аудиторов. Гибкая ролевая модель позволяет точно настраивать доступ к функциям PAM и создавать пользовательские роли в соответствии с политиками безопасности. Мультитенантность обеспечивает изоляцию: каждая зона имеет собственных администраторов, пользователей и целевые системы, оставаясь невидимой для остальных.
Получится ли у российских PAM работать с облачной инфраструктурой или ини- циатива в этом вопросе полностью на стороне крупных облачных провайдеров?
Алексей Дашков, NGR Softlab
Управление правами доступа в облачной инфраструктуре (Cloud Infrastructure Entitlement Management, CIEM) является трендом на зарубежном рынке. В России же инициатива по интеграции PAM в облака зависит от крупных облачных провайдеров и темпов миграции заказчиков в облако. Российские решения активно развиваются и адаптируются под локальные и гибридные облачные среды, но мы не получали пока запросы на управление доступом в таких инфраструктурах.
Любовь Смирнова, Контур.Эгида
Некоторые российские PAM уже интегрируются с облачными провайдерами через API, включая VK Cloud и Mail.ru. Однако глубина интеграции зависит от открытости API облаков. Инициатива – на стороне вендоров PAM, но требуется сотрудничество с провайдерами.
Алексей Ширикалов, "АйТи Бастион"
Клиенты облачных провайдеров уже используют PAM как сервис для обеспечения безопасного и контролируемого доступа собственных специалистов и подрядных организаций. Считаю, что на очереди – предоставление PAM облачными провайдерами для клиентов и собственного использования.
Артем Назаретян, BI.ZONE
Если рассмотреть на примере BI.ZONE PAM, то технических препятствий нет. Однако поскольку облачные PAM-решения только набирают популярность в России, ключевой вопрос сейчас – это готовность компаний к такому формату. Важно также учитывать вопросы биллинга и тарификации.
Игорь Базелюк, Web Control
Отечественные облачные провайдеры редко сталкиваются с четко выраженной потребностью клиентов в управлении привилегированным доступом в облаке, а в случае появления такие задачи решаются клиентами точечно – с помощью РАМ, способных работать в облаке. Поэтому инициатива скорее находится на стороне РАМ-вендоров. По нашей оценке, крупные отечественные облачные провайдеры не часто сталкиваются с такими запросами, а в случае необходимости ожидают специализированных решений.
Илья Моисеев, "Индид"
Инициатива по облачному PAM остается за вендорами. Пока спрос невысок, большинство компаний предпочитает on-premise-модель. Однако развертывание PAM в облаке возможно – например, на виртуальных машинах. Подобным образом мы уже реализовали облачный MFA в ответ на запросы клиентов.