Журнал "Information Security/ Информационная безопасность" #3, 2025

Зачем нужен агент? Агент занимает важное место в архи- тектуре PAM-систем и играет ключевую роль в обеспечении безопасности: выполняет функции сбора данных, управляет доступом привилегированных пользователей и контролирует их дей- ствия. Он отвечает за обогащение дан- ных пользовательских сессий, что суще- ственно облегчает задачи мониторинга и помогает в расследовании инциден- тов. Агент устанавливается на целевых системах и ведет скрытый контроль пользовательских сессий. Он обес- печивает мониторинг и оценивает все действия пользователя: какие команды тот выполняет, какие окна открывает, какие параметры меняет. При таком контроле фиксируется не просто факт подключения пользователя к целевым ресурсам, но и вся последовательность его действий. В результате появляется возможность полностью воспроизвести сессию. При отсутствии агента подоб- ный уровень детализации недостижим. Например, при удаленных подключе- ний в RDP-сессиях администраторы систем в большинстве случаев не смо- гут сформировать даже простой текс- товый лог. Но агент в системах PAM обеспечивает не только наблюдение. В некоторых решениях данного класса он может выполнять и защитные функции. В част- ности, предоставлять пользователю при- вилегию выполнять команды от имени суперпользователя без ввода имени соответствующей учетной записи и паро- ля. Агент может мгновенно блокировать опасные действия, запускать скрипты, подменять ввод, контролировать сетевую активность. То есть, по сути, он расши- ряет возможности PAM до уровня актив- ной защиты. Почему компании не доверяют агентам? Недоверие к агентам обусловлено не принципиальными техническими разно- гласиями между бизнесом и специали- стами по информационной безопасности, а двумя вполне понятными опасениями заказчиков: дорого и небезопасно. И то, и другое мы в компании "Индид" слышим все чаще и чаще как от крупных пред- приятий с десятками тысяч машин, так и от небольших организаций с ограни- ченными ресурсами. И нам, как разра- ботчику РАМ, причины этого недоверия хорошо понятны. Первая проблема ("дорого") актуальна в основном для крупных заказчиков: агент нужно установить на каждую целе- вую систему, в которой используется PAM. Это сотни, а иногда и тысячи инсталляций. Их нужно обслуживать, обновлять, проверять. Вся соответствую- щая работа ложится на плечи админи- страторов, у которых и без того может не хватать ресурсов. Получается долгий, трудоемкий и дорогой процесс. Даже если агент устанавливается всего в два клика, в итоге получается поистине мас- штабный объем работы. Вторая проблема ("небезопасно"), акту- альна для абсолютного большинства заказчиков и не зависит от масштаба инфраструктуры. Агент – это сторонняя программа с привилегиями. Она работает внутри критичных систем иногда кругло- суточно и по определению получает доступ ко всему, что происходит в системе. Таким образом, вопрос "Можно ли обойтись без агента?" продиктован стремлением сохранить контроль над инфраструктурой, минимизировать зави- симость от внешнего кода и снизить затраты. Это серьезный и осмысленный запрос, на который нельзя ответить односложно. OCR как альтернатива В качестве наиболее очевидной аль- тернативы на ум приходит полностью безагентский PAM с интегрированной технологией распознавания текста OCR (Optical Character Recognition). Идея выглядит элегантно: система просто "смотрит" на запись экрана и распознает, что происходит в сессии пользователя, словно невидимый адми- нистратор за его спиной. Звучит разум- но – никаких агентов, никакого вмеша- тельства, только наблюдение. Но у этого подхода есть существенные недостатки. Во-первых, технология OCR крайне требовательна к ресурсам. Поэтому придется не добавить "пару серверов", а серьезно изменить существующую инфраструктуру. Чтобы в реальном времени распознавать и обрабатывать экранные данные даже от пары десят- ков сессий, потребуются мощные вычислительные ресурсы. А это ощу- тимые расходы даже для крупной ком- пании, не говоря уже о среднем и малом бизнесе. Во-вторых, при использовании OCR требуется больше времени для получе- ния результата. В зависимости от реа- лизации, работа OCR возможна как и после завершения сессии, так и в режиме реального времени. Однако текстовый лог сессии все равно может появляться с задержкой. И наконец, OCR не гарантирует абсо- лютной точности распознавания. Даже в лучших реализациях технология может ошибаться: не распознавать язык кон- соли, путать команды, пропускать важ- ные детали, записывать в лог то, чего на экране не было. А если мы имеем дело со сложным интерфейсом или нестандартной системой, то вероятность ошибок дополнительно возрастает. 48 • СПЕЦПРОЕКТ Как решить проблему с агентами в PAM с помощью Just-in-Time подхода егодня в стратегиях обеспечения информационной безопасно- сти практически всех компаний действует ключевое правило: за пользователями с расширенными правами доступа необхо- дим особый контроль. Мы поговорим о PAM (Privileged Access Management) – решении для управления привилегиро- ванным доступом к критически важным данным. При внедре- нии РАМ-системы между заказчиками и вендорами все чаще возникает вопрос: а можно ли без агента? Чтобы ответить на него, давайте разберем, какие существуют технологии работы PAM с точки зрения реализации механизмов, основанных на агентах: плюсы, минусы, подводные камни. С Илья Моисеев, руководитель продукта Indeed PAM (Компания “Индид”) Фото: Индид