Avanpost SmartPAM – интеллектуальная система для управления привилегированным доступом

По результатам исследования Piccard, российский рынок PAM-систем в 2024 году составил 5,7 млрд рублей, что является достаточно высоким показателем. Основными причинами большого спроса на решения класса PAM, вероятно, являются рост количества кибератак, нацеленных на привилегированные учетные записи, и ужесточающиеся требования регуляторов к защите критических данных компаний.

Предпосылки появления Avanpost SmartPAM

«Сегодня множество специалистов развивают ИТ-инфраструктуру организации, обеспечивают ее эксплуатацию: это разного рода системные администраторы, сетевые инженеры, разработчики, а также, что важно подчеркнуть, – подрядчики. Все они обладают особыми привилегиями доступа в инфраструктуру и поэтому их действия нужно особенно тщательно контролировать. В противном случае компания рискует столкнуться с крупными инцидентами – например, с утечкой баз персональных данных. По нашим наблюдениям, огромное количество атак реализуется именно за счет эксплуатации привилегированного доступа. Получается, что компания должна выдавать привилегированным пользователям особые права, но в то же время полностью доверять им не может. Решить эту задачу и призваны системы класса PAM. Они тем или иным способом встраиваются между привилегированными пользователями и корпоративными системами и таким образом изолируют их от непосредственного взаимодействия с защищаемыми ресурсами», – рассказывает владелец продукта Avanpost SmartPAM Сергей Померанцев.

Владелец продукта Avanpost SmartPAM Сергей Померанцев
Источник: Avanpost

2024-25 годы ознаменовались появлением на этом рынке новых мощных продуктов. Так, в феврале 2025 года компания Avanpost, российский вендор в области безопасности идентификационных данных, представила собственное решение – Avanpost SmartPAM. Эта система обеспечивает полный контроль действий привилегированных пользователей и минимизирует риски, связанные с их доступом, гарантирует прозрачность и ответственность при работе с критически важными системами. Кроме того, Avanpost SmartPAM органично дополняет существующую линейку продуктов вендора – прежде всего, систему управления учетными записями Avanpost IDM.

«Наши IDM и PAM – это комплементарные системы. Они отлично работают в связке, но каждая может применяться и самостоятельно. Например, можно выдавать пользователям учетные записи с помощью IDM или в ручном режиме, если у компании этой системы нет. Но в любом случае SmartPAM будет полноценно контролировать действия привилегированных пользователей», – объясняет Сергей Померанцев.

Наряду с Avanpost IDM решение поддерживает интеграцию с IdP-системами, предназначенными для усиленной аутентификации привилегированных пользователей – такими, как Avanpost FAM или Avanpost MFA+.

Место PAM-системы Avanpost в структуре комплексного решения Identity Security Platform
Источник: Avanpost

Архитектура и принцип действия Avanpost SmartPAM

Основными функциями Avanpost SmartPAM являются контроль доступа привилегированных пользователей к ресурсам и мониторинг их действий в ИТ-инфраструктуре. Для их реализации в системе предусмотрено несколько модулей.

SmartPAM Management Node – модуль управления программным комплексом, включающий консоль администратора, модуль отчетности и хранилище секретов (паролей). Интерфейс администратора позволяет специалистам выполнять полный спектр действий в рамках своих должностных обязанностей: например, управлять учетными записями привилегированных пользователей (просматривать, добавлять и удалять, изменять атрибуты и т. д.), группами привилегированных пользователей и ресурсами (защищаемыми системами), просматривать записи привилегированных сессий и журнал событий безопасности, настраивать политики доступа, создавать сигнатуры угроз и многое другое.

SmartPAM User Console – личный кабинет пользователя для работы с системой. Поддерживает аутентификацию в Active Directory/LDAP, имеет встроенную TOTP-аутентификацию, а также – сложные сценарии многофакторной аутентификации при интеграции с Avanpost FAM/Avanpost MFA+ и другими IdP. В веб-интерфейсе пользователь может выбрать нужную систему из списка доступных ресурсов и получить реквизиты для подключения к ней.

SmartPAM Proxy – компонент, обеспечивающий управление привилегированными сессиями, который реализует проход SSH- и RDP-сессий, детектирует действия пользователей и сравнивает их с локальной базой известных угроз, в проактивном режиме выявляет события ИБ и предотвращает потенциальные угрозы путем разрыва сессии.

SmartPAM Event Processor – модуль анализа, который агрегирует данные о сессиях, обнаруживает угрозы и аномалии с помощью технологии ИИ и сигнатурного анализа, передает команды прокси для предотвращения выявленных угроз.

SmartPAM Session Recorder – обеспечивает запись всех привилегированных сессий, включая видео графических взаимодействий. Записанные данные могут храниться как локально, так и на сетевых хранилищах.

SmartPAM Jump Server – обеспечивает контроль действий привилегированных пользователей при их работе в приложениях, таких, как «толстые» клиенты 1С или менеджеры для управления СУБД.

Продвинутая защита с применением искусственного интеллекта

«Большой упор в нашем продукте мы сделали на функции детектирования и анализа событий, добавив в решение два принципиально разных аналитических механизма. Один – это анализ сигнатур по шаблону, на основе формализованных правил. Каждое происходящее событие, зафиксированное системой, проверяется на предмет того, не подпадает ли оно под шаблон, указывающий на какую-то опасность. А когда формализованной логики не хватает, применяется искусственный интеллект – это второй механизм, который анализирует поведение пользователей на предмет наличия аномалий», – подчеркивает Сергей Померанцев.

В архитектуру Avanpost SmartPAM включена нейросеть, которая выполняет мониторинг поведения привилегированных пользователей в защищаемых системах в режиме онлайн, помогая специалистам ИБ и забирая на себя большую часть рутинных операций.


«На вход нейросети поступает информация о действиях каждого привилегированного пользователя. Нейросеть на основе этих данных обучается, формируя профиль, характеризующий типичное поведение этого пользователя: на какие узлы и с каких IP он заходит, в какое время, с какой интенсивностью работает, как часто допускает нарушения с точки зрения сигнатурного анализа, какими командами пользуется и многое другое. После того, как профиль пользователя сформирован, – любое его действие анализируется нейросетью на предмет соответствия ему. Аномальные, отклоняющиеся от обычной линии поведения действия подсвечиваются как риски. Выявленные риски могут быть проанализированы и обработаны персоналом. Кроме того, возможна настройка автоматического реагирования системы с использованием правил сигнатурного анализа», – поясняет эксперт.

Нейросетевые алгоритмы обучаются на реальных данных компании, адаптируются
 к конкретным сценариям и потребностям, а также способны постоянно дообучаться на основе уже совершенных действий, постепенно становясь всё более эффективными.

Преимущества Avanpost SmartPAM
Источник: Avanpost

Преимущества Avanpost SmartPAM

Разработчик выделяет следующие преимущества своего продукта:

• Полностью российская разработка на базе собственных компонентов – исключает риски зависимости от внешних вендоров, гарантирует качественную поддержку и долгосрочное развитие продукта.
   
• Наличие нескольких удобных форматов поставки системы.
   
• Интеллектуальный автоматизированный анализ рисков – существенно снижает влияние «человеческого фактора» на эффективность выявления и обнаружения потенциальных угроз.
   
• Повышенная устойчивость к атакам, связанным с компрометацией ключевой информации – благодаря использованию актуальных криптографических практик для защиты хранимых ключевых данных.
   
• Полное протоколирование действий пользователей – видеозапись графических сессий, запись текстовых взаимодействий (введенных команд), фиксация метаинформации о каждой сессии и детализированный анализ сохраненных данных, запрос на подтверждение выполнения опасных операций.
   
• Удобство работы с решением – например, встроенный редактор, позволяющий самостоятельно формировать пользовательские сигнатуры, а также готовая обновляемая библиотека сигнатур; детальное управление доступом через настраиваемые политики безопасности.
   
• Самообучающийся полуавтоматический режим работы системы не требует долгой настройки.
   
• Применение актуальных протоколов доступа – поддерживаются протоколы SSH и RDP с использованием стандартных клиентов (таких, как PuTTY и mstsc), включая протокол RDGSP для безопасной публикации рабочих столов в открытых сетях.

Развитие системы Avanpost SmartPAM

«Мы старались создать продукт, который будет полезен любой организации, которая обладает более-менее масштабной ИТ-инфраструктурой. Судя по нашему опыту, это может быть не только крупный, но и средний бизнес», – сообщает Сергей Померанцев.

Одним из последних ключевых обновлений Avanpost SmartPAM стал выпуск библиотеки готовых сигнатур, которые позволяют пользователям системы сделать выбор: либо по-прежнему вручную формировать и настраивать собственные сигнатуры, либо воспользоваться готовым пакетом. Также в систему был встроен модуль многофакторной аутентификации, чтобы у пользователей не было необходимости применять для этих целей отдельные решения.

В ближайших планах разработчика – внедрение в продукт прокси для протокола HTTP(S) и SQL-прокси: они нужны, соответственно, для контроля привилегированного доступа при работе в веб-клиентах и при работе с популярными СУБД. Также в Avanpost SmartPAM появятся специальные интерфейсы для анализа сессий, повышающие эффективность при расследовании инцидентов.