Слабые пароли, избыточные права подрядчиков, сервисные учетки без ротации − все это типичные уязвимости внутренних сетей. По данным DSEC (входит в ГК «Солар»), в 87% проектов по внутреннему тестированию в 2025 году были достигнуты поставленных целей − получен контроль над доменом, получен доступ к персональным данным, скомпрометированы средства защиты информации и получен доступ к системе резервного копирования и базам данных. Главные проблемы внутренних сетей − слабые пароли (53% проектов) и устаревшее ПО (42%). А по данным Solar 4RAYS, атаки через подрядчиков остаются устойчивым трендом и в 2026 году. PAM‑система−один из ключевых инструментов, способных разорвать эту цепочку. Классическая архитектура PAM подразумевает работу через выделенный бастион‑сервер или прокси‑сервер (промежуточный узел, через который проходит весь трафик администратора). Пользователь понимает, что его соединения явно проксируются, а значит, технически может попытаться установить прямое соединение с целевым сервером, минуя контроль. В этом материале разбираем вместе с Дмитрием Федоровым, пресейл‑аналитиком Solar SafeInspect ГК «Солар», как прозрачные режимы работы PAM‑системы Solar SafeInspect на уровнях L2 и L3 решают эту проблему.
Что такое «прозрачный режим» и почему с этим термином путаница
На российском рынке PAM‑систем нет единого понимания того, что стоит за словами «прозрачный режим». Как поясняет эксперт «Солара», терминологическая путаница — это не проблема, а скорее особенность рынка.
Часть вендоров называет так доступ через портал с SSO, мотивируя это тем, что пользователь не вводит пароли вручную. Другие подразумевают работу на сетевом уровне, когда PAM‑система полностью скрыта от пользователя.
Однако для корректного выбора решения заказчику важно различать два принципиально разных подхода. Первый — это портальный доступ. Пользователь попадает в веб‑интерфейс, видит личный кабинет, и ему понятно, что он работает через промежуточную систему. Второй − сетевая прозрачность. Сотрудник открывает штатный клиент (PuTTY, RDP), вводит IP‑адрес целевого сервера и работает как обычно. Присутствие PAM‑системы в этом случае никак не проявляется.
Зачем нужна прозрачность: обход PAM как реальная угроза
Главный аргумент в пользу прозрачного режима — это снижение риска обхода системы контроля. Если администратор или подрядчик понимает, что работает через прокси, у него возникает «соблазн» подключиться к серверу напрямую, минуя PAM. Особенно это касается недоверенных пользователей: внешних подрядчиков, временных сотрудников и людей, мотивация которых неизвестна.
Масштаб проблемы подтверждают цифры. По данным зарубежных отраслевых исследований, в почти 90% крупных корпоративных утечек 2025 года критическим фактором стала компрометация именно привилегированных учетных записей. Российская статистика не менее красноречива.
По данным экспертов DSEC (входит в ГК «Солар»), на внешнем периметре 78% компаний имеются уязвимости, позволяющие получить доступ во внутреннюю сеть, а главными проблемами внутренних сетей остаются слабые пароли (53%) и устаревшее ПО (42%). При этом в 100% проектов по тестированию методами социальной инженерии хотя бы один сотрудник перешёл по вредоносной ссылке. Типичная цепочка атаки начинается с фишинга или утечки пароля, а затем злоумышленник ищет путь к повышению привилегий. И если PAM‑систему можно обойти, он это сделает.
Отдельную роль в этой картине играют подрядчики. По данным Solar 4RAYS, 27% проникновений в инфраструктуру происходит именно через них. Специалисты Solar 4RAYS прогнозируют, что в 2026 году атаки через подрядчиков останутся устойчивым трендом: хакерские группировки продолжат использовать небольшие ИТ‑компании как плацдарм для проникновения в инфраструктуру крупных заказчиков. Под угрозой — промышленность, ТЭК, логистика и госсектор.
Показателен инцидент 2022 года с Uber: злоумышленники нашли пароль подрядчика в даркнете и с помощью социальной инженерии обошли двухфакторную аутентификацию. Учетная запись подрядчика имела избыточные права − вплоть до суперадминистратора корпоративного мессенджера и почтовой системы. Один скомпрометированный аккаунт открыл доступ ко всей инфраструктуре. В 2024 году похожая история произошла с Министерством финансов США: атакующие использовали уязвимость в продукте удаленного доступа стороннего вендора и получили доступ к рабочим станциям сотрудников министерства.
«Важный урок, который необходимо вынести из этих двух кейсов заключается в следующем. Если скомпрометированная учетная запись легитимно присутствует в PAM и действует в рамках правил, система не заблокирует её автоматически. Прозрачный режим контролирует доступ, но не заменяет анализ аномалий и минимизацию прав»,− поделился Дмитрий Федоров, пресейл‑аналитик Solar SafeInspect ГК «Солар».
