За последние несколько лет российский рынок систем управления привилегированным доступом (Privileged Access / Account Management, PAM) серьезно изменился. Рассказываем, какие решения сейчас предлагают отечественные вендоры и чем они могут быть интересны потенциальным заказчикам.
- Введение
- Задачи и возможности систем управления привилегированным доступом
- Как развивается мировой рынок PAM
- Какая ситуация сложилась на российском рынке PAM
- Обзор отечественных PAM-систем
- 5.1. PAM от «Контур.Эгиды»
- 5.2. BI.ZONE PAM
- 5.3. Indeed PAM
- 5.4. Infrascope
- 5.5. Innostage PAM
- 5.6. SmartPAM
- 5.7. Solar SafeInspect
- 5.8. sPACE PAM
- 5.9. СКДПУ НТ
- Решения от иностранных вендоров
- Выводы
Введение
Учетные записи, обладающие расширенными привилегиями доступа к информационным системам, представляют собой приоритетную мишень для киберпреступников, стремящихся проникнуть в инфраструктуру организации. Компрометация таких аккаунтов открывает злоумышленникам возможность получить контроль над сетевым оборудованием, модификациям настроек критически важных приложений, отключению механизмов защиты и осуществлению прочих угроз. Следствием успешных атак данного типа становятся утечки конфиденциальной информации, нарушение непрерывности бизнес-процессов, а также существенные финансовые и репутационные убытки.
Для обеспечения безопасности привилегированных учетных записей предназначены системы класса «управление привилегированным доступом» (Privileged Access / Account Management, PAM). Эти решения уже давно нашли свое место в ландшафте средств ИБ и сейчас нередко включены в ядро стека кибербезопасности. Управление паролями и непрерывный мониторинг активности пользователей, обладающих расширенными привилегиями, дают возможность предотвращать утечки конфиденциальной информации и оперативно выявлять факты компрометации учетных данных.
Задачи и возможности систем управления привилегированным доступом
Контроль привилегированного доступа — критически важный элемент системы информационной безопасности для любой компании. Традиционные средства защиты оказываются недостаточно эффективными для решения этой задачи, что обуславливает необходимость применения специализированных решений. Системы класса PAM служат для предоставления безопасного доступа пользователям с расширенными привилегиями (например, системным администраторам) и для защиты их рабочих сессий в информационных системах.
Современный подход к безопасности информационных ресурсов подразумевает, с одной стороны, обеспечение безопасности учетных данных привилегированных пользователей, а с другой стороны, мониторинг действий администраторов в информационных системах. Кроме того, функциональность систем управления привилегированным доступом применима как к штатным сотрудникам организации, так и к внешним подрядчикам, которым предоставляется доступ с широкими полномочиями к критически важным ресурсам организации.
Современные системы класса PAM обладают следующими типичными функциональными возможностями:
- Предоставление гранулированного временного доступа, с выдачей пользователям только необходимых прав и ограничивая их действие сроком выполнения задач.
- Соблюдение принципа своевременности (Just-in-Time) путем активации привилегий исключительно по целевому запросу.
- Полный аудит работы привилегированных пользователей, включая запись сессий, мониторинг действий в режиме реального времени и долгосрочное хранение логов для последующего анализа.
- Безопасное управление учетными данными через защищенное хранилище с генерацией паролей, устойчивых ко взлому, автоматической их ротацией, задаваемой вручную или по расписанию.
- Сквозной безопасный вход (Single Sign-On, SSO), предоставляющий возможность пользователям не запоминать множество паролей к разным ИТ-ресурсам.
- Анализ поведения пользователей с помощью технологий искусственного интеллекта, выявление и блокировка аномальной активности, что важно для как предотвращения внутренних нарушений, так и для повышения устойчивости к внешним угрозам.
Особую значимость PAM-системы приобретают в условиях роста атак на цепочки поставок, наблюдаемого в течение последних лет. Если раньше системы управления привилегированным доступом применялись в основном для управления учетными записями системных администраторов, то сейчас растет их значение именно для контроля за работой подрядных организаций. Об этом свидетельствуют результаты опроса зрителей, проведенного в ходе эфира AM Live в 2024 году.
