Журнал "Information Security/ Информационная безопасность" #3, 2025

В ситуациях, когда важна однозначность и доказуемость, такой подход становится рискованным. На практике большинство решений класса РАМ с функционалом OCR ограничиваются распознаванием заго- ловков окон или отдельных текстов. Полноценный разбор содержимого – слишком дорогой и ненадежный путь. Тем не менее в некоторых случаях технология OCR может оказаться полезной. Например, если по каким- либо причинам установить агент невоз- можно – из-за ограничений в инфра- структуре или строгих регламентов – даже базовое распознавание экрана лучше, чем полное отсутствие контро- ля. Такой подход не заменяет полно- ценного аудита, но может дать общее представление о происходящем. Глав- ное осознавать его ограничения: OCR не обеспечивает такого уровня точно- сти и надежности, как агент, и приме- нять эту технологию стоит только в тех случаях, когда других вариантов дей- ствительно нет. Можно применять и гибридный подход: сочетать постепенную установку агентов с использованием OCR. Это позволяет уменьшить нагрузку на администрато- ров, сохранить приемлемый уровень прозрачности и избежать установки аген- тов везде и сразу. Временный агент: компромисс, который работает Компания "Индид" тщательно изучила потребности и запросы наших клиентов, использующих PAM: мы рассмотрели различные сценарии реализации без- агентской схемы работы PAM, которая могла бы максимально эффективно решать задачи заказчиков. Неожиданно простой и в то же время перспективной оказалась идея о вре- менном агенте в PAM. Она предпола- гает, что этот компонент не нужно устанавливать вручную и оставлять в системе надолго – достаточно запус- кать его только на время сессии. Пользователь подключается – агент автоматически запускается, а когда сессия завершается – прекращает свою работу. При этом нет никакой необходимости в инсталляциях по всей инфраструктуре и лишних процессах на хостах. На первый взгляд, это тех- ническое решение представляется практически идеальным, поскольку оно устраняет два главных фактора, смущающих заказчика: ручной труд и постоянный риск. Хотя временный агент не устанав- ливается на целевых системах, он может выполнять все стандартные функции: захватывать команды, соби- рать артефакты, выполнять аудит пользовательских действий, управлять привилегиями. Такое решение дает тот же уровень прозрачности и конт- роля, что и традиционное разверты- вание, но без побочных эффектов от постоянного присутствия. Таким обра- зом, временный агент представляется оптимальным решением, которое не оказывает влияние на среду функ- ционирования. Служба безопасности заказчика может не опасаться того, что на экс- плуатационном сервере функциониру- ет сторонний недоверенный компонент. Агент, конечно, все равно присутству- ет, но живет он временно, а его "жизнь" контролирует РАМ. Конечно, и у этого решения есть свои недостатки, которые придется учитывать. Нужно четко определить, что делать, если сессия оборвется: например, как гарантированно завершить работу аген- та и удалить его без следов? Придется следить за тем, чтобы агенты не конфликтовали с политиками без- опасности и антивирусами. Важно также заранее продумать, как система будет работать в изолированных или неста- бильных сегментах сети, где доставка и удаление компонента в автоматиче- ском режиме может дать сбой. Все это требует аккуратной настройки и тести- рования – временный агент сам по себе не решает все проблемы автоматически, он лишь позволяет преодолевать самые сложные препятствия, если сохранять ответственный подход к работе. Временный агент – это способ дви- гаться навстречу заказчикам и удов- летворить их потребности, поддержи- вая высокий уровень безопасности. Он сохраняет все преимущества тех- нологии, но адаптирует их под реаль- ные потребности рынка. Такой подход дает возможность существенно упро- стить внедрение, повысить уровень доверия и приблизить систему РАМ идеалу с точки зрения клиента – про- дукту, который эффективно обеспечи- вает безопасность, но не мешает работать. По нашему мнению, временный агент – это разумный баланс между контролем и удобством. Реализация такого подхода уже включена в план развития продуктов "Индид" и станет важной частью будущей версии платформы Indeed PAM 1 . Выводы Запрос на безагентские системы PAM – это не просто требование упро- стить архитектуру. Это сигнал от рынка, что модели взаимодействия с инфраструктурой должны становиться более гибкими, прозрачными и без- опасными без чрезмерного вмеша- тельства. Не все готовы мириться со сложностью развертывания классиче- ского агента и постоянным присут- ствием стороннего кода ради строгого контроля и полного логирования поль- зовательских действий. Что касается технологии OCR, то она выглядит кра- сиво только в теории, а на практике оказывается затратной, капризной и медленной, чтобы стать полноценной альтернативой агентам. l • 49 PAM www.itsec.ru 1 https://indeed-company.ru/indeed-privileged-access-manager Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рис. Схема работы Indeed PAM Рисунок: Индид На правах рекламы