Владимир Алтухов, «АйТи Бастион»: PAM — это не видеомагнитофон, а инструмент для полноценного контроля и защиты привилегированного доступа

Владимир Алтухов, руководитель технического центра «АйТи Бастион», в рамках совместного проекта с Global Digital Space рассказал порталу Cyber Media о том, какие риски скрываются за незащищенными привилегированными доступами, почему управление такими учетными записями становится приоритетной задачей для компаний, а также какие подходы помогут минимизировать угрозы и защитить ключевые системы.

Посмотреть видеоверсию интервью можно в Rutube, VK, YouTube или на Дзене.

Cyber Media: На ваш взгляд, какое среднее соотношение «привилегированных» сотрудников в российских компаниях? Каким, по вашему опыту, должно быть «здоровое» соотношение?

Владимир Алтухов: Определение соотношения привилегированных пользователей в компании зависит от ее размера и специфики работы. Чем меньше компания, тем выше доля сотрудников с привилегированными доступами. Однако, прежде чем обсуждать цифры, важно понимать, кто считается привилегированным пользователем. Например, бухгалтер или генеральный директор могут относиться к этой категории, так как их доступы зачастую критически важны.

Скорее, ключевой вопрос заключается не в количестве таких сотрудников, а в правильном распределении доступов. Каждый сотрудник должен иметь доступ только к тем ресурсам, которые необходимы для выполнения его обязанностей. Лишние доступы создают дополнительные риски, и их наличие в компании недопустимо.

На практике же нередко бывают случаи, когда сотрудники, которые не должны иметь привилегированный доступ, все равно его имеют. Например, уборщица с правами администратора или доступом к системе 1С — такие ситуации, к сожалению, встречаются довольно часто.

В малых и средних компаниях подход к безопасности зачастую вообще не определен. Инфраструктура существует, все ею пользуются, а вопросы безопасности возникают только после инцидента. Особенно это характерно для небольших компаний и интеграторов, которые уделяют меньше внимания защите своих систем. В результате такие компании становятся уязвимыми для атак через подрядчиков.

Атаки на подрядчиков — это один из основных векторов угроз, на которых фокусируются сегодня такие организации, как НКЦКИ и ФСТЭК. Подрядчики, как правило, имеют более низкие стандарты безопасности, что делает их легкой мишенью для атак. Ведь если один подрядчик будет скомпрометирован, это может затронуть сразу несколько десятков компаний, с которыми он работает. Кроме того, важно учитывать репутационные риски. В информационном обществе новости быстро расходятся, и потеря репутации может стать серьезной проблемой для бизнеса.

Поэтому здоровое соотношение привилегированных пользователей — это не универсальная формула, а индивидуальный подход, при котором доступы строго соответствуют требованиям бизнеса и поддерживают работу инфраструктуры. Главное — баланс между минимизацией рисков и обеспечением оперативности работы.

Cyber Media: ИТ-специалисты весьма болезненно реагируют на кейсы, где отдел ИБ ограничивает их доступ к инфраструктуре. Как вопрос решается на человеческом и программном уровнях?

Владимир Алтухов: Напряженность между ИТ-специалистами и отделом информационной безопасности часто возникает из-за ограничения доступа к инфраструктуре. Это можно эффективно решить через договоренности и прозрачное объяснение целей. Внутренние нормативные документы компании регламентируют порядок работы, в том числе использование решений, таких как PAM. Однако важно донести до сотрудников, что ограничение доступа — это не прихоть, а мера для обеспечения безопасности всей организации.

ИТ и ИБ работают на достижение общей цели — защиту интересов компании. Чтобы минимизировать конфликты, ключевым шагом становится разъяснение, почему новые ограничения необходимы и как они повышают общий уровень защиты. Когда сотрудники понимают логику решений, вероятность недовольства снижается.