Рисунок 1. Результаты опроса AM Live относительно приоритетов использования PAM
Если же говорить о критериях выбора PAM-системы, то здесь на первый план выходит удобство работы с продуктом. Также важно, чтобы PAM-решение могло идентифицировать потенциальные угрозы на стороне подрядчика, направленные на заказчика услуг, и предусматривало возможность простой интеграции с другими ИТ- и ИБ-системами, применяемыми в организации.
Актуальность использования PAM в соответствии с требованиями регулятора
11.04.2025 издан приказ ФСТЭК России № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений». Согласно п. 4, этот приказ вступает в силу 01.03.2026. Данный нормативный документ отменяет действие приказа ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» со всеми изменениями к нему.
Если приказ №17 закладывал основы защиты информации в организациях, оставляя многие вопросы на усмотрение обладателя информации (заказчика) или оператора ГИС, то приказ № 117 вводит детальные требования к системе управления ИБ. Старый, но пока еще действующий норматив на местах нередко исполнялся формально, путем соблюдения перечня базовых мер безопасности, без учета реальных угроз и особенностей конкретной ГИС.
Владельцы ГИС и объектов критической инфраструктуры знали, что им нужно издать внутренний приказ о назначении сотрудника или подразделения, ответственного за защиту информации, использовать сертифицированные СЗИ и привлекать к работам по технической защите исключительно лицензированные организации. При этом организационные меры были минимальными, а разработка внутренних регламентов и политик ИБ могла вовсе не проводиться.
Новый норматив по сути предусматривает создание полноценной политики информационной безопасности организации, с учетом архитектуры ГИС, целей защиты информации и возможных последствий несоблюдения предусмотренных мер.
В п. 48 Требований, утвержденных приказом № 117, указывается на необходимость контролировать доступ привилегированных пользователей к информационным системам, что можно обеспечить посредством внедрения систем PAM. Так, ФСТЭК России делает акцент на использовании строгой (или усиленной многофакторной) аутентификации при осуществлении привилегированного доступа, обязательной персонификации привилегированных учетных записей, регистрации всех действий пользователей с повышенными правами и др. Эти возможности, равно как и контроль над встроенными учетными записями администраторов, предоставление внешним подрядчикам доступа к ИС в соответствии с требованиями ИБ и соблюдение модели наименьших привилегий, заложены в любой PAM-системе.
Благодаря разнообразию представленных на рынке решений, у заказчиков есть возможность выбрать наиболее подходящую под специфику их деятельности PAM-систему. При этом внедрение системы управления привилегированным доступом позволяет не просто соответствовать формальным требованиям регулятора, а выстроить надежную архитектуру безопасности, адаптированную под актуальные угрозы.
Как развивается мировой рынок PAM
Исследования мирового рынка, проводимые разными аналитическими бюро, демонстрируют стабильный рост сегмента Privileged Access Management.
В обзоре Verified Market Reports мировой рынок PAM в 2024 году оценивается в 2,36 миллиарда долларов США. По прогнозу он должен достигнуть 6,72 млрд к 2033 году, увеличиваясь в среднем на 12,5 % ежегодно.
Рисунок 2. Прогноз роста рынка PAM (источник: verifiedmarketreports.com)
Согласно исследованию Global Market Insights объем рынка PAM в 2024 году составил 3,6 млрд долларов. По прогнозам аналитиков, ежегодный прирост в период с 2025 по 2034 год составит 23,3 %. При этом объем локальных решений (on-premise) в 2024 г. составлял 61 % рынка и к 2034 году должен достигнуть 16,1 млрд долларов.
Рисунок 3. Темпы роста рынка PAM (источник: gminsights.com)
Более скромные цифры приведены в обзоре Market Research Intellect, согласно которому рынок PAM в 2024 году достиг объема в 1,2 млрд долларов, а к 2033 году увеличится до 3,5 млрд с годовым приростом в 15,4 %.