Аналогичные угрозы актуальны и для российского рынка. По данным Solar 4Rays, группировка NGC8211 атаковала спортивную организацию именно через подрядчика — крупного интегратора ПО. Используя данные из старой утечки, злоумышленники получили доступ к инфраструктуре жертвы и две недели оставались незамеченными. Они разместили вредоносное ПО под видом легитимной программы, сканировали сеть, подбирали пароли к учетным записям. За 12 часов до полного шифрования данных хакеры вошли в сервисную учетную запись с нетипичного IP‑адреса. Итог — полное шифрование инфраструктуры и требование выкупа. Если бы привилегированные учетные записи контролировались PAM‑системой с подменой паролей и мониторингом сессий, вход с нетипичного адреса был бы зафиксирован, а доступ к сервисной учетке ограничен.
Как это устроено технически: L2, L3 и L7/бастион‑сервер
Solar SafeInspect поддерживает три сценария интеграции.
Режим сетевого моста (L2)
PAM‑система эмулирует сетевой мост, пропуская через себя трафик, включая тегированный 802.1Q. При размещении компонента ближе к целевым хостам (ниже в иерархии сети) снижается объем нерелевантного трафика. При размещении выше — увеличивается охват, что позволяет использовать меньше коллекторов. Отказоустойчивость в L2 обеспечивается через балансировку.
Режим маршрутизатора (L3)
В прозрачном режиме L3 PAM‑система эмулирует маршрутизатор между сегментами сети: трафик из одного сегмента в другой физически проходит через PAM‑устройство, и при правильно настроенных маршрутах альтернативного пути для обхода просто нет. Особенность режима — контроль невидим для пользователя (система никак себя не обнаруживает), а все сессии перехватываются и записываются без возможности их намеренного обхода. Архитектурно L3 применим в сложно распределенных сетях с большим количеством сегментов, где классический прокси‑режим (L7) не закрывает все маршруты доступа, а также в сценариях с подрядчиками и временными сотрудниками. Реализация требует изменения IP‑адресов, перенастройки маршрутов и, возможно, создания отдельных сегментов; отказоустойчивость обеспечивается кластеризацией.
Режим бастион‑сервер (L7)
Самый распространенный вариант, когда PAM ставится как отдельный сервер, и пользователи явно направляются на него. В данном случае здесь нет вмешательства в сетевую инфраструктуру, и минимальные требования к проектированию. Если PAM отказал — можно предусмотреть обходной путь для аварийных работ. На практике большинство заказчиков выбирают именно этот режим.
Важно понимать компромисс: адаптация пользователей в прозрачных режимах происходит быстрее (им не нужно менять привычки), но само внедрение — дольше и сложнее. При установке в L3 меняются маршруты, нужно продумать архитектуру, настроить отказоустойчивость. Специалисты по сетевой инфраструктуре не всегда готовы к появлению дополнительного устройства в сети.
«Если есть возможность поставить PAM наименее проблемно — выберут именно этот вариант»,— прокомментировал Дмитрий Федоров пресейл‑аналитик Solar SafeInspect ГК «Солар».
Режимы L2/L3 на практике используются редко, в единичных проектах со сложной сетевой топологией. Но именно они дают максимальный уровень контроля, исключая саму возможность обхода.
Аутентификация и подстановка учетных данных
В прозрачном режиме пользователь подключается к целевому серверу, не зная, что между ним и сервером стоит PAM. Технически соединение проходит через компонент захвата трафика, который работает по принципу MITM‑перехвата. Пользователь «логинится» не на целевой сервер, а на PAM — система распознает его и по настроенному правилу подставляет привилегированную учетную запись. Пользователь может вообще не знать пароль от целевой машины — его знает только PAM, который может менять пароли без уведомления пользователя.
При этом прозрачность работы не означает отсутствия строгой верификации. Мультифакторная аутентификация работает в любом режиме: второй фактор настраивается через интеграцию с внешними RADIUS‑системами.
Скрытость IP‑адреса PAM‑системы от пользователя дает дополнительное преимущество — снижается число попыток подбора паролей к самой системе контроля.
Защита данных: что PAM делает помимо записи сессий
Запись сессий — это инструмент расследования, а не предотвращения. Для реальной защиты данных Solar SafeInspect использует несколько механизмов:
Ротация и подмена паролей: привилегированная учетка не выдается пользователю, пароли хранятся и меняются только внутри PAM.
Контроль команд: черные и белые списки, при вводе запрещенной команды сессия разрывается.