Неправильный подход, напротив, может спровоцировать проблемы. Нередко обиженные ИТ-специалисты, оставившие себе резервные доступы или бэкдоры, становятся источником угроз. Это особенно опасно, если речь идет об уволенных сотрудниках, обладающих привилегированным доступом, например, к Active Directory или сетевому оборудованию. Такие случаи — один из классических аргументов в пользу внедрения PAM-систем, поскольку они помогают исключить несанкционированные действия даже после ухода сотрудника.

Таким образом, грамотная коммуникация, дополненная технологическими решениями, позволяет урегулировать конфликты и минимизировать риски.

Cyber Media: Принцип минимальных привилегий или «пустого рабочего стола»: как соблюсти баланс между «хотелками» сотрудников и требованиями безопасности?

Владимир Алтухов: Принцип минимальных привилегий и концепция «пустого рабочего стола» часто воспринимаются как барьеры для бизнес-процессов. Однако это неверное представление. Если меры информационной безопасности мешают работе, значит, они внедрены некорректно. Ключевым аспектом здесь становится правильное использование решений и четкое понимание их целей.

PAM-решения сочетают в себе подходы минимальных привилегий и Zero Trust («нулевого доверия»), где никто не считается полностью надежным, так как компрометация возможна всегда. При этом достичь абсолютного соответствия этим принципам практически невозможно. Основная проблема Zero Trust — классическая дилемма «кто охраняет сторожей». Всегда существует человек с максимальными привилегиями, и возникает вопрос: какова гарантия, что даже глава службы информационной безопасности не станет уязвимостью?

Если PAM-система или другое защитное решение вызывает дискомфорт в работе сотрудников, это чаще всего свидетельствует о неправильном внедрении. Верно реализованное решение должно поддерживать бизнес-процессы, а не тормозить их.

Интересно, что по функционалу PAM частично перекликается с DLP-системами, особенно в аспекте ролевой модели, управления доступами и их отзыва, например, в случае увольнения сотрудников. Хотя задачи у этих систем разные, они имеют общие концептуальные элементы, такие как построение матриц доступов и контроль над ними.

Главное правило — использовать подходящие инструменты для конкретных задач. Это помогает обеспечить баланс между безопасностью и эффективностью работы.

Cyber Media: На каком этапе зрелости ИБ в компании стоит задумываться об интеграции PAM?

Владимир Алтухов: Если говорить глобально о зрелости компании, PAM может быть актуален на любом этапе. Однако решающее значение имеет понимание того, что именно нужно защищать, и осознание рисков, связанных с деятельностью компании. Например, если в компании работает много внешних подрядчиков или аутсорсеров, которые имеют доступ к инфраструктуре, либо есть критически важные ресурсы (а они есть почти у всех), это уже повод задуматься о внедрении PAM.

Конкретного универсального уровня зрелости, на котором «точно нужен PAM», нет — у каждой компании этот момент наступает по-своему. Но в первую очередь PAM особенно необходим в крупных предприятиях (enterprise), где активно взаимодействуют разные бизнес-направления, компании и команды. В таких случаях важно наладить управление доступом и защиту административных действий, связанных с информационными ресурсами.

Кроме того, если организация работает с высококритичными данными, даже будучи небольшой, внедрение PAM становится актуальным. Бывают также ситуации, когда подрядчик сам использует PAM для обеспечения безопасности — это чаще встречается у крупных игроков, таких как дистрибьюторы, но такая практика тоже имеет место.

Cyber Media: Продвижение PAM: как правильно «продать» идею о необходимости такого решения тем, кто об этом не знает и тем, кто знает и явно не хочет?

Владимир Алтухов: Сейчас появился новый законопроект по утечкам данных, который приносит не только штрафы, но и смягчающие меры. Если компания в течение нескольких лет до этого инвестировала в информационную безопасность, то штраф будет меньше или даже незначительно уменьшен. Конечно, цифры могут быть дискуссионными, например, сколько нужно вкладывать в безопасность — 0,1%, 1% или 10%. Но главное, что теперь есть больше мотивации для вложений.

Можно применить универсальную формулу для понимания, сколько стоит инвестиция в информационную безопасность. Например, можно привязать расходы на ИБ к потенциальным потерям, которые компания понесет в случае утечек данных или других инцидентов. Это будет понятным и логичным языком для бизнеса. Бизнес всегда говорит на языке денег, и это ключевая точка, с которой можно «продать» идею о необходимости инвестиций в ИБ.

Задача информационной безопасности — это не просто траты, как часто воспринимается. ИБ-решения должны быть видны как инвестиции в защиту бизнеса. К счастью, за последние 6 лет отношение к ИБ изменилось, а за последние 2 года изменения стали еще более заметными. Поэтому сейчас ИБ — это уже не просто дополнительные расходы, а необходимая часть бизнеса, и это благодатная тема для дальнейших разговоров о защите.

Cyber Media: Планы российских страховых компаний запустить в 2025 году продукт по возмещению ущерба от утечек может сподвигнуть операторов персональных данных начать внедрять РАМ?

Владимир Алтухов: Я бы не сказал, что страховые продукты станут прям-таки ультимативным драйвером для внедрения РАМ. Однако, если посмотреть на развитие этой темы, можно заметить интересные тенденции. На одном из недавних мероприятий обсуждали страхование для крупного холдинга, и оказалось, что объединенных ресурсов всех страховых компаний едва хватило бы, чтобы покрыть риски только одной инфраструктуры такого заказчика. А ведь таких компаний в России немало.

Что касается роли страхования как драйвера: для некоторых организаций это действительно может стать стимулом. Особенно в условиях меняющейся регуляторной среды, где ожидаются серьезные оборотные штрафы. В этом контексте страхование скорее может использоваться как инструмент для минимизации последствий утечек и других инцидентов.

Если же рассматривать страхование исключительно как способ защиты бизнеса от утечек или неправильного использования привилегий, тогда, безусловно, это может способствовать осознанию бизнесом реальных рисков. Это понимание мотивирует компании внедрять решения, такие как РАМ, чтобы закрыть существующие уязвимости и избежать возможных проблем.

Cyber Media: Насколько реально для компании самостоятельно реализовать PAM-решение на базе опенсорса. В чем выигрывают проприетарные продукты с точки зрения фич и технологий?

Владимир Алтухов: Open Source дает возможность создать PAM-решение, но это требует больших усилий и ресурсов. Реализация такого проекта самостоятельно означает, что вы будете полностью отвечать за поддержку системы, ее безопасность и соответствие нормативным требованиям. Например, сертифицировать Open Source в защищенных контурах сложно, что делает его неприменимым для аттестованных систем.

На одной из конференций я видел пример реализации PAM на Open Source. Было очевидно, что проект потребовал огромных усилий, но конечный результат вызвал скорее сожаление. Использование Open Source — это как есть кактус: возможно, но сложно и больно.

Сравнивая Open Source и проприетарные продукты, стоит учитывать, что последние предлагают поддержку разработчика, готовые интеграции и сертифицированные решения, которые соответствуют требованиям бизнеса и безопасности. Они развиваются с учетом обратной связи от клиентов, добавляя востребованные функции и улучшения. Open Source, напротив, развивается в зависимости от предпочтений конкретных пользователей или сообществ, что иногда ведет к несоответствию потребностям бизнеса.

Если компания выбирает Open Source, ей придется самостоятельно дорабатывать и поддерживать систему. Это требует времени, денег и компетенций, превращая реализацию в отдельный проект, который может перерасти в создание полноценного продукта. Проприетарные решения же позволяют избежать этой головной боли, предлагая проверенную архитектуру и готовую поддержку.

Взвешенный выбор между Open Source и Enterprise зависит от задач, ресурсов и уровня зрелости компании. Open Source подходит для гибких, экспериментальных решений, но для масштабных задач лучше рассмотреть проприетарные платформы.

Cyber Media: Процесс интеграции и эксплуатации PAM: сколько занимает времени типовая интеграция, на что стоит обратить внимание при выборе решения?

Владимир Алтухов: Процесс интеграции и эксплуатации PAM зависит от нескольких ключевых факторов. Первое и самое важное — это понимание того, что и кого вы хотите контролировать. Это уже 50–60% успеха внедрения. Также важно учитывать размер инфраструктуры, которую нужно охватить, так как от этого зависит скорость внедрения. Немаловажную роль играет подготовка со стороны вендора, интегратора и заказчика. Если внедрение осуществляется через интегратора, важна его компетенция: насколько хорошо он знает решение и насколько ясно заказчик понимает, какие задачи должен решить PAM.

При выборе решения стоит обратить внимание на его сложность и удобство в эксплуатации. Интегратор выполнит свою часть работы и, скорее всего, уйдет, если не будет заключен сервисный контракт. В итоге компания останется с решением, которым нужно будет управлять самостоятельно, и тут важно наличие качественной поддержки и понятной документации.

Следующий обязательный этап — пилотное тестирование. Оно позволяет проверить возможности решения, его интеграцию в текущую инфраструктуру, а также функциональность, включая API и поддержку миграции данных. Особенно это актуально в условиях импортозамещения, когда решения зарубежных поставщиков заменяются отечественными. Однако пилотирование может быть сопряжено с проблемами. Мне известны случаи, когда одновременно тестировались несколько решений одного класса, и они начинали мешать друг другу. Например, если одно решение требует установки агентов, а другое — нет, установка агента могла приводить к сбоям работы остальных тестируемых систем.

В целом, сроки интеграции зависят от масштаба инфраструктуры и уровня подготовки. На практике возможны как очень быстрые внедрения, так и долгосрочные процессы. Например, самое быстрое развертывание у нас заняло один день: пилот был успешно проведен, все настройки подготовлены заранее, а внедрение в рабочую среду потребовало минимального времени. В то же время пилотные тестирования могут занимать от одного-двух месяцев (для средней инфраструктуры) до полугода или даже года, особенно если речь идет о крупной распределенной системе с филиалами. В среднем этап пилотирования длится месяц, но это зависит от масштаба компании и сложности интеграции.

Cyber Media: Нужна ли PAM-решениям сертификация? Если нужна, то зачем и что она дает?

Владимир Алтухов: Сертификация для PAM-решений сейчас более чем актуальна. Например, сертифицированным средством на рынке является решение нашей компании «АйТи Бастион» — СКДПУ НТ. Отмечу, что оно стало одним из первых сертифицированных в области PAM.

Однако вопрос шире, чем просто сертификация PAM-решений. Зачастую возникает дискуссия: нужна ли сертификация ИБ-решениям в целом? Противники сертификации считают, что она замедляет развитие продукта, так как каждое обновление требует повторного прохождения сертификации, а для мажорных версий процедура начинается заново. С другой стороны, сертификация приносит ряд значительных преимуществ, которые перевешивают возможные неудобства.

Во-первых, это независимая экспертиза со стороны сертификационных лабораторий и регуляторов. В ходе сертификации проводятся пентесты, проверяется наличие недекларированных возможностей, закладок и уязвимостей. Эти испытания гарантируют, что решение отвечает высоким требованиям безопасности.

Во-вторых, наличие сертификации открывает доступ к государственным заказчикам. Например, сертификация ФСТЭК регламентирует использование решений в государственных информационных системах, СПДн, объектах критической информационной инфраструктуры и АСУТП. Это особенно важно для систем, где требуется высокое обеспечение безопасности, таких как контуры КИИ или АСУТП.

Третий аспект — соответствие требованиям к защите информации на объектах с категорированием (СПДн, ГИС и другие). Наличие сертификата подтверждает, что вендор прошел все необходимые проверки и обеспечил соответствие нормативным требованиям. При этом важно понимать, что сертификация — это не просто «бумажка». Она свидетельствует о зрелости вендора, наличии отлаженных процессов разработки, поддержки и обновлений продукта.

Важной частью сертификации является соответствие стандартам безопасной разработки, что требует от вендора инвестиций ресурсов, времени и средств. Несмотря на бюрократические сложности, связанные с изменением нормативных требований или обновлением стандартов, например, ГОСТов, сертификация остается обязательным элементом для зрелых и амбициозных разработчиков.

Плюсы сертификации:

1. Независимая проверка безопасности продукта.
2. Возможность работы с государственными заказчиками.
3. Уровень доверия со стороны клиентов, подтвержденный документально.
4. Устойчивость и зрелость процессов у вендора, включая поддержку и обновления.

Сертификация необходима для PAM-решений, так как она дает конкурентное преимущество и укрепляет доверие клиентов. Это подтверждается имеющейся тенденцией: все больше решений, оставшихся на рынке, проходят сертификацию. Это явный сигнал того, что сертификация востребована и необходима как для коммерческого, так и для государственного сегмента.

Cyber Media: Насколько реально применение PAM как инструмента для обучения сотрудников? Чему действительно может научить использование таких систем?

Владимир Алтухов: PAM-решения — это не только про технологии, но и про людей. Основная идея PAM заключается в том, чтобы обезличенные учетные записи, такие как root, стали ассоциироваться с конкретным человеком. Это позволяет отслеживать его действия в инфраструктуре, анализировать ошибки или целенаправленные нарушения. Например, если сотрудник допустил сбой, PAM помогает понять, было ли это случайностью или намеренным действием, вызванным недовольством, например, из-за отказа в повышении.

PAM можно использовать и для обучения. Один из кейсов — использование видеозаписей действий администраторов. Если главный администратор уходит в отпуск, он может предоставить своему заместителю инструкцию в формате видео: как работать с Active Directory, какие логи нужно проверять и какие результаты ожидать. Такой подход позволяет обучать сотрудников реальным рабочим процессам.

Однако важно понимать, что использование PAM для обучения — это не панацея. Оно не заменит полноценные LMS (Learning Management System) и выстроенные процессы обучения, но может стать их ценным дополнением. PAM помогает закрепить знания на практике и предоставить наглядные примеры сложных операций.

Cyber Media: Кому не нужен PAM?

Владимир Алтухов: PAM-решения могут быть избыточны, если компания не понимает, зачем и как их использовать. Иногда заказчики приходят с просьбой внедрить PAM только ради одной функции, например записи видео. Конечно, это часть функционала, но возможности PAM намного шире.

Прежде чем внедрять PAM, важно определиться с задачами, которые нужно решить. Если цель — просто записывать действия пользователей, возможно, проще использовать программы вроде OBS или Bandicam. Однако PAM предназначен для решения более сложных задач:

• Управление доступом и создание матрицы ролей.
• Управление паролями, включая их автоматическую смену и ограничение прямого доступа к учетным данным конечных систем.
• Организация многоуровневого согласования доступов с интеграцией в тикетные системы, такие как Jira.

PAM — это не видеомагнитофон, а инструмент для полноценного контроля и защиты привилегированного доступа. Если компания готова осознанно подойти к выбору PAM и понимает задачи, которые хочет решить, это решение станет эффективным инструментом для обеспечения безопасности. Если же цель ограничивается только одной функцией, целесообразность внедрения PAM ставится под сомнение.

Cyber Media: Можете ли вы привести примеры из вашей практики, связанные с внедрением или использованием PAM-решений? Возможно, забавные или поучительные кейсы, особенно в ситуациях, когда что-то пошло не так?

Владимир Алтухов: Когда все идет не так, таких примеров я, наверное, не припомню. Обычно проблемы возникают на этапе внедрения или пилотирования, когда не устраивает вендор или интегратор, или возникают межличностные моменты. Например, был случай, когда человек просто сидел и ждал, пока ему настроят нужные доступы, несмотря на то, что список был отправлен заранее. Но это не совсем забавная ситуация, скорее неизбежная часть процесса. Чем сложнее структура, тем дольше процесс получения доступа. В одном случае, чтобы добраться до точки, мы чуть не летели на вертолете. Это, конечно, довольно забавно — был вариант с оленьей упряжкой, но в сезон не получилось, и тогда вертолет.

Что касается реальных кейсов, то вот классическая ситуация. Мы запускаем сервис для подрядчика, он начинает работать, и в первый час делает все, что нужно. Но через два часа неожиданно открывается оранжевый YouTube. Это продолжалось весь рабочий день, и в итоге из восьми часов только два были действительно продуктивными. Стоимость контракта не только не удалось продлить, но еще и пришлось сократить.

Забавные истории обычно выходят уже на этапе эксплуатации, когда неочевидные вещи начинают складываться в общую картину. Например, в одном медицинском учреждении наблюдали нерегулярную утечку данных: утекали небольшие фрагменты, как бы случайно выбранные строки в таблицах. Система DLP молчала, и что делать было неясно. Когда начали разбираться, оказалось, что один из сотрудников часто терял привилегированные сессии из-за неактивности. Он открывал базу и просто сидел, пока сессия не обрывалась через 10 минут. Данные он переписывал вручную, что и объяснило, почему DLP не сработала.

Вопросы расследования инцидентов — это настоящий детектив, и это близко к криминалистике, будь то в реальной жизни или в компьютерах. Мы как PAM-решение помогаем собирать факты, и, сочетая с другими решениями, обеспечиваем большую степень безопасности. Главное, чтобы все компоненты системы взаимодействовали друг с другом, и чем лучше это взаимодействие, тем эффективнее защита инфраструктуры.

Cyber Media: Как вы видите изменения в технологиях поведенческого анализа и их способности снижать количество ложных срабатываний?

Владимир Алтухов: Анализ поведенческих факторов, безусловно, меняется, и использование машинного обучения значительно повышает его эффективность. Однако важно, как была продумана модель и на основе каких триггерных точек она работает. Ранее в это не особо верили, но сейчас ситуация изменилась. Технологии, такие как нейросети и искусственный интеллект, давно обсуждаются, и они значительно влияют на нашу жизнь. В информационной безопасности эти технологии начинают приносить результат, который гораздо эффективнее простых математических моделей, использовавшихся ранее. Поведенческие модели — это будущее, и с развитием они будут только усиливаться, превращаясь в важный инструмент для расследования инцидентов.

Cyber Media: Можете поделиться 3-5 советами для тех, кто уже внедрил PAM или только планирует это сделать? На что стоит обращать внимание, что делать или наоборот не делать, исходя из вашего опыта?

Владимир Алтухов: Вот несколько советов для тех, кто уже внедрил PAM или только планирует это сделать, исходя из моего опыта:

1. Не ожидайте, что все заработает само собой. Такого не бывает. Если кажется, что все работает без усилий, значит, за этим кто-то проделал огромную работу. Не забывайте поощрить тех, кто эту работу сделал — хотя бы словом благодарности или премией.
2. Оценивайте удобство использования решения. Я не говорю о юзабилити интерфейса, хотя и это важно. Главное — это функционал. Интерфейс можно улучшить, но функционал меняется гораздо медленнее, поэтому важно понять, насколько решение отвечает вашим потребностям.
3. Четко определите, для чего вам нужно это решение. Разберитесь, кого вы хотите контролировать, какие цели преследуете, и как решение поможет вам их достичь. Ответьте на вопросы: почему вам нужно это решение, зачем вы его используете, и как оно будет работать в вашей системе.

Эти вопросы позволяют увидеть картину в целом и выбрать наиболее подходящее решение.