Рисунок 4. Аналитика роста рынка PAM (источник: marketresearchintellect.com)
Перспективы развития привлекают в сегмент значительное число игроков, формируя насыщенную конкурентную среду. Рынок PAM растет, поскольку он ориентирован на защиту от растущих угроз, связанных с идентификацией, и расширяющейся площадью атак на привилегированные учетные записи.
Какая ситуация сложилась на российском рынке PAM
Сейчас системы PAM в России достаточно востребованы, хотя и уступают по спросу базовым систем кибербезопасности — в частности, решениям классов «управление информацией и событиями» (SIEM), «детектирование и реагирование на конечных точках» (EDR / XDR), «межсетевой экран нового поколения» (NGFW). Еще 5 лет назад заказчики не понимали сути надзора над собственными сисадминами и целесообразности применения PAM. Растущее число киберугроз и массовый переход на удаленный формат работы привели к тому, что уровень доверия к ИТ-специалистам стал значительно меньше.
PAM-системы приобретают особую значимость в условиях ужесточения нормативных требований к защите критических данных. Использование таких систем в организациях все чаще рассматривается в качестве обязательного элемента стратегии ИБ, а не дополнительной защитной меры.
Поскольку международные центры аналитики, которые ежегодно давали оценку российскому ИТ-рынку, такие как IDC и Gartner, ушли из РФ в 2022 году, нам приходится опираться на сведения от самих его игроков.
Специалисты центра аналитики и экспертизы группы «Солар» оценили объем российского рынка управления привилегированным доступом в 2022 году в 1,5 млрд рублей. По их прогнозам, годовой прирост этого сегмента составляет 7 %, и в 2025 году он достигнет отметки в 2 млрд руб. Согласно сведениям Innostage, российский рынок систем PAM показывает ежегодный рост в размере 5 % и к 2025 году способен превысить 1,8 миллиарда рублей.
По состоянию на 2025 год на российском рынке PAM представлены продукты следующих отечественных вендоров:
- Avanpost;
- BI.ZONE;
- Innostage;
- NGR Softlab;
- WebControl;
- «АйТи Бастион»;
- «Индид»;
- СКБ «Контур»;
- ГК «Солар», в состав которой вошла компания «Новые технологии безопасности».
Краткий обзор их решений класса PAM приводится ниже.
Обзор отечественных PAM-систем
За последние два года российский сегмент PAM значительно расширился. Его пополнили новые игроки, но и вендоры, давно присутствующие на рынке, не спешат сдавать позиции, продолжая совершенствовать свои продукты под текущие реалии угроз.
PAM от «Контур.Эгиды»
В конце 2024 года «СКБ Контур» выпустил на рынок сервис для контроля пользователей с особыми правами — «Контур.PAM». Он предназначен для повышения безопасности корпоративных систем и снижения риска утечек данных. «Контур.PAM» дополнил комплекс сервисов ИБ от «Контура» под брендом «Контур.Эгида», куда также входит система мониторинга сотрудников и расследования инцидентов Staffcop, а также ID – сервис двухфакторной аутентификации, «Доступ» — система для настройки устройств и управления парком компьютеров компании и «Безопасность» — услуги по комплексной защите информации, включая аудит, консалтинг и разработку мер защиты.
PAM от «Контур.Эгиды» позволяет предотвратить несанкционированный доступ и утечку конфиденциальной информации. Система минимизирует внутренние угрозы за счет контроля действий привилегированных пользователей, включая попытки изменения политик безопасности, несанкционированное редактирование или удаление данных, а также установку вредоносных скриптов.
Рисунок 5. Интерфейс системы PAM от «Контур.Эгиды»
Основываясь на ролевой модели, PAM от «Контур.Эгиды» позволяет управлять доступом к информации привилегированных пользователей, включая удаленных сотрудников, персонал технической поддержки, владельцев информационных систем и инженеров по автоматизации процессов разработки (DevOps).