Контроль буфера обмена: можно запретить копирование данных, передачу файлов, проброс USB, принтеров, звуковых каналов.
Передача файлов: можно запретить полностью, разрешить в одну сторону, либо перехватывать теневые копии.
Интеграция с DLP/антивирусом через ICAP: захваченный текстовый трафик (SSH, TCP) можно отдать на внешний ICAP‑сервер для анализа. Однако, как отмечает эксперт, на сыром трафике возникает много ложных срабатываний, поэтому широкой практики эта функция пока не получила.
Аудит PostgreSQL: запись и аудит прямого доступа к базам данных.
Живое наблюдение: онлайн‑мониторинг действий пользователя с возможностью принудительного разрыва сессии.
Пошаговый сценарий контроля подрядчиков
Подрядчики остаются одним из самых уязвимых звеньев в корпоративной безопасности. Чтобы предотвратить несанкционированный доступ к инфраструктуре PAM‑система контролирует действия на каждом этапе работы внешнего специалиста.
Подрядчик получает доступ через PAM, но привилегированная учетка ему не выдается — система подставляет ее автоматически после аутентификации. Далее настраивается второй фактор через RADIUS. При необходимости за подрядчиком можно наблюдать в онлайн‑режиме: что он делает, какие команды вводит, с какими ресурсами работает.
Параллельно настраиваются ограничения: запрет определенных команд, контроль буфера обмена, каналов передачи данных — USB, принтеры, звук. Доступ ограничивается по времени: можно выдать подрядчику окно даже в один час. Расписание контролируется на уровне PAM‑системы.
Все действия записываются в текстовом виде (логи) и в формате видео. При расследовании инцидента можно точно установить, кто, когда и что делал. Содержимое буфера обмена, если он не был запрещен, тоже доступно для просмотра.
Эксперты Solar 4RAYS по итогам расследований рекомендуют организациям регулярно проводить инвентаризацию доступов внешних подрядчиков и не пренебрегать сегментацией инфраструктуры — именно она затрудняет продвижение атакующих внутри сети.
Зарубежные инциденты последних лет подтверждают критичность контроля доступа подрядчиков. В 2023 году атака на крупную медицинскую сеть Community Health Systems (США) затронула около миллиона пациентов — злоумышленники использовали уязвимость в файловом ПО стороннего вендора, через которое проходили данные клиентов. В 2024 году массовая компрометация облачной платформы Snowflake затронула более 160 организаций, включая Ticketmaster и Santander. Ключевой фактор: использование украденных учётных данных, которые не были защищены многофакторной аутентификацией. В обоих случаях прозрачный контроль сессий и подмена привилегированных учётных записей могли бы существенно ограничить масштаб ущерба.
PAM‑система в прозрачном режиме L3 реализует оба принципа одновременно: контролирует все подключения подрядчиков и физически разделяет сегменты, через которые проходит трафик.
Прозрачные режимы в Solar SafeInspect
На текущий момент прозрачные режимы L2/L3 — уникальная функциональность Solar SafeInspect на российском рынке PAM. Они ориентированы на организации со сложной, распределенной сетевой инфраструктурой, где классический прокси‑режим не закрывает все маршруты доступа — прежде всего крупный B2B‑сегмент и госсектор с требованиями к защите КИИ. Для большинства заказчиков оптимальным остается классический прокси (L7) или гибридная схема: прокси для основной массы подключений плюс прозрачный режим для критичных сегментов. Гибридная схема наиболее востребована в сложных и геораспределенных сетях — там, где одним режимом не обойтись.
По оценке продуктовой команды «Солара», воспроизведение этой функциональности другими отечественными вендорами потребует от одного до трех лет разработки. При этом техническая сложность реализации может стать барьером.
Помимо прозрачных режимов, Solar SafeInspect не требует установки внешней базы данных и дополнительных терминальных серверов в стандартной конфигурации. Сессии хранятся в виде метаданных, что существенно снижает объем данных на диске. Внутренняя система резервного копирования работает без дополнительного ПО. По оценке «Солара», совокупная стоимость владения ниже аналогов на рынке на 20–40% — прежде всего за счет демократичных требований к аппаратным ресурсам и отсутствия необходимости в дополнительной инфраструктуре при развертывании.
Разработчики PAM‑системы «Солара» планируют расширять логирования для более детального анализа работы привилегированных учетных записей и предиктивно выявлять злоупотребления привилегиями на основе поведенческого анализа. Отдельное направление — управление цифровыми идентификаторами с повышенными привилегиями, в которое входит контроль технологических учетных записей в средах разработки и Kubernetes (on‑premise), где фокус смещается с контроля людей на контроль сервисов в CI/CD‑пайплайнах.
