Журнал "Information Security/ Информационная безопасность" #3, 2025

Применяется модель доступа по запросу с согласованием, вводом задачи из тикетной системы и обязательная мно- гофакторная аутентификация – что осо- бенно важно для критичных систем и пользователей. Внедрение и интеграция в ландшафт Современные PAM-платформы могут развертываться по-разному. Некоторые компании используют минималистичные конфигурации с полным функционалом PAM на одном сервере. Другие строят отказоустойчивые и катастрофоустойчи- вые схемы, распределенные по регионам. Популярен и подход децентрализации доступа с централизацией его получения и мониторинга (например, каждый ЦОД имеет собственный PAM, а доступ и мони- торинг осуществляются из единой точки – портала). Есть и MSSP-сценарии, при кото- рых одна платформа обслуживает несколь- ких заказчиков в разных контурах. Интеграция с SIEM, SOAR, IDS, ITSM и другими системами мониторинга стала обязательной: через API можно управ- лять доступами, блокировать сессии, формировать отчеты и автоматически инициировать расследование. Это эко- номит ресурсы и ускоряет реагирование – особенно важно, когда атака может произойти за считанные минуты. Сегодняшний PAM – это уже плат- форма, впитывающая функции смежных решений и применяющая их к привиле- гированному доступу. Это не просто "сейф" и журнал сессий, а ядро всей инфраструктуры управления доступом. Сложности и ошибки внедрения PAM В условиях импортозамещения осо- бое значение имеет использование оте- чественных решений. PAM должен не только являться российской разработ- кой, но и базироваться на отечествен- ной ОС, быть совместимым с отече- ственными ОС, ИТ- и ИБ-продуктами, быть функционально сопоставимым с зарубежными аналогами. Платформа должна разворачиваться и на железе, и в облаке, иметь интуитивный интер- фейс и снижать нагрузку на ИБ-спе- циалистов. Внедрение PAM – это не столько тех- нический, сколько организационный и методологический процесс. Начинать нужно с аудита: какие УЗ используются, кто имеет доступ к системам, какие системы максимально критичны. Затем строится пилотный проект с ограничен- ной областью (например, администри- рование Windows-серверов), проводится интеграция с AD или LDAP, настраи- ваются сценарии и процессы согласова- ния. После успешного пилота идет мас- штабирование в первую очередь на под- рядчиков, затем – на специалистов, DevOps, базы данных и облака. Основная ошибка здесь – попытка охватить все и сразу. Это приводит к перегрузке, сбоям в процессах и сопро- тивлению со стороны сотрудников. Недо- статочная автоматизация и неадаптиро- ванные политики доступа также сводят эффект внедрения к нулю. Важно не забывать и об удобстве пользователей. Если PAM неудобен – администраторы будут его обходить. Важно обсуждать преимущества – напри- мер, защиту самих администраторов от ошибок и злоупотреблений. При сбое PAM поможет быстро найти причину и сократить простой в работе, что важно для SLA и бизнеса. Отдельная сложность – "продажа" идеи руководству. В отличие от ИТ, выгода от ИБ не всегда очевидна. Но PAM обеспечивает стабильную работу тех же CRM, предотвращает убытки, минимизирует последствия атак и помо- гает соблюдать требования регуляторов. Кроме того, автоматизация расследо- ваний снижает нагрузку на специали- стов. Классические проблемы также – отсут- ствие учета текущих привилегий, непо- нимание целей доступа, слабое участие бизнеса. Без поддержки ИТ и бизнес- подразделений PAM будет восприни- маться как система ради галочки. Эффективность PAM можно оценить по ряду метрик: доле систем, охваченных управлением доступом, уровню персо- нализации прав, снижению числа инци- дентов с участием привилегированных учетных записей, улучшению скорости реагирования на угрозы, повышению прозрачности в управлении доступами, а также сокращению количества и дли- тельности простоев. Но важно не забыть главное: в 2025 г. PAM – это не просто технология, а неотъемлемый элемент зрелой ИБ- стратегии. Он реализует Zero Trust, помо- гает соблюдать законы и снижает риски. Однако успех зависит не от софта, а от зрелости процессов и вовлеченности команды. l • 45 PAM www.itsec.ru Рис. 2. Интеграция PAM с ИБ-реше- ниями Рис. 1. Вариант внедрения PАМ-системы СКДПУ НТ с распределением модулей доступа, управления и аудита На правах рекламы