Особенности продукта:
- Контроль подключений по протоколам RDP и SSH, возможность логирования сессий.
- Синхронизация с Active Directory.
- Детализированный журнал событий для проверки безопасности, экспорт логов в CSV.
- Возможность прервать активную сессию пользователя при выявлении инцидента.
- Контроль терминального доступа к Linux-серверам.
- Возможность интеграции с другими сервисами «Контура», а также SIEM-системами других вендоров.
PAM от «Контур.Эгиды» входит в состав сервиса двухфакторной аутентификации «Контур.ID», зарегистрированной как отечественное ПО (реестровая запись № 25972 от 28.12.2024).
Подробнее о продукте можно узнать на официальном сайте.
BI.ZONE PAM
В середине 2024 года на рынок вышла платформа для управления привилегированным доступом BI.ZONE PAM, основанная на модели нулевого доверия (Zero Trust) и базирующаяся на микросервисной архитектуре. Система ориентирована на защиту административных учетных записей от нелегитимного использования, случаи которого нередко связаны с утечками данных или их кражей при помощи методов социальной инженерии. Тем самым она обеспечивает защиту данных и инфраструктуры организации от несанкционированного доступа.
В BI.ZONE PAM реализовано управление сессиями привилегированных пользователей с предоставлением доступа к критически важным данным лишь тем специалистам, чьи задачи действительно этого требуют, и на ограниченный срок. Система фиксирует сессии пользователей с расширенными привилегиями, записывая все их действия в формате видео, а также текстовых команд. Благодаря этому специалисты по ИБ могут организовать эффективный мониторинг и реагирование на инциденты, а также ускорить их расследование.
Рисунок 6. Интерфейс системы BI.ZONE PAM
Продукт BI.ZONE PAM уже установил одну из крупнейших инсталляций PAM-систем в Европе. В феврале 2025 года Сбербанк перешёл на BI.ZONE PAM, отказавшись от иностранного решения.
Особенности продукта:
- Горизонтальное масштабирование, не требующее покупки дополнительных лицензий.
- Ротация паролей и сертификатов при каждом новом подключении либо по расписанию.
- Совместимость с основными российскими дистрибутивами Linux.
- Возможность исполнять плейбук Ansible с фиксацией всех совершаемых сотрудниками операций и не нарушая принципов нулевого доверия.
- Встроенная двухфакторная аутентификация, передача данных о подозрительных действиях в SIEM-систему, а также внутренний каталог пользователей.
- Привилегированные пользователи могут самостоятельно добавлять учетные записи и системы под защиту BI.ZONE PAM. Администратор платформы утверждает эти изменения.
Продукт включен в реестр отечественного ПО (реестровая запись № 16915 от 21.03.2023). Система прошла сертификацию ФСТЭК России (сертификат № 4844 от 19.09.2024).
Распаковка BI.ZONE PAM доступна на канале AM Live.
Подробнее о продукте можно узнать на официальном сайте.
Indeed PAM
Indeed PAM — решение по контролю действий привилегированных пользователей от «Компании Индид». Система предназначена для управления доступом сотрудников с расширенными привилегиями, контроля деятельности администраторов информационных систем.
Применение Indeed PAM позволяет эффективно решать задачи по защите и контролю привилегированного доступа. Для этого пароли хранятся в защищенной базе и недоступны пользователю. Взаимодействие между компонентами системы происходит в зашифрованном виде, все сессии привилегированных пользователей записываются и сохраняются в медиа-хранилище, а события и другие артефакты сессий логируются в общую базу.
Рисунок 7. Схема работы системы Indeed PAM
В этой PAM-системе предусмотрено ведение видеозаписи, текстового лога пользовательских сессий и снятие снимков экрана, с возможностью просмотра архива. Можно настроить уведомления администратора PAM о возникновении нештатных ситуаций, также в Indeed PAM заложена возможность интеграции с SIEM-системами — отправка событий безопасности по протоколу SYSLOG с поддержкой различных форматов (CEF, LEEF).
