Разбираем актуальные темы и тренды в рамках кибербезопасности и ИТ
Вебинары
Решения
Детальный анализ изменений 187-ФЗ и проекта Постановления Правительства РФ № 127
Укрепление безопасности КИИ
Услуги
Как бизнесу защититься от киберугроз и не раздуть бюджет
Кейс компании «ДОМА» и УЦСБ SOC
Сервисы
Apsafe
Облачная DevSecOps-платформа для непрерывного анализа защищенности приложений
Скрытая угроза. Как привилегированные пользователи вредят организации изнутри и какое решение может это предотвратить?
5 февраля 2026
В рамках мониторинга информационной безопасности многие компании фокусируются на наблюдении за действиями рядового персонала, а не привилегированных сотрудников. Однако именно они могут быть потенциальными источниками наиболее опасных угроз, потому что у них есть широкие права доступа к критически важным данным и системам предприятия.
Разбираемся на примере внедрения PAM-системы на пермском заводе «Машиностроитель», как решения этого класса помогают бороться со злоумышленниками внутри предприятия, обеспечивают полный контроль доступа к конфиденциальной информации и исключают случайные ошибки, которые могут нанести вред ИТ-инфраструктуре организации.
В рамках мониторинга информационной безопасности многие компании фокусируются на наблюдении за действиями рядового персонала, а не привилегированных сотрудников. Однако именно они могут быть потенциальными источниками наиболее опасных угроз, потому что у них есть широкие права доступа к критически важным данным и системам предприятия.
Разбираемся на примере внедрения PAM-системы на пермском заводе «Машиностроитель», как решения этого класса помогают бороться со злоумышленниками внутри предприятия, обеспечивают полный контроль доступа к конфиденциальной информации и исключают случайные ошибки, которые могут нанести вред ИТ-инфраструктуре организации.
Необходимость PAM-платформы: риски изнутри
«Машиностроитель» входит в структуру двух крупных военно-промышленных корпораций — «Тактическое ракетное вооружение» и «НПО машиностроения» — и выпускает продукцию оборонного, двойного и гражданского назначения. Основные направления деятельности: производство и модернизация ракетно-космической техники, изготовление оборудования для атомных станций, газодобывающей и нефтяной промышленности, а также товаров народного потребления.
Как и у любого предприятия, которое сотрудничает с государством и работает в оборонном секторе, в его ИТ-инфраструктуре есть защищенные сегменты. В них обрабатывается особо важные конфиденциальные данные — доступ к ним требует постоянного строгого мониторинга. Эту задачу решают системы контроля действий привилегированных пользователей.
Как и у любого предприятия, которое сотрудничает с государством и работает в оборонном секторе, в его ИТ-инфраструктуре есть защищенные сегменты. В них обрабатывается особо важные конфиденциальные данные — доступ к ним требует постоянного строгого мониторинга. Эту задачу решают системы контроля действий привилегированных пользователей.
PAM ( Privileged Access Management) — международный термин для обозначения систем контроля действий привилегированных пользователей.
СКДПУ (Система контроля действий привилегированных пользователей) — российский термин, который чаще используется в госсекторе и на предприятиях, работающих с гостайной или критической инфраструктурой.
Команда завода провела несколько пилотных запусков разных систем. Окончательный выбор был сделан в пользу PAM-платформы СКДПУ НТ от российской компании «АйТи Бастион», которая входит в число ведущих российских разработчиков систем контроля привилегированных пользователей.
СКДПУ НТ непрерывно отслеживает все действия привилегированных пользователей и при этом органично встраивается в привычные ИТ-процессы предприятия, не создавая дополнительной нагрузки на работу других цифровых сервисов.
СКДПУ НТ непрерывно отслеживает все действия привилегированных пользователей и при этом органично встраивается в привычные ИТ-процессы предприятия, не создавая дополнительной нагрузки на работу других цифровых сервисов.
Как СКДПУ НТ защищает предприятие: строгая идентификация и быстрое выявление аномалий
Задачи безопасности, которые решают СКПДУ-системы, можно разделить на два ключевых направления.
