Журнал "Information Security/ Информационная безопасность" #3, 2025

54 • СПЕЦПРОЕКТ ролируемых устройств, георезервиро- вание, геораспределенные инсталляции с централизованным доступом и анали- зом действий. Илья Моисеев, "Индид" Indeed PAM нативно поддерживает балансировку и настройку отказоустой- чивого кластера с помощью HAProxy, который входит в пакет поставки. Наш продукт также поддерживает интеграцию со сторонними решениями для реализа- ции сценариев отказоустойчивости. Это позволяет клиентам использовать при- вычные инструменты, если встроенные возможности не соответствуют их пред- почтениям. Алексей Дашков, NGR Softlab В базовой лицензии Infrascope по умолчанию присутствуют сразу два экземпляра (инстанса) системы, что позволяет построить отказоустойчивый кластер с репликацией данных, функ- ционирующий в режиме Active-Active без дополнительных затрат. Централи- зованное управление реализовано через единую консоль, обеспечиваю- щую полный контроль доступа, аутен- тификации и сессий по всей инфра- структуре. Артем Назаретян, BI.ZONE BI.ZONE PAM использует микросер- висную архитектуру с механизмами Health Check, что обеспечивает класте- ризацию, репликацию и отказоустойчи- вость. Система масштабируется через балансировщик нагрузки и Stand-In- инсталляции. Управление централизо- вано: единая консоль, синхронизация политик, аудит, RBAC и API-интеграции позволяют обойтись без отдельных инсталляций даже в сложных инфра- структурах. Илья Моисеев, "Индид" PAM не предназначен для поиска слепых зон, а фокусируется на конт- роле доступа по заданным политикам. Обычно доступ к критически важным системам возможен только через PAM, что обеспечивает соблюдение внут- ренней стратегии безопасности. При этом внедрение PAM нередко вскры- вает уязвимые участки, требующие отдельного внимания со стороны ИБ- специалистов. Алексей Дашков, NGR Softlab В Infrascope существует возможность поиска и добавления привилегий в собст- венное хранилище со сменой пароля неподконтрольных учетных записей на целевых системах. Реализована также функция автоматизированного поиска устройств в сети, что позволяет свое- временно выявлять неконтролируемые устройства. Артем Назаретян, BI.ZONE После внедрения PAM слепые зоны остаются из-за теневых привилегий и обходных доступов. Чтобы устранить их, нужно действовать системно. Во- первых, использовать сканеры приви- легий в целевых системах, а затем сравнивать результаты с данными PAM. Во-вторых, интегрировать PAM с систе- мами управления конфигурациями (CMDB) и учетными записями (IDM), чтобы автоматически контролировать новые объекты. В-третьих, ограничить доступ к критическим системам в обход PAM и настроить отправку событий в SIEM или SOC. Алексей Ширикалов, "АйТи Бастион" Для автоматического выявления и устранения слепых зон в доступе PAM интегрируется с LDAP и IDM, что позволяет инвентаризировать пользо- вателей и их учетные записи. Под- ключение к СОВ и анализ сетевых доступов помогают находить обходные пути и незарегистрированные под- ключения. Все привилегированные учетные записи централизованно хра- нятся в PAM без выдачи паролей адми- нистраторам, а их ротация осуществ- ляется автоматически. Игорь Базелюк, Web Control Чаще всего привилегированные учет- ные записи добавляются в РАМ центра- лизованно и вручную, однако в мас- штабных геораспределенных инфра- структурах это бывает сложно обеспе- чить. В этих случаях для автоматического поиска и импорта в РАМ привилегиро- ванных учетных данных необходимо использование специализированных инструментов Account Discovery. Алексей Дашков, NGR Softlab Для защиты PAM необходимо обеспе- чить строгий контроль доступа и четкое разграничение прав – только ограни- ченный круг пользователей управляет политиками и конфигурацией. Всем администраторам обязательна двухфак- торная аутентификация. Система ведет детальный аудит действий с привилеги- рованными учетными записями, включая изменения настроек, и отправляет собы- тия в SIEM для своевременного обнару- жения несанкционированных измене- ний. Артем Назаретян, BI.ZONE Для защиты PAM от внутренних зло- умышленников реализован механизм контроля второй рукой. Все изменения конфигурационных элементов в разделе "Настройки системы" проходят через систему заявок: пользователь создает запрос на изменение, который должен быть одобрен другим уполномоченным сотрудником. То есть реализован прин- цип двойного контроля. Алексей Ширикалов, "АйТи Бастион" Для защиты PAM от внутренних зло- умышленников реализован ряд меха- низмов: ролевые ограничения (RBAC) ограничивают доступ к критическим функциям. Все действия сопровождают- ся уведомлениями и анализируются с помощью поведенческой аналитики. Обеспечивается контроль целостности и конфигураций системы. Администра- торы PAM и ОС (например, Astra Linux) разделены, что снижает риск пересече- ния полномочий. Вся активность фикси- руется во внутреннем журнале аудита с возможностью передачи событий в SIEM. Дополнительно применяется многофак- торная аутентификация. Илья Моисеев, "Индид" Защита PAM от внутренних угроз начинается с многофакторной аутен- тификации и строгого разграничения прав. В Indeed PAM реализована гибкая ролевая модель с возможностью соз- дания кастомных ролей, что позволяет назначать только необходимые полно- мочия. Вся активность логируется, а логи защищены от изменений и могут передаваться в SIEM. Даже при попытке злоупотребления действия администра- тора будут зафиксированы и выявле- ны. Игорь Базелюк, Web Control В sPACE PAM реализованы механиз- мы, предотвращающие несанкциониро- ванные действия как со стороны поль- зователей, подключающихся через систему, так и со стороны администра- торов и аудиторов. Гибкая ролевая модель позволяет точно настраивать доступ к функциям PAM и создавать пользовательские роли в соответствии с политиками безопасности. Мультите- нантность обеспечивает изоляцию: каж- дая зона имеет собственных админи- страторов, пользователей и целевые системы, оставаясь невидимой для остальных. После внедрения PAM часто выясняется, что заметная часть приви- легий остается вне зоны контроля. Как можно автоматизировать регу- лярный поиск и устра- нение таких слепых зон? Как вы защищаете PAM от внутренних злоумыш- ленников, чтобы исключить несанкционированное изменение политик, логов и конфигурации?