Особенности продукта:
- Использование технологии SSO и поддержка двухфакторной аутентификации на базе одноразовых паролей с возможностью доставки одноразового пароля различными способами (мобильное приложение, электронная почта), возможность интеграции с внешними системами многофакторной аутентификации посредством протокола RADIUS.
- Ротация паролей привилегированных учетных записей и сертификатов при каждом просмотре либо по расписанию.
- Поддержка отечественных каталогов пользователей ALD Pro, RED ADM и SAMBA DC, интеграция с Active Directory.
- Возможность установки на системы семейства Linux, в том числе на отечественные дистрибутивы (РЕД ОС, Astra Linux и др.).
- Возможность контроля действий пользователя при работе с произвольными ресурсами, не добавленными в РАМ.
- Возможность контроля действий пользователя при работе с СУБД PostgreSQL без использования технологии RemoteApp.
Продукт включен в реестр отечественного ПО (реестровая запись № 6351 от 07.04.2020). Система прошла сертификацию ФСТЭК России (сертификат соответствия № 4667).
Обзор версии продукта 2.9 на нашем сайте доступен здесь.
Подробнее о продукте можно узнать на официальном сайте.
Infrascope
Infrascope — система для управления привилегированным доступом от российской ИТ-компании NGR Softlab. Продукт построен по модульному принципу, что позволяет каждому заказчику сформировать конфигурацию под свои потребности. К базовым функциональным модулям Infrascope, доступным даже в минимальной конфигурации, относятся менеджер паролей, менеджер сессий и менеджер двухфакторной аутентификации (2FA).
Работа этой PAM-системы базируется на использовании двухфакторной аутентификации с возможностью генерации одноразовых паролей, рассылаемых на электронную почту, через СМС-сообщения (при подключении дополнительного модуля) или внешние сервисы аутентификации. Применение 2FA позволяет оперативно восстановить доступ привилегированного пользователя, если его пароль был утерян или скомпрометирован.
Рисунок 8. Схема работы системы Infrascope
Система Infrascope позволяет контролировать деятельность провайдеров услуг и администраторов ИТ-инфраструктуры, проверяя их на соответствие политикам ИБ, принятой в организации. Это PAM-решение можно использовать для соблюдения требований отраслевых стандартов, таких как ГОСТ 57580, GDPR, PCI DSS, ISO 27002.
Особенности продукта:
- Динамический диспетчер паролей, обеспечивающий безопасное хранение аутентификационной информации. Также он позволяет проводить автоматическую ротацию паролей.
- Совместимость с аппаратными аутентификаторами линейки «Рутокен» — «Рутокен OTP» и «Рутокен MFA».
- Возможность развертывания в режиме мультиарендности (multitenancy).
- Наличие модуля поддержки для администрирования сетевых устройств по протоколам TACACS и RADIUS.
- Поддержка горизонтального и вертикального масштабирования, применение многонодовых кластерных инсталляций «актив — актив».
- Наличие модуля поведенческой аналитики (UEBA).
Продукт включен в реестр отечественного ПО (реестровая запись № 10023 от 02.04.2021). Система прошла сертификацию ФСТЭК России (сертификат № 4752 от 14.12.2023).
Обзор продукта на нашем сайте доступен здесь.
Подробнее о продукте можно узнать на официальном сайте.
Innostage PAM
2024 год стал плодотворным в плане появления новых PAM-систем. Провайдер киберустойчивости Innostage тоже представил на рынок свое решение, выпустив систему Innostage PAM. Она предназначена для организации и автоматизации процесса предоставления привилегированного доступа к целевым ресурсам, аудита действий пользователей с расширенными правами и реагирования на выявленные в их поведении аномалии.
Использование Innostage PAM позволяет закрыть ряд задач ИТ и ИБ. К ним относится минимизация рисков нелегитимного повышения привилегий в ИС, контроль фактического соблюдения парольных политик, безопасная передача привилегированных учетных записей удаленным сотрудникам или подрядчикам. Продукт реализован на базе собственной методологии киберустойчивости. Он нацелен на выявление и предотвращение нежелательных событий до того, как они перейдут в разряд инцидентов.
Рисунок 9. Интерфейс системы Innostage PAM
Как утверждает разработчик, использование этой PAM-системы на 50 % снижает вероятность атаки за счет контроля привилегий и на 30 % повышает эффективность защиты организации от киберугроз. Компания позиционирует Innostage PAM как недорогое отечественное решение, не перегруженное излишними функциями.
Особенности продукта:
- Единое окно входа в инфраструктуру (SSO).
- Встроенная двухфакторная идентификация и интеграция с СМС-шлюзами.
- Возможность контролировать доступ пользователей к базам данных и кластерам Kubernetes.
- Интеграция с различными системами авторизации по протоколам LDAP(S), OIDC, SAML2, OAuth, RADIUS.
- Анализ устойчивости паролей найденных учетных записей ко взлому.
- Проверка и запуск скриптов автоматизации и плейбуков по расписанию, контроль использования в них учетных записей.
Продукт включен в реестр отечественного ПО (реестровая запись № 24826 от 15.11.2024).
Подробнее о продукте можно узнать на официальном сайте.
SmartPAM
В феврале 2025 года компания Avanpost представила SmartPAM — инновационное решение, предназначенное для управления привилегированным доступом. Оно позволяет контролировать действия пользователей, обладающих расширенными правами, и минимизировать сопутствующие риски.
Особенность продукта в том, что для анализа действий пользователей и обнаружения нетипичного поведения в нем используется двухуровневая система нейронных сетей. Ее первый уровень направлен на выявление общих закономерностей и формирование поведенческих профилей для групп пользователей. На втором уровне происходит непрерывный мониторинг поведенческих моделей, обеспечивающий быстрое обнаружение любых отклонений от привычных шаблонов.
Рисунок 10. Схема работы системы SmartPAM
Система предназначена для использования широким кругом пользователей. К их числу относятся администраторы, сетевые инженеры, разработчики, специалисты техподдержки и ИБ. В ней реализована поддержка разнообразных сценариев, включая временный доступ к тестовым и рабочим средам, а также удаленное подключение внешних сотрудников.
Особенности продукта:
- Готовая обновляемая библиотека сигнатур, а также возможность формировать пользовательские сигнатуры.
- Фиксация метаинформации о действиях пользователей.
- Использование технологий искусственного интеллекта и механизмов событийной обработки.
- Превентивная защита от инцидентов, т.е. возможность предвосхищать угрозы.
- Изоляция привилегированных пользователей через специализированные прокси-серверы.
- Возможность использования в связке с другими решениями компании — например, Avanpost IDM или Avanpost FAM.
Avanpost PAM появился на рынке недавно, поэтому пока не входит в реестр отечественного ПО.
Подробнее о продукте можно узнать на официальном сайте.
Solar SafeInspect
В портфель решений по управлению доступом ГК «Солар» входит PAM-система Solar SafeInspect. Изначально этот продукт был представлен на российский рынок в 2015 году компанией «Новые Технологии Безопасности» и тогда поставлялся под названием SafeInspect.
В конце 2022 года ГК «Солар» приобрела полный пакет активов этого разработчика ПО, а уже в марте следующего года представила рынку Solar SafeInspect в качестве полноценной PAM-платформы, которая позволяет эффективно управлять привилегированными пользователями, с которыми связаны самые высокие риски. Solar SafeInspect можно использовать как для контроля штатных сотрудников, так и для обеспечения безопасного доступа удаленных пользователей с расширенными привилегиями. Платформа дает возможность управлять учетными записями администраторов информационных систем и их сессиями.
Рисунок 11. Интерфейс системы Solar SafeInspect
Solar SafeInspect может использоваться в трех режимах: «Бастион» для внутренней корпоративной сети, «Сетевой мост» для установки в разрыв и «Маршрутизатор» для внедрения в распределенных сетях. Кроме того, предусмотрен дополнительный режим, предполагающий авторизацию привилегированных пользователей с ручным подтверждением от администратора. Во всех режимах доступ привилегированным пользователям предоставляется на основе двухфакторной аутентификации.
Особенности продукта:
- Проксирование (изолирование) сессий с участием привилегированных пользователей.
- Прозрачная работа в любых режимах.
- Запись сеансов работы, снятие скриншотов с рабочих экранов.
- Возможность внедрить систему без установки агентов на рабочих местах.
- Подстановка и сокрытие учетных данных привилегированных пользователей.
- Хранение данных в зашифрованном от перехвата виде.
Продукт включен в реестр отечественного ПО (реестровая запись № 3341 от 03.05.2017). Система прошла сертификацию ФСТЭК России (сертификат № 4816 от 30.05.2024).
Обзор продукта на нашем сайте доступен здесь, краткий ролик с распаковкой есть на канале AM Live.
Подробнее о продукте можно узнать на официальном сайте.
sPACE PAM
В 2021 году российский вендор Web Control вывел на рынок PAM-систему sPACE. Она предназначена для управления привилегированным доступом к ИТ-инфраструктуре, контроля действий привилегированных пользователей и безопасного использования привилегированных учетных записей. Это импортонезависимое решение, ориентированное на потребности российского рынка.
Система sPACE PAM ориентирована на решение следующих задач, связанных с управлением привилегиями: доступ к целевым системам с помощью защищенной среды запуска инструментов администрирования, хранение паролей в защищенном хранилище и управление их жизненным циклом, разграничение доступа к ИТ-инфраструктуре на основании ролевой модели компании, мониторинг сеансов привилегированного доступа, разбор и аудит завершенных сеансов. При этом система может использоваться для контроля доступа к любым ИТ-ресурсам — от серверов, сетевого оборудования до баз данных с чувствительной информацией.
Рисунок 12. Схема работы системы sPACE PAM
Доработка системы управления привилегированным доступом sPACE осуществлялась при грантовой поддержке РФРИТ в рамках национального проекта «Цифровая экономика». В результате грантовой поддержки разработчикам удалось полностью отказаться от зарубежных решений и обеспечить работу на отечественных платформах.
Особенности продукта:
- Автоматизация доступа и обеспечение безопасного трека подключения пользователей к ИТ-инфраструктуре.
- Возможность гранулировать доступ до уровня задачи в целевой системе.
- Мультитенантность — возможность ограничивать области видимости инфраструктуры и задач для групп пользователей, а также предоставлять им свои собственные привилегии в рамках одного развертывания.
- Протоколонезависимость и возможность подключения к любым целевым системам.
- Гибкая архитектура, возможность выстраивания инсталляции в зависимости от топологии инфраструктуры заказчика.
- Совместимость с отечественными операционными системами.
Продукт включен в реестр отечественного ПО (реестровая запись № 12925 от 25.02.2022).
Распаковка sPACE PAM доступна на канале AM Live.
Подробнее о продукте можно узнать на официальном сайте.
СКДПУ НТ
СКДПУ НТ — экосистема с функциональностью PAM от российского разработчика «АйТи Бастион». Эта компания была основана в 2014 году, когда рынок систем управления привилегированным доступом только начинал развиваться. Первая версия продукта — система СКДПУ — была представлена еще в 2017 году. Все это время вендор продолжал развивать свою PAM-платформу и постоянно совершенствовать ее возможности. Так, в мае 2025 года вышло новое PAM-решение «СКДПУ НТ Старт» — версия, ориентированная на нужды малого и среднего бизнеса.
PAM-платформа базируется на российской ОС Astra Linux SE. СКДПУ НТ опирается на концепцию Zero Trust (принцип «нулевого доверия») и подход Just-in-Time (доступ только в то время, когда он действительно нужен).
В системе автоматически формируется профиль на каждого пользователя, наделенного особыми правами. В нем фиксируются как типовые признаки аномального поведения, так и заданные вручную, обусловленные спецификой организации. Цифровой профиль позволяет сотруднику службы безопасности оперативно оценить уровень доверия к конкретному пользователю.