Контроль доступа и предотвращение несанкционированных операций — СКДПУ НТ обеспечивает надежную идентификацию и аутентификацию привилегированных пользователей, включая управление их учетными записями и средствами доступа. Это исключает возможность входа в систему под чужими учетными данными или использования скомпрометированных паролей. Например, если злоумышленник попытается получить доступ к защищенным ресурсам в нерабочее время или с неавторизованного устройства, система зафиксирует это как подозрительное событие.
Мониторинг и анализ поведения привилегированных пользователей — в отличие от стандартных систем аутентификации, которые фиксируют только факт входа, СКДПУ НТ регистрирует все операции: от открытия документов до изменения настроек систем. Это позволяет быстро выявлять аномалии, такие как необычно долгая работа с конфиденциальными файлами или попытки копирования данных, в том числе и на внешние носители. В случае инцидента информационной безопасности (ИБ) система предоставит информацию о том кто, когда и какие действия совершал.
Контроль доступа и предотвращение несанкционированных операций — СКДПУ НТ обеспечивает надежную идентификацию и аутентификацию привилегированных пользователей, включая управление их учетными записями и средствами доступа. Это исключает возможность входа в систему под чужими учетными данными или использования скомпрометированных паролей. Например, если злоумышленник попытается получить доступ к защищенным ресурсам в нерабочее время или с неавторизованного устройства, система зафиксирует это как подозрительное событие.
Мониторинг и анализ поведения привилегированных пользователей — в отличие от стандартных систем аутентификации, которые фиксируют только факт входа, СКДПУ НТ регистрирует все операции: от открытия документов до изменения настроек систем. Это позволяет быстро выявлять аномалии, такие как необычно долгая работа с конфиденциальными файлами или попытки копирования данных, в том числе и на внешние носители. В случае инцидента информационной безопасности (ИБ) система предоставит информацию о том кто, когда и какие действия совершал.
Обнаружение косвенных признаков утечек информации с помощью СКДПУ НТ
Если в компании установлен запрет на копирование данных на внешние носители, злоумышленник может попытаться его обойти: подключиться через протокол удаленного рабочего стола (RDP) к защищенному ресурсу, открыть конфиденциальные документы, сфотографировать экран и уйти.
Эту информацию можно передать конкурентам или «слить» в публичное поле.
Если в компании установлен запрет на копирование данных на внешние носители, злоумышленник может попытаться его обойти: подключиться через протокол удаленного рабочего стола (RDP) к защищенному ресурсу, открыть конфиденциальные документы, сфотографировать экран и уйти.
Эту информацию можно передать конкурентам или «слить» в публичное поле.
СКПДУ НТ не зафиксирует, что экран сфотографировали, но она регистрирует все действия привилегированного пользователя: какие документы он открывал, какие операции выполнял и сколько времени провел в системе.
Если он изучал документы дольше, чем обычно, или сессия проходила в нерабочее время, то это может быть тревожным сигналом для службы безопасности. Для расследования применяется аудит: он идентифицирует, кто и когда работал с файлами, анализируя все сессии, в которых к ним обращались.
Если он изучал документы дольше, чем обычно, или сессия проходила в нерабочее время, то это может быть тревожным сигналом для службы безопасности. Для расследования применяется аудит: он идентифицирует, кто и когда работал с файлами, анализируя все сессии, в которых к ним обращались.
Также СКДПУ НТ отслеживает случайные ошибки, последствия которых могут нанести вред ИТ-инфраструктуре. Например, если в защищенном сегменте внезапно стал недоступен важный ресурс, то система покажет, кто последним его использовал и что именно с ним делал.
Преимущества отечественного решения: простая установка и фиксация всех операций
Одно из главных преимуществ СКДПУ НТ от «АйТи Бастион» — простая и быстрая установка «из коробки». Решение работает на сертифицированной ОС Astra Linux, поэтому для его запуска достаточно развернуть виртуальную машину и выполнить несколько процедур.
