По результатам исследования Piccard, российский рынок PAM-систем в 2024 году составил 5,7 млрд рублей, что является достаточно высоким показателем. Основными причинами большого спроса на решения класса PAM, вероятно, являются рост количества кибератак, нацеленных на привилегированные учетные записи, и ужесточающиеся требования регуляторов к защите критических данных компаний.
«Сегодня множество специалистов развивают ИТ-инфраструктуру организации, обеспечивают ее эксплуатацию: это разного рода системные администраторы, сетевые инженеры, разработчики, а также, что важно подчеркнуть, – подрядчики. Все они обладают особыми привилегиями доступа в инфраструктуру и поэтому их действия нужно особенно тщательно контролировать. В противном случае компания рискует столкнуться с крупными инцидентами – например, с утечкой баз персональных данных. По нашим наблюдениям, огромное количество атак реализуется именно за счет эксплуатации привилегированного доступа. Получается, что компания должна выдавать привилегированным пользователям особые права, но в то же время полностью доверять им не может. Решить эту задачу и призваны системы класса PAM. Они тем или иным способом встраиваются между привилегированными пользователями и корпоративными системами и таким образом изолируют их от непосредственного взаимодействия с защищаемыми ресурсами», – рассказывает владелец продукта Avanpost SmartPAM Сергей Померанцев.
Владелец продукта Avanpost SmartPAM Сергей Померанцев
Источник: Avanpost
2024-25 годы ознаменовались появлением на этом рынке новых мощных продуктов. Так, в феврале 2025 года компания Avanpost, российский вендор в области безопасности идентификационных данных, представила собственное решение – Avanpost SmartPAM. Эта система обеспечивает полный контроль действий привилегированных пользователей и минимизирует риски, связанные с их доступом, гарантирует прозрачность и ответственность при работе с критически важными системами. Кроме того, Avanpost SmartPAM органично дополняет существующую линейку продуктов вендора – прежде всего, систему управления учетными записями Avanpost IDM.
«Наши IDM и PAM – это комплементарные системы. Они отлично работают в связке, но каждая может применяться и самостоятельно. Например, можно выдавать пользователям учетные записи с помощью IDM или в ручном режиме, если у компании этой системы нет. Но в любом случае SmartPAM будет полноценно контролировать действия привилегированных пользователей», – объясняет Сергей Померанцев.
Наряду с Avanpost IDM решение поддерживает интеграцию с IdP-системами, предназначенными для усиленной аутентификации привилегированных пользователей – такими, как Avanpost FAM или Avanpost MFA+.
Место PAM-системы Avanpost в структуре комплексного решения Identity Security Platform
Источник: Avanpost
Основными функциями Avanpost SmartPAM являются контроль доступа привилегированных пользователей к ресурсам и мониторинг их действий в ИТ-инфраструктуре. Для их реализации в системе предусмотрено несколько модулей.
SmartPAM Management Node – модуль управления программным комплексом, включающий консоль администратора, модуль отчетности и хранилище секретов (паролей). Интерфейс администратора позволяет специалистам выполнять полный спектр действий в рамках своих должностных обязанностей: например, управлять учетными записями привилегированных пользователей (просматривать, добавлять и удалять, изменять атрибуты и т. д.), группами привилегированных пользователей и ресурсами (защищаемыми системами), просматривать записи привилегированных сессий и журнал событий безопасности, настраивать политики доступа, создавать сигнатуры угроз и многое другое.
SmartPAM User Console – личный кабинет пользователя для работы с системой. Поддерживает аутентификацию в Active Directory/LDAP, имеет встроенную TOTP-аутентификацию, а также – сложные сценарии многофакторной аутентификации при интеграции с Avanpost FAM/Avanpost MFA+ и другими IdP. В веб-интерфейсе пользователь может выбрать нужную систему из списка доступных ресурсов и получить реквизиты для подключения к ней.
SmartPAM Proxy – компонент, обеспечивающий управление привилегированными сессиями, который реализует проход SSH- и RDP-сессий, детектирует действия пользователей и сравнивает их с локальной базой известных угроз, в проактивном режиме выявляет события ИБ и предотвращает потенциальные угрозы путем разрыва сессии.
SmartPAM Event Processor – модуль анализа, который агрегирует данные о сессиях, обнаруживает угрозы и аномалии с помощью технологии ИИ и сигнатурного анализа, передает команды прокси для предотвращения выявленных угроз.
SmartPAM Session Recorder – обеспечивает запись всех привилегированных сессий, включая видео графических взаимодействий. Записанные данные могут храниться как локально, так и на сетевых хранилищах.
SmartPAM Jump Server – обеспечивает контроль действий привилегированных пользователей при их работе в приложениях, таких, как «толстые» клиенты 1С или менеджеры для управления СУБД.
«Большой упор в нашем продукте мы сделали на функции детектирования и анализа событий, добавив в решение два принципиально разных аналитических механизма. Один – это анализ сигнатур по шаблону, на основе формализованных правил. Каждое происходящее событие, зафиксированное системой, проверяется на предмет того, не подпадает ли оно под шаблон, указывающий на какую-то опасность. А когда формализованной логики не хватает, применяется искусственный интеллект – это второй механизм, который анализирует поведение пользователей на предмет наличия аномалий», – подчеркивает Сергей Померанцев.
В архитектуру Avanpost SmartPAM включена нейросеть, которая выполняет мониторинг поведения привилегированных пользователей в защищаемых системах в режиме онлайн, помогая специалистам ИБ и забирая на себя большую часть рутинных операций.
«На вход нейросети поступает информация о действиях каждого привилегированного пользователя. Нейросеть на основе этих данных обучается, формируя профиль, характеризующий типичное поведение этого пользователя: на какие узлы и с каких IP он заходит, в какое время, с какой интенсивностью работает, как часто допускает нарушения с точки зрения сигнатурного анализа, какими командами пользуется и многое другое. После того, как профиль пользователя сформирован, – любое его действие анализируется нейросетью на предмет соответствия ему. Аномальные, отклоняющиеся от обычной линии поведения действия подсвечиваются как риски. Выявленные риски могут быть проанализированы и обработаны персоналом. Кроме того, возможна настройка автоматического реагирования системы с использованием правил сигнатурного анализа», – поясняет эксперт.
Нейросетевые алгоритмы обучаются на реальных данных компании, адаптируются к конкретным сценариям и потребностям, а также способны постоянно дообучаться на основе уже совершенных действий, постепенно становясь всё более эффективными.
Преимущества Avanpost SmartPAM
Источник: Avanpost
Разработчик выделяет следующие преимущества своего продукта:
«Мы старались создать продукт, который будет полезен любой организации, которая обладает более-менее масштабной ИТ-инфраструктурой. Судя по нашему опыту, это может быть не только крупный, но и средний бизнес», – сообщает Сергей Померанцев.
Одним из последних ключевых обновлений Avanpost SmartPAM стал выпуск библиотеки готовых сигнатур, которые позволяют пользователям системы сделать выбор: либо по-прежнему вручную формировать и настраивать собственные сигнатуры, либо воспользоваться готовым пакетом. Также в систему был встроен модуль многофакторной аутентификации, чтобы у пользователей не было необходимости применять для этих целей отдельные решения.
В ближайших планах разработчика – внедрение в продукт прокси для протокола HTTP(S) и SQL-прокси: они нужны, соответственно, для контроля привилегированного доступа при работе в веб-клиентах и при работе с популярными СУБД. Также в Avanpost SmartPAM появятся специальные интерфейсы для анализа сессий, повышающие эффективность при расследовании инцидентов.