Рисунок 13. Цифровой профиль пользователя в системе СКДПУ НТ
СКДПУ НТ позволяет эффективно контролировать пользователей с особыми привилегиями и закрывает потребности организаций в предоставлении безопасного удаленного доступа. В системе заложен контроль аномалий и реагирование на инциденты, за счет чего компаниям удается поддерживать бесперебойное функционирование бизнес-процессов. Как заявляет разработчик, СКДПУ НТ занимает более 70 % отечественного рынка PAM (эти данные получены на основе исследования открытых источников по госзакупкам).
Особенности продукта:
- Поддержка встроенных механизмов двухфакторной аутентификации.
- Машинное обучение для анализа поведенческих сценариев.
- Поддержка отечественных ОС (Astra Linux, РЕД ОС, «Базальт», РОСА).
- Мультивендорная экосистема поддерживает возможность интеграции с различными ИБ- и ИТ-продуктами (в частности, с криптошлюзами, SIEM-системами, средствами виртуализации, облачными сервисами и пр.).
- Работает по наиболее защищенному механизму «Бастион», может использоваться в информационных системах с распределенной инфраструктурой.
- Система может поставляться в виде ПАК или как ПО для виртуальной машины. Также возможна реализация гибридных схем работы.
Продукт включен в реестр отечественного ПО (реестровая запись № 7747 от 14.12.2020). Решение сертифицировано ФСТЭК России по УД-4 (сертификат № 4811 от 15.05.2024) и Министерством обороны по НДВ-2.
Обзор продукта на нашем сайте доступен здесь.
Подробнее о продукте можно узнать на официальном сайте.
Решения от иностранных вендоров
Согласно исследованию Global Market Insights наиболее весомыми игроками в отрасли управления привилегированным доступом в 2024 году являются компании BeyondTrust, IBM и CyberArk. В совокупности их доля на рынке составила 24 % от общего числа решений.
Рисунок 14. Доля компаний на рынке PAM (источник: gminsights.com)
Ключевыми игроками на рынке Privileged Access Management аналитики GMI также назвали:
- CA Technologies;
- Fortinet;
- HashiCorp;
- Hitachi;
- Imprivata;
- Okta;
- Optiv Security.
Несколько отличающиеся данные можно почерпнуть из доклада KuppingerCole. Лидерами рынка PAM, по мнению этого аналитического сервиса, являются ARCON, BeyondTrust, CyberArk, Delinea, EmpowerID, One Identity, Saviynt, Senhasegura и WALLIX.
Рисунок 15. Шкала лидеров в сегменте PAM (источник: kuppingercole.com)
По мнению экспертов, использование PAM-решений из недружественных стран в российских организациях доживает последние дни: у пользователей нет возможности продлить лицензию, техподдержка отсутствует, как и скачивание обновлений.
Внедрению российских PAM-систем вместо зарубежных также способствует введение законодательным норм, в частности, запрет на использование иностранного софта на объектах КИИ. Те, кого этот запрет не касается, могут обратить на локализованные в России решения — например, на бесплатную PAM-систему JumpServer от китайского разработчика Fit2Cloud.
Выводы
На сегодняшний день российский рынок PAM можно считать сформированным, хотя его регулярно пополняют новые игроки. Мы продолжаем наблюдать планомерное развитие сегмента Privileged Access Management. Как следует из обзора, в настоящее время российские разработчики предлагают собственные системы с набором функций не хуже, чем у глобальных брендов.
Сейчас системы PAM позиционируются уже не как нишевый продукт, а как инструмент для управления привилегиями, рассчитанный на широкий круг пользователей. За счет того, что ключевые возможности решений этого класса уже стали общепринятыми, растут требования к пользовательскому опыту (UX). При выборе продукта для внедрения заказчики предпочитают ориентироваться на скорость развертывания, удобство интерфейса и возможность интеграции с уже используемыми в организации средствами ИБ.