Система обеспечивает полный контроль доступа привилегированных пользователей и действует как единый центр входа в защищенный сегмент. Для максимальной детализации СКДПУ НТ записывает действия пользователей в нескольких форматах:
Система обеспечивает полный контроль доступа привилегированных пользователей и действует как единый центр входа в защищенный сегмент. Для максимальной детализации СКДПУ НТ записывает действия пользователей в нескольких форматах:
- видео сессии — для детального разбора инцидентов ИБ;
- текстовые логи — фиксация всех команд для поиска по ключевым действиям;
- кейлогер — запись каждой нажатой клавиши для точного восстановления ввода, включая скрытые данные, например, вставленные из буфера обмена;
- список всех запущенных приложений, процессов и их активности — для фиксации работы пользователя с приложениями или фоновых процессов, а также для выявления стороннего ПО, запущенного в обход политик безопасности.
Интеграция СКДПУ НТ: три простых этапа
Интеграция PAM-платформы проводилась совместно со специалистами ИТ-компании УЦСБ — авторизованного партнера «АйТи Бастион», который обеспечил внедрение и настройку решения на заводе «Машиностроитель».
Время внедрения, от первого обсуждения проекта до запуска решения, составило около трех месяцев. Интеграция проводилась в три этапа.
Этап 1. Консультация и выбор — специалисты УЦСБ изучили особенности внутренней ИТ-инфраструктуры завода, чтобы провести быструю и комфортную интеграцию без нарушения операционных процессов предприятия.
Этап 2. Проектирование — вместе с Заказчиком были сформулированы технические требования, а затем команда УЦСБ рассчитала производительность системы и подготовила ее спецификацию.
Этап 3. Внедрение — включает установку и настройку системы, ее испытания и составление инструкций для сотрудников.
Эксперты УЦСБ провели необходимые интеграции СКДПУ НТ: с корпоративной почтой для получения уведомлений о работе новой системы, со службой каталогов по протоколу LDAP для управления учетными записями привилегированных пользователей и с целевыми ресурсами, к которым нужно было предоставить авторизованный доступ.
После интеграции Заказчик не остается один на один с новой системой. Команда УЦСБ дает консультации по выпускаемым обновлениям, а также предоставляет инженерную и техническую поддержку. Также для ИТ-отдела завода были составлены простые и при этом подробные инструкции со скриншотами, которые доступно иллюстрируют управление системой.
Время внедрения, от первого обсуждения проекта до запуска решения, составило около трех месяцев. Интеграция проводилась в три этапа.
Этап 1. Консультация и выбор — специалисты УЦСБ изучили особенности внутренней ИТ-инфраструктуры завода, чтобы провести быструю и комфортную интеграцию без нарушения операционных процессов предприятия.
Этап 2. Проектирование — вместе с Заказчиком были сформулированы технические требования, а затем команда УЦСБ рассчитала производительность системы и подготовила ее спецификацию.
Этап 3. Внедрение — включает установку и настройку системы, ее испытания и составление инструкций для сотрудников.
Эксперты УЦСБ провели необходимые интеграции СКДПУ НТ: с корпоративной почтой для получения уведомлений о работе новой системы, со службой каталогов по протоколу LDAP для управления учетными записями привилегированных пользователей и с целевыми ресурсами, к которым нужно было предоставить авторизованный доступ.
После интеграции Заказчик не остается один на один с новой системой. Команда УЦСБ дает консультации по выпускаемым обновлениям, а также предоставляет инженерную и техническую поддержку. Также для ИТ-отдела завода были составлены простые и при этом подробные инструкции со скриншотами, которые доступно иллюстрируют управление системой.
Итоги проекта: рост эффективности ИБ и выполнение требований ФСТЭК России
Внедрение СКПДУ НТ стало важным шагом в построении комплексного подхода к информационной безопасности завода «Машиностроитель» и обеспечило ему важные стратегические преимущества:
- снижение финансовых рисков — минимизация ущерба от внутренних инцидентов ИБ, которые могут привести к остановкам производства или штрафам за утечки данных;
- рост эффективности внутренних процессов ИБ — благодаря функциям мониторинга и фиксации сокращается время на расследование нарушений. Автоматизация рутины снижает нагрузку на службу ИБ и позволяет сосредоточиться на развитии комплексной кибербезопасности «Машиностроителя»;
- усиление конкурентоспособности — за счет зрелого уровня информационной безопасности предприятия к нему повышается доверие инвесторов и партнеров.
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных